|
Компьютерный форум OSzone.net » Железо » Сетевое оборудование » VPN/Firewall - VPN на Juniper`ах SRX |
|
VPN/Firewall - VPN на Juniper`ах SRX
|
Пользователь Сообщения: 94 |
Профиль | Отправить PM | Цитировать
Господа, добрый вечер
Знатоки Junos подскажите как решить проблему или пните в нужную сторону. Раньше не имел дела с такими железками, как-то все провайдер на себя брал. Сам я Windows`зятник А сейчас в руки попали Juniper SRX210 и несколько SRX100. Всю документацию на русском проштудировал, на английском в силу несильного знания языка тоже. После такого количества информации, поступившей мне в голову, может быть что-то не указал в теме - не ругайте Мозг кипит уже Что имеем: - главный офис с сетью 192.168.4.0/24. DNS 192.168.4.2/24 (AD,TS,DHCP). Есть ISA Server 192.168.4.254, в него входит инет и входит лан. Внешний IP 10.10.10.4 - первый удаленный офис с сетью 192.168.5.0/24. С дополнительным КД и DNS 192.168.5.2/24. Внешний IP 10.10.10.5 - второй удаленный офис с сетью 192.168.6.0/24. С дополнительным КД и DNS 192.168.6.2/24. Внешний IP 10.10.10.6 - все клиенты главного офиса и удаленных ходят в интернет через ISA Server - ну это пока не так важно - в fe-0/0/0 вставлен инетернет. В fe-0/0/1 вставлена сеть. Остальные fe не нужны, но пускай будут ethernet-swiching. Разницы особой кроме пропускной способности между SRX 210 и SRX100 для моего случая вроде нет - поэтому тоже не принципиально, пусть все будут SRX100 в данном примере. Вопросы поступают по мере углубления Пока думаю только про настройку Junipera в первом удаленном офисе. Есть конфиг. Будет ли он работать? Можно ли что-то добавить или убрать? По ходу чтения кода не всё складывается - уверен, что вагон ошибок. version 10.4R6.5; system { host-name gwa; domain-name local.int; root-authentication { encrypted-password "12345"; ## SECRET-DATA } name-server { 192.168.5.2; 192.168.4.2; } login { user admin { uid 2000; class super-user; authentication { encrypted-password "12345"; ## SECRET-DATA } } } services { ssh; } syslog { archive size 100k files 3; user * { any emergency; } file messages { any critical; authorization info; } file interactive-commands { interactive-commands error; } } max-configurations-on-flash 5; max-configuration-rollbacks 20; license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; } } ntp { server 192.168.4.2; } } interfaces { interface-range interfaces-trust { member fe-0/0/1; member fe-0/0/2; member fe-0/0/3; member fe-0/0/4; member fe-0/0/5; member fe-0/0/6; member fe-0/0/7; unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } fe-0/0/0 { unit 0 { family inet { address 192.168.5.1/24; } } } st0 { unit 0 { family inet { address 10.0.0.5/32; } } } vlan { unit 0 { family inet { address 192.168.5.1/24; } } } } routing-options { static { route 0.0.0.0/0 next-hop 10.10.10.10; route 192.168.4.0/24 next-hop st0.0; route 192.168.6.0/24 next-hop st0.0; } } protocols { stp; } security { ike { traceoptions { flag all; flag policy-manager; flag ike; flag routing-socket; } proposal P1-AES { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-policy-1 { mode main; proposals P1-AES; pre-shared-key ascii-text "12345"; ## SECRET-DATA } gateway gw1 { ike-policy ike-policy-1; address 192.168.5.1; external-interface fe-0/0/0.0; } } ipsec { proposal P2-AES { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-128-cbc; } policy ipsec-policy-1 { perfect-forward-secrecy { keys group2; } proposals P2-AES; } vpn vpn1 { bind-interface st0.0; ike { gateway gw1; proxy-identity { local 192.168.4.0/24; remote 192.168.5.0/24; service any; } ipsec-policy ipsec-policy-1; } establish-tunnels immediately; } vpn vpn2 { bind-interface st0.0; ike { gateway gw1; proxy-identity { local 192.168.6.0/24; remote 192.168.5.0/24; service any; } ipsec-policy ipsec-policy-1; } establish-tunnels immediately; } } nat { source { rule-set trust-to-untrust { from zone trust; to zone untrust; rule source-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } screen { ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; timeout 20; } land; } } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { vlan.0; } } security-zone untrust { screen untrust-screen; interfaces { fe-0/0/0.0 { host-inbound-traffic { system-services { dhcp; tftp; } } } fe-0/0/1.0; } } } policies { from-zone trust to-zone untrust { policy trust-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } policy policy-name { match { source-address any; destination-address any; application any; } then { permit; } } } } } vlans { vlan-trust { vlan-id 3; l3-interface vlan.0; } } |
|
Отправлено: 01:13, 13-07-2012 |
