|
|
|
|
| Компьютерный форум OSzone.net » Железо » Сетевое оборудование » VPN/Firewall - VPN на Juniper`ах SRX |
|
|
VPN/Firewall - VPN на Juniper`ах SRX
|
Пользователь Сообщения: 94 |
Господа, добрый вечер
Знатоки Junos подскажите как решить проблему или пните в нужную сторону. Раньше не имел дела с такими железками, как-то все провайдер на себя брал. Сам я Windows`зятник А сейчас в руки попали Juniper SRX210 и несколько SRX100. Всю документацию на русском проштудировал, на английском в силу несильного знания языка тоже. После такого количества информации, поступившей мне в голову, может быть что-то не указал в теме - не ругайте  Мозг кипит уже Что имеем: - главный офис с сетью 192.168.4.0/24. DNS 192.168.4.2/24 (AD,TS,DHCP). Есть ISA Server 192.168.4.254, в него входит инет и входит лан. Внешний IP 10.10.10.4 - первый удаленный офис с сетью 192.168.5.0/24. С дополнительным КД и DNS 192.168.5.2/24. Внешний IP 10.10.10.5 - второй удаленный офис с сетью 192.168.6.0/24. С дополнительным КД и DNS 192.168.6.2/24. Внешний IP 10.10.10.6 - все клиенты главного офиса и удаленных ходят в интернет через ISA Server - ну это пока не так важно - в fe-0/0/0 вставлен инетернет. В fe-0/0/1 вставлена сеть. Остальные fe не нужны, но пускай будут ethernet-swiching. Разницы особой кроме пропускной способности между SRX 210 и SRX100 для моего случая вроде нет - поэтому тоже не принципиально, пусть все будут SRX100 в данном примере. Вопросы поступают по мере углубления Пока думаю только про настройку Junipera в первом удаленном офисе. Есть конфиг. Будет ли он работать? Можно ли что-то добавить или убрать?По ходу чтения кода не всё складывается - уверен, что вагон ошибок. Код:
 version 10.4R6.5;
system {
host-name gwa;
domain-name local.int;
root-authentication {
encrypted-password "12345"; ## SECRET-DATA
}
name-server {
192.168.5.2;
192.168.4.2;
}
login {
user admin {
uid 2000;
class super-user;
authentication {
encrypted-password "12345"; ## SECRET-DATA
}
}
}
services {
ssh;
}
syslog {
archive size 100k files 3;
user * {
any emergency;
}
file messages {
any critical;
authorization info;
}
file interactive-commands {
interactive-commands error;
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 20;
license {
autoupdate {
url https://ae1.juniper.net/junos/key_retrieval;
}
}
ntp {
server 192.168.4.2;
}
}
interfaces {
interface-range interfaces-trust {
member fe-0/0/1;
member fe-0/0/2;
member fe-0/0/3;
member fe-0/0/4;
member fe-0/0/5;
member fe-0/0/6;
member fe-0/0/7;
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
fe-0/0/0 {
unit 0 {
family inet {
address 192.168.5.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.0.0.5/32;
}
}
}
vlan {
unit 0 {
family inet {
address 192.168.5.1/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 10.10.10.10;
route 192.168.4.0/24 next-hop st0.0;
route 192.168.6.0/24 next-hop st0.0;
}
}
protocols {
stp;
}
security {
ike {
traceoptions {
flag all;
flag policy-manager;
flag ike;
flag routing-socket;
}
proposal P1-AES {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy-1 {
mode main;
proposals P1-AES;
pre-shared-key ascii-text "12345"; ## SECRET-DATA
}
gateway gw1 {
ike-policy ike-policy-1;
address 192.168.5.1;
external-interface fe-0/0/0.0;
}
}
ipsec {
proposal P2-AES {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-policy-1 {
perfect-forward-secrecy {
keys group2;
}
proposals P2-AES;
}
vpn vpn1 {
bind-interface st0.0;
ike {
gateway gw1;
proxy-identity {
local 192.168.4.0/24;
remote 192.168.5.0/24;
service any;
}
ipsec-policy ipsec-policy-1;
}
establish-tunnels immediately;
}
vpn vpn2 {
bind-interface st0.0;
ike {
gateway gw1;
proxy-identity {
local 192.168.6.0/24;
remote 192.168.5.0/24;
service any;
}
ipsec-policy ipsec-policy-1;
}
establish-tunnels immediately;
}
}
nat {
source {
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
vlan.0;
}
}
security-zone untrust {
screen untrust-screen;
interfaces {
fe-0/0/0.0 {
host-inbound-traffic {
system-services {
dhcp;
tftp;
}
}
}
fe-0/0/1.0;
}
}
}
policies {
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy policy-name {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
}
vlans {
vlan-trust {
vlan-id 3;
l3-interface vlan.0;
}
}
|
|
|
Отправлено: 01:13, 13-07-2012 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать 1) Вот это читали?
