Меню

Настройка juniper dynamic vpn

Настройка juniper dynamic vpn

Традиционно организация удаленного доступа через VPN осуществляется с помощью клиентского программного обеспечения, которое требуется вручную установить на все компьютеры удаленных пользователей. Сотрудникам необходимо самим найти и установить нужное программное обеспечение, зачастую на эти действия затрачивается много рабочего времени, особенно если сотрудник является неопытным пользователем ПК. Для бизнеса, где велико число удаленных пользователей, такая ситуация неприемлема. С целью решения этой проблемы, вендоры(Cisco, Juniper) разработали решение, которое автоматически инициирует установку VPN клиента на компьютер пользователя через веб-браузер. На оборудовании Juniper таким решением является Dynamic VPN. Клиентская программа, устанавливаемая через Dynamic VPN на компьютеры пользователей – Juniper Networks Access Manager (JNAM).

В рассмотренном ниже примере описана настройка Dynamic VPN на межсетевом экране Juniper SRX100 с версией Junos 10.2R3.10. Интерфейс fe-0/0/0 – внешний интерфейс межсетевого экрана с ip адресом 81.94.41.236, fe-0/0/1 – внутренний интерфейс. Стоит отметить, что настройка различается для некоторых версий Junos.

Топология сети приведена на рисунке 1.

Рис. 1. Топология сети

Настройка Juniper Dynamic VPN для Junos версии 10.3 и ниже:

Шаг 1. Настройка доступа.
При подключении по Juniper Dynamic VPN требуется аутентификация пользователей. Для этого прописываем профили пользователей на межсетевом экране (вместо межсетевого экрана аутентификацию можно связать с сервером RADIUS, в этом примере RADIUS не используется). На межсетевом экране созданы 2 профиля: user1 и user2.

root# show access
profile user-auth-profile <
client user1 <
firewall-user <
password «$9$U7DkmPfQ9A0k.Qn/AIR»; ## SECRET-DATA
>
>
client user2 <
firewall-user <
password «$9$ruxlMLXx-24ZM8-wY4ji»; ## SECRET-DATA
>
>
>
firewall-authentication <
web-authentication <
default-profile user-auth-profile;
>
>

Шаг 2. Настройка HTTPS
Необходимо включить HTTPS на внешнем интерфейсе(по умолчанию он включен только на внутренних интерфейсах), в противном случае пользователь не сможет подключиться через веб-браузер и пройти аутентификацию. Внешним интерфейсом служит fe-0/0/0. Важно: по умолчанию на внешнем интерфейсе стоит ограничение на входящий траффик. Это ограничение требуется изменить для успешного доступа по VPN(в примере нет ограничений на входящий траффик).

root# show system services web-management https
system-generated-certificate;
interface [ vlan.0 fe-0/0/0.0];

Шаг 3. Настройка IKE/IPSEC
Задаем параметры обоих фаз для установления IPsec туннеля. IKE шлюз и VPN должны быть прописаны для каждого пользователя. В нашем примере 2 пользователя, следовательно настраиваем 2 IKE шлюза. Важно: максимальное количество пользователей ограничено лицензией.

root# show security ike
traceoptions < //файл логов (создаем для отслеживания неполадок)
file vpnike1 size 1m;
flag all;
flag ike;
flag policy-manager;
level 15;
>
proposal phase1-prop <
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1; //алгоритм хеширования
encryption-algorithm 3des-cbc; //алгоритм шифрования
>
policy ike-pol <
mode aggressive;
proposals phase1-prop;
pre-shared-key ascii-text «$9$N5-w2g4JHqfwYJDiqzF»; ## SECRET-DATA
>
gateway dyn-gw-piter <
ike-policy ike-pol;
dynamic hostname piter;
external-interface fe-0/0/0.0;
xauth access-profile user-auth-profile; //при аутентификации используем созданный профиль user-auth-profile
>
gateway dyn-gw-moscow <
ike-policy ike-pol;
dynamic hostname moscow;
external-interface fe-0/0/0.0;
xauth access-profile user-auth-profile; //при аутентификации используем созданный профиль user-auth-profile
>

