Juniper防火墙IPsec VPN 配置(基于路由&基于策略的VPN配置)
Juniper所有防火墙都支持IPsec VPN,配置方式有多种:基于策略的VPN、基于路由(接口)VPN、集中星形VPN和背靠背VPN等。
A.基于策略的IPsec VPN:通过防火墙策略将数据丢进VPN隧道
B.基于路由的IPsec VPN: 在Firewall上建立虚拟接口tunnel接口,设置到对端的数据丢进这个tunne接口中,再有IPsec VPN进行加密。
区别:
基于策略的IPsce VPN可以再网关部署和透明部署的防火墙上建立,基于策略的IPsec VPN建立后,在VPN隧道中只能传单播数据;
基于接口的IPsec VPN只能在网关模式下部署,但不可在透明模式下部署,优点:基于路由的IPsec VPN可在VPN隧道中传组播应用,类似于cisco的GRE OVER IPsec VPN.
1.基于策略的VPN
站点间(Site-to-Site)的VPN是IPsec VPN的典型应用。
1.1站点两端具备静态公网IP(static ip-to-static ip):
当创建站点两端都是静态IP的VPN应用中,位于两端的防火墙上的VPN配置基本相同,不同之处是在VPN gateway中vpn网关指向IP不同,其他相同(以上海昱辉to无锡佳城为例)。
VPN组网拓扑图:static ip-to-static ip
使用web方式配置:
登陆防火墙,配置防火墙为三层部署模式:
配置VPN Gateway:VPNS→AutoKey Advanced→Gateway
2.1)定义VPN网关名称、定义“对端VPN设备公网IP”为本地VPN设备的网关地址:
VPN网关名称:to_wx_tunnel
对端VPN设备公网IP:58.215.5.42
2.2)在VPN Gateway的高级(Advanced)部分,定义预共享密钥、定义相关的VPN隧道协商加密算法、选择VPN的发起模式
共享密钥(Preshared Key):renesola
安全等级(Security Level):User Defined→Custom→Phase 1 Proposal→根据需要进行选择(设备两端安全级别需相同)
发起模式:main
其他设置采用默认配置
说明:
①Preshared Key 这是预设共享密钥,非常重要,VPN建立时验证使用的,两端要保持一致
②local ID 这是用在有一端是动态IP,也就是给动态IP的一端起个名字,这样IP地址变了可以根据local ID来识别动态IP端得防火墙设备。要与远端防火墙的peer id保持一致。
③Outgoing Interface 这是指定出口的接口,一般来说是Untrust接口,新建模式可以选择接口。
④Security Level 安全等级可以自定义,前提是两边防火墙选择的加密方式要一致。
⑤Mode (Initiator) 连接模式
Aggressive (野蛮模式),这个模式建立VPN连接的速度比较快。
3) 配置VPN的AutoKey IKE:
3.1)定义VPN name、Remote Gateway
VPN Name:to_wx_vpn
Remote Gateway:选择前面设置的vpn网关名称,Predefined→to_wxtunnel
3.2)在AutoKey IKE的高级(Advanced)部分定义了VPN的加密算法(Security Level)
Sencurity Level:User Defined→Custom→Phase 2 Proposal→根据需要选择(两端设备保持一致)
4) 建立VPN Policy
设置一条策略允许VPN建立连接访问:
在policy界面下选择从Untrust 到 Trust建立一条心策略
说明:
Source Address 源地址为远端内网网段
Destination Address 目的地址为本地网段
Action 选择 Tunnel,也就是走VPN隧道
Tunnel 选择你建立的IKE
Modify matching bidirectional VPN policy 打上钩,就是同时建立一条反向策略,允许VPN两端互访。
5)建立发起IPsec VPN连接及查看状态
IPsec VPN的一端已经设置好了,再在对端做相同的设置。VPN的建立需要有数据通信才会建立,如果两边都是固定IP,ping一下对端的内网网关,如果一端是动态IP的话就必须从动态IP端发起连接才能顺利建立IPsec VPN的连接。
在 VPNs > Monitor Status 界面下可以看到VPN的状态:
1.2 站点两端其中一端具备静态公网IP,另一端动态公网IP:staic ip-to-dynamic ip
在这种IPsec VPN组网应用中,拥有静态公网IP地址的一段作为被访问端出现,拥有动态公网IP地址的一段作为VPN隧道协商的发起端。和站点两端都具备静态IP地址的配置不同之处在于VPN第一阶段的相关配置,在主动发起端(只有动态公
网IP地址一端)需要指定VPN网关地址,需配置一个本地ID,配置VPN发起模式:主动模式;在站点另外一段(拥有静态公网IP地址一端)需要指定VPN网关地址为对端设备的ID信息,不需要配置本地ID,其他部分相同。
1.2.1 web方式配置
VPN第一阶段的配置:
动态公网IP地址端:VPN的发起必须由本端开始,动态地址端可以确定对端防火墙的IP地址,因此在VPN阶段一的配置中,需指定对端VPN设备的静态IP地址。同时,在本端设置一个Local ID,提供给对端作为识别信息使用。
VPN第一阶段的高级配置:
动态公网IP地址端:在VPN阶段一的高级配置中动态公网IP一端的VPN的发起模式应该配置为:主动模式(Aggressive)
VPN第一阶段的配置:
静态公网IP地址端:在拥有静态公网IP地址的防火墙一端,在VPN阶段一的配置中,需要配置:“Remote Gateway Type”应该选择“Dynamic IP Address”,同时设置 Peer ID(和在动态IP地址一端设置的Local ID相同)。
4) VPN第二阶段配置,和在”static ip-to-static ip”模式下相同。
5) VPN的访问控制策略,和在”static ip-to-static ip”模式下相同。
1.2.2 命令行方式配置
CLI ( 设备-A)
① 定义接口参数
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 dhcp client
set interface ethernet3 dhcp client settings server 1.1.1.5
② 定义路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3
③ 定义用户
set user pmason password Nd4syst4
④ 定义地址