По Динамическому VPN http://www.juniper.net/elqNow/elqRed...3500202-en.pdf По типовым настройкам http://www.juniper.net/elqNow/elqRed...3500153-en.pdf 2) У вас есть возможность собрать рабочую схему "на столе". Т.е. Juniper'ыу вас на руках? 3) Вы по NAT читали? http://www.juniper.net/elqNow/elqRed...3500151-en.pdf У вас "untrust" зона описана двумя интерфейсами. NAT же описан для перехода между зонами с присваиванием IP внешнего интерфейса. Так и задумано? 4) Схему начертите Обсуждать и , особенно, настраивать сеть по текстовым материалам дурная привычка, ведущая к командировкам |
|
------- Отправлено: 15:12, 13-07-2012 | #2 |
|
Пользователь Сообщения: 94
|
Профиль | Отправить PM | Цитировать kim-aa, я только вчера о Вас вспоминал. Я просил у Вас в icq поделиться документацией по Juniper где-то год (!) назад. Вчера я вспомнил, что Вы мне эту документацию высылали. И я ее долго искал и нашел
Прочитал еще раз. И вот Вы тут )) Неожиданно))А по теме: - начертил схему в кореле. Сто лет не юзал корел - извиняюсь - конфиг прилагаю. Он у всех офисов по идее одинаковый. В данном примере конфиг от Джунипера 192.168.5.1/24 - куда и как цеплять сервер с ISA Server 192.168.4.254/24, который натит и управляет трафиком всех офисов? Код:
version 10.4R6.5;
system {
host-name gw5;
domain-name local.int;
root-authentication {
encrypted-password "12345"; ## SECRET-DATA
}
name-server {
192.168.5.2;
192.168.4.2;
}
login {
user admin {
uid 2000;
class super-user;
authentication {
encrypted-password "12345"; ## SECRET-DATA
}
}
}
services {
ssh;
}
syslog {
archive size 100k files 3;
user * {
any emergency;
}
file messages {
any critical;
authorization info;
}
file interactive-commands {
interactive-commands error;
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 20;
license {
autoupdate {
url https://ae1.juniper.net/junos/key_retrieval;
}
}
ntp {
server 192.168.4.2;
}
}
interfaces {
interface-range interfaces-trust {
member fe-0/0/1;
member fe-0/0/2;
member fe-0/0/3;
member fe-0/0/4;
member fe-0/0/5;
member fe-0/0/6;
member fe-0/0/7;
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
fe-0/0/0 {
unit 0 {
family inet {
address 192.168.5.1/24;
}
}
}
st0.0 {
unit 0 {
family inet {
address 10.0.0.5/24;
}
}
}
st0.1 {
unit 0 {
family inet {
address 10.0.0.5/24;
}
}
}
vlan {
unit 0 {
family inet {
address 192.168.5.1/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 192.168.4.254;
route 172.16.4.0/24 next-hop st0.0;
route 172.16.6.0/24 next-hop st0.1;
}
}
protocols {
stp;
}
security {
ike {
traceoptions {
flag all;
flag policy-manager;
flag ike;
flag routing-socket;
}
proposal P1-AES {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy-1 {
mode main;
proposals P1-AES;
pre-shared-key ascii-text "12345"; ## SECRET-DATA
}
gateway gw1 {
ike-policy ike-policy-1;
address 192.168.5.1;
external-interface fe-0/0/0.0;
}
}
ipsec {
proposal P2-AES {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-policy-1 {
perfect-forward-secrecy {
keys group2;
}
proposals P2-AES;
}
vpn vpn1 {
bind-interface st0.0;
ike {
gateway gw1;
proxy-identity {
local 192.168.4.0/24;
remote 192.168.5.0/24;
service any;
}
ipsec-policy ipsec-policy-1;
}
establish-tunnels immediately;
}
vpn vpn2 {
bind-interface st0.0;
ike {
gateway gw1;
proxy-identity {
local 192.168.6.0/24;
remote 192.168.5.0/24;
service any;
}
ipsec-policy ipsec-policy-1;
}
establish-tunnels immediately;
}
}
nat {
source {
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
vlan.0;
}
}
security-zone untrust {
screen untrust-screen;