root# show security ipsec
proposal phase2-prop <
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
>
policy ipsec-pol <
perfect-forward-secrecy <
keys group2;
>
proposals phase2-prop;
>
vpn dynamic-vpn-piter <
ike <
gateway dyn-gw-piter;
ipsec-policy ipsec-pol;
>
>
vpn dynamic-vpn-moscow <
ike <
gateway dyn-gw-moscow;
ipsec-policy ipsec-pol;
>
>

Шаг 4. Настройка Dynamic VPN
На этом шаге настройки требуется прописать сети или хосты, доступ к которым осуществляется через VPN. В нашем случае это сеть 192.168.50.0/23. Другими словами траффик от пользователей user1 и user2 в сеть 192.168.50.0/23 будет зашифрован.

root# show security dynamic-vpn
access-profile user-auth-profile;
clients <
client1 <
remote-protected-resources <
192.168.50.0/23;
>
remote-exceptions <
0.0.0.0/0;
>

ipsec-vpn dynamic-vpn-piter;
user <
user1;
>
>
client2 <
remote-protected-resources <
192.168.50.0/23;
>
remote-exceptions <
0.0.0.0/0;
>
ipsec-vpn dynamic-vpn-moscow;
user <
user2;
>
>
>

Читайте также:  Настройка gmail на samsung

Шаг 5. Настройка политики безопасности
Заключительный шаг представляет собой настройку политики доступа для входящего на внешний интерфейс траффика. Выбор политики безопасности происходит в зависимости от установленного VPN туннеля.

root# show security policies from-zone untrust to-zone trust
policy vpn-piter <
match <
source-address any;
destination-address any;
application any;
>
then <
permit <
tunnel <
ipsec-vpn dynamic-vpn-piter;
>
>
>
>
policy vpn-moscow <
match <
source-address any;
destination-address any;
application any;
>
then <
permit <
tunnel <
ipsec-vpn dynamic-vpn-moscow;
>
>
>
>

Шаг 6. Подключение удаленного пользователя
Настройка межсетевого экрана завершена, теперь протестируем Dynamic VPN. Запускаем браузер на клиентской машине и вводим адрес: https://81.94.41.236/dynamic-vpn. В качестве ip используем адрес внешнего интерфейса межсетевого экрана. Если все настроено верно, должна появиться следующая страница:

Вводим пару логин/пароль одного из прописанных на межсетевом экране пользователей. После аутентификации межсетевой экран определяет установлено ли клиентское программное обеспечение(Junpier Networks Access Manager), если ПО не установлено будет инициирована автоматическая загрузка JNAM(на клиентском компьютере должна быть установлена Java). По каким-то причинам загрузка не запустилась – есть возможность скачать JNAM по ссылке отображаемой на странице.

Придется подождать некоторое время пока программа загрузится и установится. После установки программы появится уведомление о принятии сертификата.

VPN туннель устанавливается как только пользователь примет сертификат и повторно введет пару логин/пароль.

Когда в поле status отображается “Connected”, можно смело заходить на внутренние ресурсы компании, не беспокоясь о безопасности соединения.

Источник

Настройка juniper dynamic vpn

Добрый день уважаемые читатели, в прошлый раз мы с вами настроили сетевые интерфейсы на Juniper SRX210, а вот сегодня с помощью него же поднимем на juniper vpn канал, между двумя офисами, чтобы объединить с помощью него две локальные сети, рассмотрим примеры соединения, точка-точка и сеть-сеть. На сегодняшний момент, когда у компании может быть огромное количество филиалов, сложно представить жизнь без впн, и любой системный администратор, просто обязан знать его принципы работы и настройки.

Настройка vpn на juniper

И так с чего начинается настройка любого VPN соединения, правильно с планирования, и первым пунктом стоит это выбор подсети для тунелирования. Нам для решения этой задачи хватит подсети с маской 30, что означает всего 2 ip адреса которые можно использовать, один в одном офисе, а второй в другом.

В Juniper ipsec, отличается от того же шифрованного ovpn или pptp является гораздо более высокая степень устойчивости ко взлому, а также гораздо более широкая степень унификации и распространенности. Связать две железки типом site-to-site, если нужен канал с шифрованием, через ipsec гораздо проще, нежели поднимать между ними ppp-соединение. Потому что ipsec умеют почти все роутеры, даже D-link, а вот с ppp-соединениями всегда возможны нюансы.

Читайте также:  Настройка монитора benq 2250

В juniper ipsec, включает в себя две фазы:

В Juniper SRX впн соединения бывают двух видов:

Для чего используют Policy based

Для чего используют Routed based

Кроме того, виртуальные частные сети Route Based должна включать следующую информацию о конфигурации:

Настройка Routed based

Routed based я буду настраивать, только потому что мне нужно NAT между сетями. Чуть выше мы с вами определились, что для виртуального интерфейса juniper ipsec, мы выбрали подсеть с маской 30. На одной стороне у меня будет 10.11.14.158/30, а на второй 10.11.14.157/30.

Мы с вами рассмотрим два варианта выполнения задачи, из командной строки, посредством ssh и через графический GUI интерфейс.

Настройка juniper ipsec через командную строку

Открываем ssh сессию, и вводим

Все теперь, когда вы находитесь в режиме configuration mode вы можете вносить изменения в конфиг железки.

Создадим виртуальный интерфейс st0, в Juniper все виртуальные называются st. Но сначала проверим нет ли у нас уже созданных. run добавляет для выполнения команд не из режима конфигурирования.

Вывод будет примерно вот таким. Как видите у меня нет st интерфейсов, кроме 0, на нем то мы и будем создавать sub интерфейсы.

Зададим статический ip адрес для juniper ipsec туннеля.

Если вы сейчас выполните команду Commit, для записи конфига, то потом выполнив run show interface terse вы увидите созданный st1 интерфейс.

Удалить интерфейс можно командой.

Настройка первой фазы IKE

Перейдем к первой настройке vpn на Juniper, и это фаза IKE.

Включим использование pre-shared keys, с помощью authentication-method pre-shared-keys. proposal это если дословно перевести предложение, по сути это профиль настроек для первой фазы, в котором описаны все параметры.

Теперь с генерируем общий приватный ключ при обмене данными по незащищенному каналу, размером 2048-бит, за это отвечает dh-group. Что такое dh-group читайте по ссылке слева

Для аутентификации будем использовать sha-256, это безопасный алгоритм хеширования. Более подробно про md5 хеш и sha 1 хеш читайте по ссылке.

Зададим алгоритм шифрования данных в первой фазе, укажем aes-256-cbc

Укажем описание proposal

Зададим время жизни приватного ключа (был сгенерирован автоматически при инициализации подключения) первой фазы

Задаем режим работы

Задаем сам PSK ключ

И привязываете его к proposal

Теперь нужно указать ip адрес шлюза (публичный ip) для подключения и создать саму политику шлюза.

Задаем интерфейс, через который будет проходить IPSec трафик

security <
ike <
proposal jun-msk-nn <
description vpn-msk-korpus2-to-nn;
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 86400;
>
policy msk-to-nn <
mode main;
proposals jun-msk-nn;
pre-shared-key ascii-text «Мой ключ»; ## SECRET-DATA
>
gateway g-msk-to-nn <
ike-policy msk-to-nn;
address 95.79.54.251;
external-interface fe-0/0/2.0;

Настройка второй фазы juniper ipsec

Переходим к настройке второй фазы juniper ipsec,

Зададим протокол инкапсуляции, protocol esp — будем использовать ESP (Encapsulated Security Payload header). Имя proposal у меня будет IPSecPro-for-nn.