Пользователь Сообщения: 94
|
Профиль | Отправить PM | Цитировать kim-aa,
совсем итоговая схема. Рисунок во вложении (так и не понял, чем Визио выигрывает ) Главный офис 192.168.4.0/24 Удаленные офисы: tnc - 192.168.1.0/24, hrv - 192.168.2.0/24, ksn - 192.168.3.0/24, smr - 192.168.5.0/24, mta - 192.168.6.0/24, vgl - 192.168.9.0/24. И на рисунке расписан один удаленный офис smr с сетью 192.168.5.0/24. Остальные удаленные офисы сделаны по такой же схеме как smr Весь трафик должен идти через ISA(TMG)-сервер 192.168.4.254, висит LANом в свиче с сетью 192.168.4.0/24 и Juniperом главного офиса Не пойму правда для чего нужна сеть 10.0.0.0/24, т.к. все джуниперы из всех сетей должны быть видны как 192.168.х.1 Тунели должны быть от всех офисов ко всем офисам На рабочих станциях (и главного офиса, и удаленных) шлюзом должен быть соответствующий Джунипер. А у джуниперов шлюз сервер с Исой, как я понял. Вот конфиг для главного офиса (у всех удаленных он практически такой же) admin@nkb-gw> show configuration | no-more ## Last commit: 2012-07-21 00:16:12 UTC by root version 10.4R6.5; system { host-name nkb-gw; root-authentication { encrypted-password "12345"; ## SECRET-DATA } name-server { 192.168.4.3; } login { user admin { uid 2001; class super-user; authentication { encrypted-password "12345"; ## SECRET-DATA } } } services { ssh; telnet; } syslog { archive size 100k files 3; user * { any emergency; } file messages { any critical; authorization info; } file interactive-commands { interactive-commands error; } } max-configurations-on-flash 5; max-configuration-rollbacks 20; license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; } } } interfaces { fe-0/0/0 { description internet; unit 0 { family inet { address 245.43.23.90/24; } } } fe-0/0/1 { description lan; unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } st0 { description vpn; unit 1 { description tnc; family inet { address 10.0.0.1/24; } } unit 2 { description hrv; family inet { address 10.0.0.2/24; } } unit 3 { description ksn; family inet { address 10.0.0.3/24; } } unit 5 { description smr; family inet { address 10.0.0.5/24; } } unit 6 { description mta; family inet { address 10.0.0.6/24; } } unit 9 { description vgl; family inet { address 10.0.0.9/24; } } } vlan { unit 0 { family inet { address 192.168.4.1/24; } } } } routing-options { static { route 0.0.0.0/0 next-hop 192.168.4.254; route 192.168.1.0/24 next-hop st0.1; route 192.168.2.0/24 next-hop st0.2; route 192.168.3.0/24 next-hop st0.3; route 192.168.5.0/24 next-hop st0.5; route 192.168.6.0/24 next-hop st0.6; route 192.168.9.0/24 next-hop st0.9; } } protocols { stp; } security { ike { policy ike_policy_tnc { mode aggressive; proposal-set compatible; pre-shared-key ascii-text "12345"; ## SECRET-DATA } policy ike_policy_hrv { mode aggressive; proposal-set compatible; pre-shared-key ascii-text "12345"; ## SECRET-DATA } policy ike_policy_ksn { mode aggressive; proposal-set compatible; pre-shared-key ascii-text "12345"; ## SECRET-DATA } policy ike_policy_smr { mode aggressive; proposal-set compatible; pre-shared-key ascii-text "12345"; ## SECRET-DATA } policy ike_policy_mta { mode aggressive; proposal-set compatible; pre-shared-key ascii-text "12345"; ## SECRET-DATA } policy ike_policy_vgl { mode aggressive; proposal-set compatible; pre-shared-key ascii-text "12345"; ## SECRET-DATA } gateway ike_gateway_tnc { ike-policy ike_policy_tnc; address 231.234.43.23; external-interface fe-0/0/0.0; } gateway ike_gateway_hrv { ike-policy ike_policy_hrv; address 132.56.23.166; external-interface fe-0/0/0.0; } gateway ike_gateway_ksn { ike-policy ike_policy_ksn; address 112.126.213.66; external-interface fe-0/0/0.0; } gateway ike_gateway_smr { ike-policy ike_policy_smr; address 211.23.6.34; external-interface fe-0/0/0.0; } gateway ike_gateway_mta { ike-policy ike_policy_mta; address 129.233.2.34; external-interface fe-0/0/0.0; } gateway ike_gateway_vgl { ike-policy ike_policy_vgl; address 19.241.81.111; external-interface fe-0/0/0.0; } } ipsec { proposal ipsec-no-encryption { protocol esp; authentication-algorithm hmac-sha1-96; lifetime-seconds 86400; } policy ipsec_policy_tnc { perfect-forward-secrecy { keys group2; } proposal-set compatible; } policy ipsec_policy_hrv { perfect-forward-secrecy { keys group2; } proposal-set compatible; } policy ipsec_policy_ksn { perfect-forward-secrecy { keys group2; } proposal-set compatible; } policy ipsec_policy_smr { perfect-forward-secrecy { keys group2; } proposal-set compatible; } policy ipsec_policy_mta { perfect-forward-secrecy { keys