我们有 3 个 Juniper SRX-100 防火墙,它们的配置如下:
FW1 -> FW2 -> 互联网 -> FW3
我们想在 FW3 和 FW1 之间创建一个 IPSEC 隧道,穿过 FW2,最好使用 NAT-T。这可能吗?
FW1 和 FW2 有一些严格的访问规则,只允许连接 1 个端口(它是一个带有服务器的 DMZ),所以我们不能仅在 FW1 和 FW2 之间创建基于路由的 vpn 来转发流量(否则所有流量都将被转发)
我们知道隧道没有问题,因为我们已经设法在 FW1 和 FW3 之间对其进行了测试(中间没有 FW2),所以我们知道问题与 FW2 上的“直通”有关。
本质上,问题是 - 我们需要在 FW2 上选择哪些选项才能使其能够将 IPSEC 流量直接传递到 FW1?
答案1
如果它与 SSG 类似,那么您可以创建一个端口转发(可能)
在 FW2 的“脏”侧的 VIP 上设置目的地,其中“主机”为 FW1,然后只需通过策略即可。
我不是 Junper 专家,但它应该能让你像这样转发
答案2
您在 SRX 上使用的默认设置将正常工作(只是不要设置 no-nat-transversal,它不是默认设置)。只要 FW3 有一个公共的非 natted IP,VPN 就会启动。另外,请确保您处于 VPN 的激进模式而不是主模式。
最后,确保在 FW1 不信任端的 host-inbound-services 中允许使用“ike”。我遇到了一些问题,让我费了好一阵子脑筋,这些问题允许公共 ip<->公共 ip vpn 出现,但是当在 NAT 后面连接时,如果不允许 IKE,VPN 就不会出现。