interfaces {
fe-0/0/0.0 {
host-inbound-traffic {
system-services {
dhcp;
tftp;
}
}
}
fe-0/0/1.0;
}
}
}
policies {
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy policy-name {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
}
vlans {
vlan-trust {
vlan-id 3;
l3-interface vlan.0;
}
}
|
|
Отправлено: 23:05, 13-07-2012 | #3 |
|
Пользователь Сообщения: 94
|
Профиль | Отправить PM | Цитировать Прошу паузу, конфиг неверный
По ходу вопрос. Можно ли всем st одного Джунипера (st0.0, st0.1, st0.2, и т.д.) присвоить один и тот же IP адрес? По идее наверняка же можно, да? Цитата:
|
|
|
Последний раз редактировалось denisz, 13-07-2012 в 23:39. Отправлено: 23:09, 13-07-2012 | #4 |
|
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать denisz,
1) Я, перерисую в понедельник на работе схему в визио для удобства, псле этого будет более удобно ее комментить. 2) По поводу подключения ISA. Все зависит как именно вы хотите ее использовать. Сразу скажу, что шибко в ISA не волоку, по этому опишу классические схемы не зависимые от ПО, групповых политик и прочего шаманизма а) Вы хотите чтобы через ISA ходил ВЕСЬ трафик Для этого ее необходимо сделать шлюзом по умолчанию, по крайней мере для рабочих станций. Варианты: а1) Последовательная схема {LAN} <---> [ISA]<--->{Служебная сеть}<-----> [Juniper] <-----> {Inet} a2) Схема с "одноноруким" маршрутизатором (буржуи еще ее называют "маршрутизатор-на-палочке", но на русском это достаточно ассоциативно-негативно Смысл идеи таков: - ISA может жить в той же сети ,что и рабочие станции. Пусть ее адрес x.x.x.254 (интерфейс у ISA только один) - Juniper торчит в ту же сеть и имеет адрес x.x.x.253 - Для всех рабочих станций шлюз по умолчанию = ISA - и только для ISA шлюз по умолчанию = Juniper Логически схема получается последовательная, а физически - параллельная. б) ISA работает как прокси В этом случае ее можно запихать в отдельный DMZ-сегмент Цитата denisz:
Верный вопрос: - как наиболее правильно и максимально удобно для дальнейшей эксплуатации, и ,возможно, разрастающейся сети. В понедельник рекомендации по Dynamic VPN перечитаю - скажу. |
||
|
------- Отправлено: 18:38, 15-07-2012 | #5 |
|
Пользователь Сообщения: 94
|
Профиль | Отправить PM | Цитировать По поводу ИСЫ:
Скорее всего придется ставить в главном офисе джунипер и ису отдельносмотрящими в интернет, в одной сети, со своими внешними ip-адресами. Т.о. в каждом офисе джуниперы будут шлюзами, а у джуниперов иса будет шлюзом. Но правильнее будет, наверное, как Вы сказали в а2. Завтра наверно смогу выдать итоговую схему и возможные конфиги, пока доки пытаюсь изучить |
|
Отправлено: 23:12, 15-07-2012 | #6 |
|
Пользователь Сообщения: 94
|
Профиль | Отправить PM | Цитировать По крайней мере в данный момент такая схема реализована у нас провайдером на его оборудовании, наверно это правильно
|
|
Отправлено: 23:39, 15-07-2012 | #7 |
|
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Цитата denisz:
|
|
|
------- Отправлено: 19:25, 16-07-2012 | #8 |
|
Пользователь Сообщения: 94
|
Профиль | Отправить PM | Цитировать Получается схема, которая нарисована ранее + isa в подсети с адресом 192.168.4.254/24 (только подсеть 172.16.0.0/24 для vpn убрал - для простоты она пока не нужна, наверное
)Конфиг удаленного офиса №5 у меня получился таким: Код:
root@gw5# show | no-more
## Last changed: 2012-07-16 23:34:58 UTC
version 10.4R6.5;
system {
host-name gw5;
root-authentication {
encrypted-password "12345"; ## SECRET-DATA
}
name-server {
208.67.222.222;
208.67.220.220;
}
login {
user admin {
uid 2000;
class super-user;
authentication {
encrypted-password "12345"; ## SECRET-DATA
}
}
}
services {
ssh;
}
syslog {
archive size 100k files 3;
user * {
any emergency;
}
file messages {
any critical;
authorization info;
}
file interactive-commands {
interactive-commands error;
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 5;
license {
autoupdate {
url https://ae1.juniper.net/junos/key_retrieval;
}
}
}
interfaces {
fe-0/0/0 {
unit 0 {
family inet {
address 10.0.0.5/24;
}
}
}
fe-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
st0 {
unit 0 {
family inet {
address 192.168.5.1/24;
}
}
}
vlan {
unit 0 {
family inet {
address 192.168.5.1/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 192.168.4.254;
}
}
protocols {
stp;
}
security {
ike {
policy ike-policy-gw4 {
mode aggressive;
proposal-set standard;
pre-shared-key ascii-text "12345"; ## SECRET-DATA
}
gateway ike-gateway-gw4 {
ike-policy ike-policy-gw4;
address 192.168.4.1;
external-interface fe-0/0/0;
}
}
ipsec {
proposal ipsec-no-encryption {
protocol esp;
authentication-algorithm hmac-sha1-96;
lifetime-seconds 86400;
}
policy ipsec-policy-gw4 {
perfect-forward-secrecy {
keys group2;
}
proposal-set standard;
}
vpn ipsec-vpn-gw4 {
bind-interface st0.0;
vpn-monitor;
ike {
gateway ike-gateway-gw4;
ipsec-policy ipsec-policy-gw4;
}
establish-tunnels immediately;
}
}
nat {
source {
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
}
}
}
zones {
security-zone trust {
address-book {
address net-gw5_192-168-5-0 192.168.5.0/24;
}
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
vlan.0;
}
}
security-zone untrust {
screen untrust-screen;
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
fe-0/0/0.0 {
host-inbound-traffic {
system-services {
dhcp;
tftp;
ping;
ssh;
}
}
}
}
}
security-zone vpn-to-gw4 {
address-book {
address net-gw4_192-168-4-0 192.168.4.0/24;
}
interfaces {
st0.0;
}
}
}
policies {
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone vpn-to-gw4 {
policy trust-vpngw4-gw5 {
match {
source-address net-gw5_192-168-5-0;
destination-address net-gw4_192-168-4-0;
application any;
}
then {
permit;
}
}
}
from-zone vpn-to-gw4 to-zone trust {
policy vpngw4-trust {
match {
source-address net-gw4_192-168-4-0;
destination-address net-gw5_192-168-5-0;
application any;
}
then {
permit;
}
}
}
}
flow {
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
}
}
vlans {
vlan-trust {
vlan-id 3;
l3-interface vlan.0;
}
}
Упс не вставил другие тоннели |
|
Последний раз редактировалось denisz, 16-07-2012 в 20:46. Отправлено: 19:43, 16-07-2012 | #9 |
|
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Для конфигурации Маршрутизаторов удаленных офисов не забудьте маршруты указывающие во внутренние сети.
Иначе трафик не будет заворачиваться в VPN-тунель, а будет попытка отправки на маршрутизатор провайдера. В конфигурации маршрутизатора штаб-квартиры они у вас указаны так: routing-options { static { * * * route 172.16.4.0/24 next-hop st0.0; route 172.16.6.0/24 next-hop st0.1; } } |
|
------- Отправлено: 16:37, 20-07-2012 | #10 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Router - Juniper SSG 5 - перенаправления HTTP трафика на определённый хост | exo | Сетевое оборудование | 0 | 09-12-2011 19:35 | |
| Cisco - <INFO, Juniper, Vyatta, IOS> | kim-aa | Сетевое оборудование | 1 | 04-04-2010 13:12 | |
| VPN - juniper firewall как наладить роутинг | Flick | Сетевые технологии | 1 | 26-08-2008 16:48 | |
|
|
Время: 00:28. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
