使用 Junipers (ss5 g) 设置点对点 VPN

使用 Junipers (ss5 g) 设置点对点 VPN

我很感激任何回复,因为(长话短说)我在从事的这个项目上遇到了一些困难,并且已经准备好完成它了。我正在尝试使用两个 Junipers SS5 G 设置点对点 VPN。我确实可以访问这两个设备,两个位置都有静态 IP 地址,但是,我找不到不这样做的指南:A. 使用 IPSEC(如果我理解得没错,这需要启用 IPV6)或 B. 使用相同的两个 Juniper 设备。

再次,我正在使用两台 Junipers SS5 G,都运行 ScreenOS 6.1.0r2.0。

真正让我困惑的是,绑定不同接口、创建隧道、VPN 和 VR 之间似乎有太多选项。我就是搞不懂。请给我指明正确的方向。

非常感谢您的帮助,感谢您的阅读。

答案1

您必须使用 IPSec,它不需要任何 IPv6。

Juniper SSG 在隧道方面具有非常灵活的逻辑。这很好,因为您可以解决许多用例,但也有缺点,因为配置过程更加复杂。

Juniper IPSEC 隧道有两种类型:基于路由和基于策略。两者的共同点在于建立隧道时使用的属性:对等 IP 地址、加密算法、安全关联等 - 任何类型的隧道都需要这些属性。不同之处在于允许防火墙决定是否必须加密特定数据包流并将其放入隧道的过程。使用基于路由的隧道,您可以使用将流转发到隧道的路由;使用基于策略的隧道,您可以创建选择要加密的流的策略。

稍微概括一下,我可以说基于策略的隧道已经过时了。因此,进一步的讨论将集中在基于路由的防火墙上。这里描述的一切都必须在两端使用不同的名称和 IP 地址进行。

第一个构建块是网关。这是另一侧的防火墙。在这里我们将该网关称为“Paris”,指定其公共 IP 地址、协商模式、用于连接它的外部接口、预共享密钥和预定义的“标准”提案:

fw-> set ike gateway "Paris" address 111.111.111.111 main outgoing-interface "ethernet0/0" preshare "verysecretkey" sec-level standard

接下来,我们配置第 2 阶段提案,在其中创建实际的隧道,指定用于隧道的网关、我们的本地 IP 块和远程 IP 块。

fw-> set vpn vpn_to_paris gateway Paris no-replay tunnel idletime 0 sec-level standard
fw-> set vpn vpn_to_paris proxy-id local-ip 192.168.0.0/24 remote-ip 192.168.1.0/24 "ANY"

这样就完成了隧道的 IPSec 相关部分。现在我们只需确保将其用于相关流量。创建一个隧道接口。它是一个虚拟接口,可以像真实接口一样进行配置,但在大多数情况下,只需创建一个依赖于真实外部接口的无编号接口并将其分配给一个安全区域,用于未来控制两个站点之间访问的策略即可。它通常看起来像这样:

fw-> set interface tunnel.1 zone vpn
fw-> set interface tunnel.1 ip unnumbered interface eth0/0

将隧道绑定到接口并创建将流量发送到那里的路由:

fw-> set vpn vpn_to_paris bind interface tunnel.1
fw-> set route 192.168.1.0/24 interface tunnel.1

现在,剩下要做的就是配置策略(如果需要)。要控制出站流量,请在“Trust”和“VPN”区域之间创建策略;要控制来自其他站点的流量,请在“VPN”和“Trust”区域之间创建策略。

推荐阅读:ScreenOS 手册来自 O'Reilly。

相关内容