group2; } proposal-set compatible; } policy ipsec_policy_vgl { perfect-forward-secrecy { keys group2; } proposal-set compatible; } vpn ipsec_vpn_tnc { bind-interface st0.1; vpn-monitor; ike { gateway ike_gateway_tnc; ipsec-policy ipsec_policy_tnc; } establish-tunnels immediately; } vpn ipsec_vpn_hrv { bind-interface st0.2; vpn-monitor; ike { gateway ike_gateway_hrv; ipsec-policy ipsec_policy_hrv; } establish-tunnels immediately; } vpn ipsec_vpn_ksn { bind-interface st0.3; vpn-monitor; ike { gateway ike_gateway_ksn; ipsec-policy ipsec_policy_ksn; } establish-tunnels immediately; } vpn ipsec_vpn_smr { bind-interface st0.5; vpn-monitor; ike { gateway ike_gateway_smr; ipsec-policy ipsec_policy_smr; } establish-tunnels immediately; } vpn ipsec_vpn_mta { bind-interface st0.6; vpn-monitor; ike { gateway ike_gateway_mta; ipsec-policy ipsec_policy_mta; } establish-tunnels immediately; } vpn ipsec_vpn_vgl { bind-interface st0.9; vpn-monitor; ike { gateway ike_gateway_vgl; ipsec-policy ipsec_policy_vgl; } establish-tunnels immediately; } } nat { source { rule-set trust-to-untrust { from zone trust; to zone untrust; rule source-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } screen { ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; timeout 20; } land; } } } zones { security-zone trust { address-book { address addr_192_168_4_0--24 192.168.4.0/24; } host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { vlan.0; } } security-zone untrust { screen untrust-screen; interfaces { fe-0/0/0.0 { host-inbound-traffic { system-services { ping; ssh; } } } } } security-zone vpn_zone { address-book { address addr_192_168_5_0--24 192.168.5.0/24; address addr_192_168_1_0--24 192.168.1.0/24; address addr_192_168_2_0--24 192.168.2.0/24; address addr_192_168_3_0--24 192.168.3.0/24; address addr_192_168_9_0--24 192.168.9.0/24; address addr_192_168_6_0--24 192.168.6.0/24; } host-inbound-traffic { system-services { ike; } } interfaces { st0.1; st0.2; st0.3; st0.6; st0.5; st0.9; } } } policies { from-zone trust to-zone untrust { policy trust-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone vpn_zone { policy policy_trust_to_tnc { match { source-address addr_192_168_4_0--24; destination-address addr_192_168_1_0--24; application any; } then { permit; } } policy policy_trust_to_hrv { match { source-address addr_192_168_4_0--24; destination-address addr_192_168_2_0--24; application any; } then { permit; } } policy policy_trust_to_ksn { match { source-address addr_192_168_4_0--24; destination-address addr_192_168_3_0--24; application any; } then { permit; } } policy policy_trust_to_smr { match { source-address addr_192_168_4_0--24; destination-address addr_192_168_5_0--24; application any; } then { permit; } } policy policy_trust_to_mta { match { source-address addr_192_168_4_0--24; destination-address addr_192_168_6_0--24; application any; } then { permit; } } policy policy_trust_to_vgl { match { source-address addr_192_168_4_0--24; destination-address addr_192_168_9_0--24; application any; } then { permit; } } } from-zone vpn_zone to-zone trust { policy policy_tnc_to_trust { match { source-address addr_192_168_1_0--24; destination-address addr_192_168_4_0--24; application any; } then { permit; } } policy policy_hrv_to_trust { match { source-address addr_192_168_2_0--24; destination-address addr_192_168_4_0--24; application any; } then { permit; } } policy policy_ksn_to_trust { match { source-address addr_192_168_3_0--24; destination-address addr_192_168_4_0--24; application any; } then { permit; } } policy policy_smr_to_trust { match { source-address addr_192_168_5_0--24; destination-address addr_192_168_4_0--24; application any; } then { permit; } } policy policy_mta_to_trust { match { source-address addr_192_168_6_0--24; destination-address addr_192_168_4_0--24; application any; } then { permit; } } policy policy_vgl_to_trust { match { source-address addr_192_168_9_0--24; destination-address addr_192_168_4_0--24; application any; } then { permit; } } } from-zone trust to-zone trust { policy trust_to_trust { match { source-address any; destination-address any; application any; } then { permit; } } } } flow { tcp-mss { ipsec-vpn { mss 1350; } } tcp-session { no-syn-check; no-syn-check-in-tunnel; } } } vlans { vlan-trust { vlan-id 3; l3-interface vlan.0; } } |
Последний раз редактировалось denisz, 20-07-2012 в 22:24. Отправлено: 21:13, 20-07-2012 | #11 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Пользователь Сообщения: 94
|
Профиль | Отправить PM | Цитировать Ужас, чтобы junos обновить еще и контракт какой-то нужен...