set address trust "trusted network" 10.1.1.0/24
set address untrust "mail server" 3.3.3.5/32
⑤ 定义服务
set service ident protocol tcp src-port 0-65535 dst-port 113-113
set group service remote_mail
set group service remote_mail add http
set group service remote_mail add ftp
set group service remote_mail add telnet
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3
⑥ 定义VPN
set ike gateway to_mail address 2.2.2.2 aggressive local-id [email protected]
outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn branch_corp gateway to_mail sec-level compatible
⑦ 定义策略
set policy top from trust to untrust "trusted network" "mail server" remote_mail
tunnel vpn branch_corp auth server Local user pmason
set policy top from untrust to trust "mail server" "trusted network" remote_mail
tunnel vpn branch_corp
save
CLI ( 设备-B)
① 定义接口参数
set interface ethernet2 zone dmz
set interface ethernet2 ip 3.3.3.3/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
② 路由
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
③ 定义地址
set address dmz "mail server" 3.3.3.5/32
set address untrust "branch office" 10.1.1.0/24
④ 定义服务
set service ident protocol tcp src-port 0-65535 dst-port 113-113
set group service remote_mail
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3
⑤ 定义VPN
set ike gateway to_branch dynamic [email protected] aggressive
outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn corp_branch gateway to_branch tunnel sec-level compatible
⑥ 定义策略
set policy top from dmz to untrust "mail server" "branch office" remote_mail
tunnel vpn corp_branch
set policy top from untrust to dmz "branch office" "mail server" remote_mail
tunnel vpn corp_branch
save
2.基于路由的IPsec VPN 配置:配置基于路由的站对站VPN
为绑定到安全区段和通道接口的物理接口分配IP地址
配置VPN通道,在Untrust区段内指定其外向接口,将其绑定到通道接口,并配置其代理ID
在Trust和Untrust的通讯录中输入本地及远程端点的IP地址
输入通向trust-vr中外部路由器的缺省路由、通过通道接口通向目标的路由以及通向目标的Null路由。为Null路由分配较高的度量(远离0),以便其成为通向目标的下一个可选路由。接着,如果通道接口的状态变为“中断”,且引用该接口的路由变为非活动,则按其设备会使用Null路由(即实质上丢弃了发送给他的任何信息流),而不使用缺省路由(即转发未加密的信息流)。
为每个站点间通过的VPN流量设置策略。
2.1 定义通道接口:
Network > Interfaces > New Tunnel IF:根据需求修改红色标示部分,然后单击 OK:
说明:
zone(VR):通道端口绑定的端口区域{绑定到Untrust(trust-vr)}
Fixed IP:指定端口IP地址,根据需求进行设置
Unnumbered :指定绑定端口
2.2 VPN配置
第一阶段:VPNs > AutoKey Advanced > Gateway >Edit: 修改红色标示部分,然后点击advanced进行高级设置::
预共享密钥为:renesola.123
说明:
GatewayName:命名VPN网关名字
Remote Gateway:设置对端设备IP地址,如若static直接设置为静态IP,如若动态需设置对端peer ID
Preshared Key:设置共享密钥
Outgoing Interface:选择到达对端网关的出口,一般选择设备的出口地址。此项设置后不可再次修改,切记!!!!!!!!
Security Level:
User Defined:选择Custom
Phase 1 Proposal 第一阶段提议 选择相应的加密和认证算法 两方要一致
Mode(Initiator):模式 这里选择Main主模式(主模式提供身份保护,Aggressive主动模式不提供身份保护)
第二阶段:VPNs > AutoKey IKE > New: 输入以下内容,然后点击Advanced,修改后分别点击return,OK保存退出。
VPN Name:VPN 名称
Remote Gateway:选择我们在第一阶段建立的gateway
Security Level:
User Defined: 选择Custom 并且第二阶段提议以确定要在 SA 中应用的安全参数。两方配置要一致。
Bind to :选择Tunnel interface 并且选择前面建立的tunnel.1通道接口。
Proxy-ID:选择 并且输入Local IP和Remote IP及子网掩码
Service: ANY
2.3 路由配置
默认路由:Network > Routing > Destination>Routing Entries > trust-vr New:修改红色标示部分,然后单击 OK: