|
Компьютерный форум OSzone.net » Железо » Сетевое оборудование » VPN/Firewall - VPN на Juniper`ах SRX |
|
VPN/Firewall - VPN на Juniper`ах SRX
|
Пользователь Сообщения: 94 |
Профиль | Отправить PM | Цитировать
Господа, добрый вечер
Знатоки Junos подскажите как решить проблему или пните в нужную сторону. Раньше не имел дела с такими железками, как-то все провайдер на себя брал. Сам я Windows`зятник А сейчас в руки попали Juniper SRX210 и несколько SRX100. Всю документацию на русском проштудировал, на английском в силу несильного знания языка тоже. После такого количества информации, поступившей мне в голову, может быть что-то не указал в теме - не ругайте Мозг кипит уже Что имеем: - главный офис с сетью 192.168.4.0/24. DNS 192.168.4.2/24 (AD,TS,DHCP). Есть ISA Server 192.168.4.254, в него входит инет и входит лан. Внешний IP 10.10.10.4 - первый удаленный офис с сетью 192.168.5.0/24. С дополнительным КД и DNS 192.168.5.2/24. Внешний IP 10.10.10.5 - второй удаленный офис с сетью 192.168.6.0/24. С дополнительным КД и DNS 192.168.6.2/24. Внешний IP 10.10.10.6 - все клиенты главного офиса и удаленных ходят в интернет через ISA Server - ну это пока не так важно - в fe-0/0/0 вставлен инетернет. В fe-0/0/1 вставлена сеть. Остальные fe не нужны, но пускай будут ethernet-swiching. Разницы особой кроме пропускной способности между SRX 210 и SRX100 для моего случая вроде нет - поэтому тоже не принципиально, пусть все будут SRX100 в данном примере. Вопросы поступают по мере углубления Пока думаю только про настройку Junipera в первом удаленном офисе. Есть конфиг. Будет ли он работать? Можно ли что-то добавить или убрать? По ходу чтения кода не всё складывается - уверен, что вагон ошибок. version 10.4R6.5; system { host-name gwa; domain-name local.int; root-authentication { encrypted-password "12345"; ## SECRET-DATA } name-server { 192.168.5.2; 192.168.4.2; } login { user admin { uid 2000; class super-user; authentication { encrypted-password "12345"; ## SECRET-DATA } } } services { ssh; } syslog { archive size 100k files 3; user * { any emergency; } file messages { any critical; authorization info; } file interactive-commands { interactive-commands error; } } max-configurations-on-flash 5; max-configuration-rollbacks 20; license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; } } ntp { server 192.168.4.2; } } interfaces { interface-range interfaces-trust { member fe-0/0/1; member fe-0/0/2; member fe-0/0/3; member fe-0/0/4; member fe-0/0/5; member fe-0/0/6; member fe-0/0/7; unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } fe-0/0/0 { unit 0 { family inet { address 192.168.5.1/24; } } } st0 { unit 0 { family inet { address 10.0.0.5/32; } } } vlan { unit 0 { family inet { address 192.168.5.1/24; } } } } routing-options { static { route 0.0.0.0/0 next-hop 10.10.10.10; route 192.168.4.0/24 next-hop st0.0; route 192.168.6.0/24 next-hop st0.0; } } protocols { stp; } security { ike { traceoptions { flag all; flag policy-manager; flag ike; flag routing-socket; } proposal P1-AES { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy-1 { mode main; proposals P1-AES; pre-shared-key ascii-text "12345"; ## SECRET-DATA } gateway gw1 { ike-policy ike-policy-1; address 192.168.5.1; external-interface fe-0/0/0.0; } } ipsec { proposal P2-AES { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-128-cbc; } policy ipsec-policy-1 { perfect-forward-secrecy { keys group2; } proposals P2-AES; } vpn vpn1 { bind-interface st0.0; ike { gateway gw1; proxy-identity { local 192.168.4.0/24; remote 192.168.5.0/24; service any; } ipsec-policy ipsec-policy-1; } establish-tunnels immediately; } vpn vpn2 { bind-interface st0.0; ike { gateway gw1; proxy-identity { local 192.168.6.0/24; remote 192.168.5.0/24; service any; } ipsec-policy ipsec-policy-1; } establish-tunnels immediately; } } nat { source { rule-set trust-to-untrust { from zone trust; to zone untrust; rule source-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } screen { ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; timeout 20; } land; } } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { vlan.0; } } security-zone untrust { screen untrust-screen; interfaces { fe-0/0/0.0 { host-inbound-traffic { system-services { dhcp; tftp; } } } fe-0/0/1.0; } } } policies { from-zone trust to-zone untrust { policy trust-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } policy policy-name { match { source-address any; destination-address any; application any; } then { permit; } } } } } vlans { vlan-trust { vlan-id 3; l3-interface vlan.0; } } |
|
Отправлено: 01:13, 13-07-2012 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать 1) Вот это читали?
По Динамическому VPN http://www.juniper.net/elqNow/elqRed...3500202-en.pdf По типовым настройкам http://www.juniper.net/elqNow/elqRed...3500153-en.pdf 2) У вас есть возможность собрать рабочую схему "на столе". Т.е. Juniper'ыу вас на руках? 3) Вы по NAT читали? http://www.juniper.net/elqNow/elqRed...3500151-en.pdf У вас "untrust" зона описана двумя интерфейсами. NAT же описан для перехода между зонами с присваиванием IP внешнего интерфейса. Так и задумано? 4) Схему начертите Обсуждать и , особенно, настраивать сеть по текстовым материалам дурная привычка, ведущая к командировкам |
------- Отправлено: 15:12, 13-07-2012 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Пользователь Сообщения: 94
|
Профиль | Отправить PM | Цитировать kim-aa, я только вчера о Вас вспоминал. Я просил у Вас в icq поделиться документацией по Juniper где-то год (!) назад. Вчера я вспомнил, что Вы мне эту документацию высылали. И я ее долго искал и нашел Прочитал еще раз. И вот Вы тут )) Неожиданно))
А по теме: - начертил схему в кореле. Сто лет не юзал корел - извиняюсь - конфиг прилагаю. Он у всех офисов по идее одинаковый. В данном примере конфиг от Джунипера 192.168.5.1/24 - куда и как цеплять сервер с ISA Server 192.168.4.254/24, который натит и управляет трафиком всех офисов? version 10.4R6.5; system { host-name gw5; domain-name local.int; root-authentication { encrypted-password "12345"; ## SECRET-DATA } name-server { 192.168.5.2; 192.168.4.2; } login { user admin { uid 2000; class super-user; authentication { encrypted-password "12345"; ## SECRET-DATA } } } services { ssh; } syslog { archive size 100k files 3; user * { any emergency; } file messages { any critical; authorization info; } file interactive-commands { interactive-commands error; } } max-configurations-on-flash 5; max-configuration-rollbacks 20; license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; } } ntp { server 192.168.4.2; } } interfaces { interface-range interfaces-trust { member fe-0/0/1; member fe-0/0/2; member fe-0/0/3; member fe-0/0/4; member fe-0/0/5; member fe-0/0/6; member fe-0/0/7; unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } fe-0/0/0 { unit 0 { family inet { address 192.168.5.1/24; } } } st0.0 { unit 0 { family inet { address 10.0.0.5/24; } } } st0.1 { unit 0 { family inet { address 10.0.0.5/24; } } } vlan { unit 0 { family inet { address 192.168.5.1/24; } } } } routing-options { static { route 0.0.0.0/0 next-hop 192.168.4.254; route 172.16.4.0/24 next-hop st0.0; route 172.16.6.0/24 next-hop st0.1; } } protocols { stp; } security { ike { traceoptions { flag all; flag policy-manager; flag ike; flag routing-socket; } proposal P1-AES { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy-1 { mode main; proposals P1-AES; pre-shared-key ascii-text "12345"; ## SECRET-DATA } gateway gw1 { ike-policy ike-policy-1; address 192.168.5.1; external-interface fe-0/0/0.0; } } ipsec { proposal P2-AES { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-128-cbc; } policy ipsec-policy-1 { perfect-forward-secrecy { keys group2; } proposals P2-AES; } vpn vpn1 { bind-interface st0.0; ike { gateway gw1; proxy-identity { local 192.168.4.0/24; remote 192.168.5.0/24; service any; } ipsec-policy ipsec-policy-1; } establish-tunnels immediately; } vpn vpn2 { bind-interface st0.0; ike { gateway gw1; proxy-identity { local 192.168.6.0/24; remote 192.168.5.0/24; service any; } ipsec-policy ipsec-policy-1; } establish-tunnels immediately; } } nat { source { rule-set trust-to-untrust { from zone trust; to zone untrust; rule source-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } screen { ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; timeout 20; } land; } } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { vlan.0; } } security-zone untrust { screen untrust-screen; interfaces { fe-0/0/0.0 { host-inbound-traffic { system-services { dhcp; tftp; } } } fe-0/0/1.0; } } } policies { from-zone trust to-zone untrust { policy trust-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } policy policy-name { match { source-address any; destination-address any; application any; } then { permit; } } } } } vlans { vlan-trust { vlan-id 3; l3-interface vlan.0; } } |
Отправлено: 23:05, 13-07-2012 | #3 |
Пользователь Сообщения: 94
|
Профиль | Отправить PM | Цитировать Прошу паузу, конфиг неверный
По ходу вопрос. Можно ли всем st одного Джунипера (st0.0, st0.1, st0.2, и т.д.) присвоить один и тот же IP адрес? По идее наверняка же можно, да? Цитата:
|
|
Последний раз редактировалось denisz, 13-07-2012 в 23:39. Отправлено: 23:09, 13-07-2012 | #4 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать denisz,
1) Я, перерисую в понедельник на работе схему в визио для удобства, псле этого будет более удобно ее комментить. 2) По поводу подключения ISA. Все зависит как именно вы хотите ее использовать. Сразу скажу, что шибко в ISA не волоку, по этому опишу классические схемы не зависимые от ПО, групповых политик и прочего шаманизма а) Вы хотите чтобы через ISA ходил ВЕСЬ трафик Для этого ее необходимо сделать шлюзом по умолчанию, по крайней мере для рабочих станций. Варианты: а1) Последовательная схема {LAN} <---> [ISA]<--->{Служебная сеть}<-----> [Juniper] <-----> {Inet} a2) Схема с "одноноруким" маршрутизатором (буржуи еще ее называют "маршрутизатор-на-палочке", но на русском это достаточно ассоциативно-негативно Смысл идеи таков: - ISA может жить в той же сети ,что и рабочие станции. Пусть ее адрес x.x.x.254 (интерфейс у ISA только один) - Juniper торчит в ту же сеть и имеет адрес x.x.x.253 - Для всех рабочих станций шлюз по умолчанию = ISA - и только для ISA шлюз по умолчанию = Juniper Логически схема получается последовательная, а физически - параллельная. б) ISA работает как прокси В этом случае ее можно запихать в отдельный DMZ-сегмент Цитата denisz:
Верный вопрос: - как наиболее правильно и максимально удобно для дальнейшей эксплуатации, и ,возможно, разрастающейся сети. В понедельник рекомендации по Dynamic VPN перечитаю - скажу. |
||
------- Отправлено: 18:38, 15-07-2012 | #5 |
Пользователь Сообщения: 94
|
Профиль | Отправить PM | Цитировать По поводу ИСЫ:
Скорее всего придется ставить в главном офисе джунипер и ису отдельносмотрящими в интернет, в одной сети, со своими внешними ip-адресами. Т.о. в каждом офисе джуниперы будут шлюзами, а у джуниперов иса будет шлюзом. Но правильнее будет, наверное, как Вы сказали в а2. Завтра наверно смогу выдать итоговую схему и возможные конфиги, пока доки пытаюсь изучить |
Отправлено: 23:12, 15-07-2012 | #6 |
Пользователь Сообщения: 94
|
Профиль | Отправить PM | Цитировать По крайней мере в данный момент такая схема реализована у нас провайдером на его оборудовании, наверно это правильно
|
Отправлено: 23:39, 15-07-2012 | #7 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Цитата denisz:
|
|
------- Отправлено: 19:25, 16-07-2012 | #8 |
Пользователь Сообщения: 94
|
Профиль | Отправить PM | Цитировать Получается схема, которая нарисована ранее + isa в подсети с адресом 192.168.4.254/24 (только подсеть 172.16.0.0/24 для vpn убрал - для простоты она пока не нужна, наверное )
Конфиг удаленного офиса №5 у меня получился таким: root@gw5# show | no-more ## Last changed: 2012-07-16 23:34:58 UTC version 10.4R6.5; system { host-name gw5; root-authentication { encrypted-password "12345"; ## SECRET-DATA } name-server { 208.67.222.222; 208.67.220.220; } login { user admin { uid 2000; class super-user; authentication { encrypted-password "12345"; ## SECRET-DATA } } } services { ssh; } syslog { archive size 100k files 3; user * { any emergency; } file messages { any critical; authorization info; } file interactive-commands { interactive-commands error; } } max-configurations-on-flash 5; max-configuration-rollbacks 5; license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; } } } interfaces { fe-0/0/0 { unit 0 { family inet { address 10.0.0.5/24; } } } fe-0/0/1 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } st0 { unit 0 { family inet { address 192.168.5.1/24; } } } vlan { unit 0 { family inet { address 192.168.5.1/24; } } } } routing-options { static { route 0.0.0.0/0 next-hop 192.168.4.254; } } protocols { stp; } security { ike { policy ike-policy-gw4 { mode aggressive; proposal-set standard; pre-shared-key ascii-text "12345"; ## SECRET-DATA } gateway ike-gateway-gw4 { ike-policy ike-policy-gw4; address 192.168.4.1; external-interface fe-0/0/0; } } ipsec { proposal ipsec-no-encryption { protocol esp; authentication-algorithm hmac-sha1-96; lifetime-seconds 86400; } policy ipsec-policy-gw4 { perfect-forward-secrecy { keys group2; } proposal-set standard; } vpn ipsec-vpn-gw4 { bind-interface st0.0; vpn-monitor; ike { gateway ike-gateway-gw4; ipsec-policy ipsec-policy-gw4; } establish-tunnels immediately; } } nat { source { rule-set trust-to-untrust { from zone trust; to zone untrust; rule source-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } screen { ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; timeout 20; } land; } } } zones { security-zone trust { address-book { address net-gw5_192-168-5-0 192.168.5.0/24; } host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { vlan.0; } } security-zone untrust { screen untrust-screen; host-inbound-traffic { system-services { ike; } } interfaces { fe-0/0/0.0 { host-inbound-traffic { system-services { dhcp; tftp; ping; ssh; } } } } } security-zone vpn-to-gw4 { address-book { address net-gw4_192-168-4-0 192.168.4.0/24; } interfaces { st0.0; } } } policies { from-zone trust to-zone untrust { policy trust-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone vpn-to-gw4 { policy trust-vpngw4-gw5 { match { source-address net-gw5_192-168-5-0; destination-address net-gw4_192-168-4-0; application any; } then { permit; } } } from-zone vpn-to-gw4 to-zone trust { policy vpngw4-trust { match { source-address net-gw4_192-168-4-0; destination-address net-gw5_192-168-5-0; application any; } then { permit; } } } } flow { tcp-mss { ipsec-vpn { mss 1350; } } } } vlans { vlan-trust { vlan-id 3; l3-interface vlan.0; } } Упс не вставил другие тоннели |
Последний раз редактировалось denisz, 16-07-2012 в 20:46. Отправлено: 19:43, 16-07-2012 | #9 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Для конфигурации Маршрутизаторов удаленных офисов не забудьте маршруты указывающие во внутренние сети.
Иначе трафик не будет заворачиваться в VPN-тунель, а будет попытка отправки на маршрутизатор провайдера. В конфигурации маршрутизатора штаб-квартиры они у вас указаны так: routing-options { static { * * * route 172.16.4.0/24 next-hop st0.0; route 172.16.6.0/24 next-hop st0.1; } } |
------- Отправлено: 16:37, 20-07-2012 | #10 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Router - Juniper SSG 5 - перенаправления HTTP трафика на определённый хост | exo | Сетевое оборудование | 0 | 09-12-2011 19:35 | |
Cisco - <INFO, Juniper, Vyatta, IOS> | kim-aa | Сетевое оборудование | 1 | 04-04-2010 13:12 | |
VPN - juniper firewall как наладить роутинг | Flick | Сетевые технологии | 1 | 26-08-2008 16:48 |
|