Следующим шагом при настройке juniper ipsec идет алгоритм аутентификации, я поставлю authentication-algorithm hmac-sha-256-128

Читайте также:  Настройка gmail на телефоне андроид

Ну и укажем алгоритм шифрования encryption-algorithm aes-256-cbc

И укажем время жизни приватного ключа (был сгенерирован автоматически при инициализации подключения) второй фазы

ну и описание конечно же для себя, приучите себя это делать

Далее juniper vpn потребует создать политику в которой вы выберите dh-group

Ну и натравим политику IPsec на proposal

Укажем виртуальный интерфейс для построения IPSec туннеля, пустим через st0.1, у вас может быть другой.

Линкуем к политике и говорим, что туннель будет создан немедленно

ipsec <
proposal IPSecPro-for-nn <
description vpn-msk-korpus2-to-nn;
protocol esp;
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
lifetime-seconds 18600;
>
policy msk-to-nn <
description vpn-msk-korpus2-to-nn;
perfect-forward-secrecy <
keys group14;
>
proposals IPSecPro-for-nn;
>
vpn vpn-msk-korpus2-to-nn <
bind-interface st0.1;
ike <
gateway g-msk-to-nn;
ipsec-policy msk-to-nn;
>
establish-tunnels immediately;

Еще последним штрихом мы должны разрешить в зоне untrust ike и ping трафик

и не забудьте st0.1 добавить в зону trust иначе не будет работать.

Все теперь можно настраивать статические маршруты в обе стороны делается это командой

run show security ipsec sa

и все активные туннели

run show security ike active-peer

Настройка juniper ipsec через веб интерфейс

Давайте теперь настроим juniper vpn вторым способом. Как включить web морду я уже рассказывал, логинимся в нее. Идем в пункт interfaces > Ports. Ищем там st0 и сверху жмем Add > Logical interfaces. Нам нужно добавить виртуальный vpn интерфейс.

И заполняем все поля

Все туннельный интерфейс готов идем далее к настройкам фаз, первая это IKE. Открываем IPSec VPN > Auo Tunnel > Phase 1 > Proposal. Тут нам нужно создать новый Proposal для Kuniper IKE фазы. Жмем Add.

Тут как и в командной строке задаем параметры

Сохраняем и идем создавать политику IKE. Открываем вкладку IKE Policy и жмем Add,

Задаем ей имя, режим main и перекидываем вправо ранее созданный Proposal

На вкладке IKE Policy Options указываем Pre Share Key, которым вы будите шифровать первую фазу Juniper vpn.

Теперь нужно указать шлюз, через который нужно пускать vpn. Идем на вкладку Gateway и жмем Add.

На вкладке IKE Gateway задаем

Переходим к настройке второй фазы. Вторая фаза как вы помните это juniper ipsec. Идем в пункт Phase 2 > Proposal > Add,

В свойствах Proposal, указываем

Далее создаем IPsec политику жмем Add.

В политике задаем Имя, Описание, группу ставим group14 и перебрасываем созданный ранее Proposal на право.

И последний момент нужно создать ключ, для juniper ipsec, идем в меню Auto Key VPN > add.

Все фазы для juniper vpn созданы, на второй стороне так же их создаете. Убедитесь, что виртуальный интерфейс под vpn st.0.ваш номер находится у вас в доверительной зоне, если нет то сделайте его ее членом.

Для этого идем в Security > Zones > выбираете зону trust и вносите нужный интерфейс.

Убедитесь, что для вашего st0 разрешен весь трафик.

Так же вам нужно на зоне untrust разрешить IKE трафик.

Ну и далее прописываете маршруты. Вкладка Rouning > Static Routing > Add в нужные вам подсети.

Источник