|
Отправлено: 12:22, 21-07-2012 | #12 |
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать Цитата denisz:
регайтесь на сайте джунипера, указываете серийник любой вашей железки. всё, раздел Download Software целиком и полностью ваш. |
|
------- Отправлено: 17:53, 21-07-2012 | #13 |
Пользователь Сообщения: 94
|
Профиль | Отправить PM | Цитировать cameron, да спасибо. Веду переписку в саппортом, пока еще не разрешают моей учетке скачивать, вроде как сейчас откроют
Попробовал собрать эту схему на столе. Получилось Ряд вопросов правда появился. Ну это потом |
Последний раз редактировалось denisz, 22-07-2012 в 00:50. Отправлено: 18:22, 21-07-2012 | #14 |
Пользователь Сообщения: 94
|
Профиль | Отправить PM | Цитировать Не пойму почему у меня с Джунипера всё что в туннелях не пингуется. Наружу всё норм
Хотя с компьютеров в разных сетях, соединенных VPNом всё пингуется и джуниперы И все же непонятно зачем сеть 10.0.0.0/24. И если в главном офисе st0.1-st0.9 назначены IP 10.0.0.1-10.0.0.9, то в первом удаленном st0.1-st0.9 должны быть 10.0.0.10-10.0.0.16. В следующем офисе 10.0.0.17-10.0.0.22. Это принципиально? И надо ли это вообще? А вообще у меня туча вопросов, но мне стыдно их задавать )) Придется ковырять мануалы )) |
Отправлено: 00:49, 22-07-2012 | #15 |
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать Цитата denisz:
Цитата denisz:
Цитата denisz:
никто не мешает делать по /30 на туннель, главное что бы не было оверлапа. а вообще такое разделение крайне удобно в диагностике, пока вы этим не занимаетесь - не понять. Цитата denisz:
там, емнип, поля подписаны и есть хелп даже. |
||||
------- Отправлено: 09:00, 22-07-2012 | #16 |
Пользователь Сообщения: 94
|
Профиль | Отправить PM | Цитировать Dear Denis,
Thank you for your response. I checked the information regarding the SN you provided; I was able to verify that it is not registered yet to your company and not having active support contract. Please provide a seial number with active support contract so that we may be able to proceed in updating your account with the software access you requested. Please feel free to let me know if you need further assistance and I will be happy to assist. Best regards, Lily Macayan Juniper Networks, Inc. Customer Care |
Отправлено: 11:35, 22-07-2012 | #17 |
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать denisz,
когда были куплены эти джуниперы? если более года назад, с базовой гарантией, то конечно регнуть их уже не получится. скажите какие версии джуноса вам нужны, я выложу. |
------- Отправлено: 14:21, 22-07-2012 | #18 |
Пользователь Сообщения: 94
|
Профиль | Отправить PM | Цитировать Да, год уже наверное прошел гарантия наверняка была базовая
Версию какую-нибудь актуальную для srx100. Я так понимаю это 12.1R2.9. Буду бесконечно благодарен http://www.juniper.net/support/downloads/?p=srx100#sw Вообще какое-то странное отношение Juniper к обновлению. Всего год |
Отправлено: 15:44, 22-07-2012 | #19 |
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать Цитата denisz:
моей регистрации уже года два-три, по моему. линки будут в личке. |
|
------- Отправлено: 16:11, 22-07-2012 | #20 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Router - Juniper SSG 5 - перенаправления HTTP трафика на определённый хост | exo | Сетевое оборудование | 0 | 09-12-2011 19:35 | |
Cisco - <INFO, Juniper, Vyatta, IOS> | kim-aa | Сетевое оборудование | 1 | 04-04-2010 13:12 | |
VPN - juniper firewall как наладить роутинг | Flick | Сетевые технологии | 1 | 26-08-2008 16:48 |
|