Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configure uma VPN IPsec

Metas de projeto de VPN IPSec

Sua VPN IPsec deve atender a esses critérios:

  • Configure uma VPN IPsec dinâmica para dar suporte à atribuição de endereço DHCP à interface WAN pelo provedor de serviços de Internet.
  • Garanta que apenas o tráfego originado na zona de confiança seja capaz de usar o túnel IPsec.
  • Garanta que apenas o tráfego destinado à sub-rede 172.168.200.0/24 use o túnel IPsec.
Usaremos os parâmetros na Tabela 1 para configurar uma VPN IPsec.
Tabela 1: Parâmetros de VPN IPsec
Valor do parâmetro
Interface de túnel st0
IP do túnel de filial 10.0.0.1/24
IP de túnel corporativo 10.0.0.2/24
Proposta do IKE Padrão
Modo IKE Agressivo
Chave pré-compartilhada "srx_branch"
Estabelecimento de túnel Imediatamente
Identidade de filial Ramo
Identidade corporativa Hq
Zona de segurança de túnel Vpn

Configure uma VPN IPsec baseada em rotas

Vamos configurar uma VPN IPsec!

  1. Faça login como raiz no console do dispositivo. Inicie a CLI e insira o modo de configuração.
  2. Configure a interface do túnel st0. Um túnel sem números é suportado neste cenário. Aqui, optamos por numerar os pontos finais do túnel. Um benefício da numeração do túnel é permitir o teste de ping dos pontos finais do túnel para ajudar a depurar quaisquer problemas de conectividade.
  3. Defina uma rota estática para tráfego direto destinado a 172.16.200.0/24 no túnel IPsec.
  4. Configure os parâmetros IKE. Os parâmetros de identidade local e identidade remota são importantes para oferecer suporte a uma VPN IPsec dinâmica. Quando endereços IP estáticos são usados, você define um gateway IKE local e remoto especificando esses endereços IP estáticos.

    A propósito, estaremos configurando coisas de segurança por um tempo para que você se estacione na [edit security] hierarquia:

    Nota:

    Para dar suporte a uma VPN IPsec dinâmica, a extremidade remota deve ter a set security ike gateway ike-gw dynamic hostname <name> declaração configurada na proposta do IKE. Quando a extremidade remota inicia uma conexão, o nome é usado para combinar com a proposta do IKE em vez de um IP. Esse método é usado quando endereços IP podem mudar devido à atribuição dinâmica.

  5. Configure os parâmetros do túnel IPsec.
  6. Ajuste as políticas de segurança para criar uma vpn zona e permitir que o trust tráfego flua da zona para a vpn zona. Configuramos a zona para permitir que o vpn ping vinculado ao host seja usado na depuração, já que optamos por numerar nosso túnel IPsec. Nesta etapa, você também coloca a interface de túnel IPsec na vpn zona.
    Nota:

    Neste exemplo, mantemos a simplez e combinamos com qualquer endereço IP de origem ou destino. Contamos com a rota estática para apenas direcionar o tráfego destinado ao local remoto para o túnel. Para obter uma melhor segurança, considere definir as entradas do livro de endereços para as sub-redes 192.168.2.0/24 locais e as sub-redes remotas 172.16.200.0/24. Com entradas de livros de endereço definidas para as duas sub-redes, você combina source-address <source_name> dentro e destination-address <dest_name> em sua política de segurança. Incluir as sub-redes de origem e destino em sua política o torna muito mais explícito quanto ao tráfego que é capaz de usar o túnel.

  7. Espere aí, você está quase pronto. Lembre-se que a IKE é usada para negociar as chaves compartilhadas para proteger o túnel IPsec. As mensagens IKE devem ser enviadas e recebidas pela interface wan para estabelecer o túnel na interface st0.

    Você precisará modificar os serviços de host locais acessíveis na interface WAN para incluir o untrust IKE.

É isso. Você configurou a VPN baseada em rotas IPsec no local da filial. Certifique-se de confirmar suas mudanças.

Resultados

Vamos exibir o resultado de sua configuração VPN baseada em rotas IPsec. Omitemos partes da configuração padrão para brevidade.

Certifique-se de comprometer sua configuração para ativar as mudanças em seu SRX.

Configurações rápidas

Configuração rápida: Filial

Para configurar rapidamente uma VPN IPsec, use as seguintes set declarações. Basta editar as declarações de configuração conforme necessário para o seu ambiente e cole-as em seu SRX.

Aqui está a configuração de VPN IPsec para o dispositivo da Linha SRX300 no local da filial:

Configuração rápida: localização remota

Para completar, aqui está a configuração rápida de VPN IPsec correspondente para o site remoto. É semelhante ao que detalhamos para a filial. As principais diferenças são que usamos a dynamic hostname declaração e um destino diferente para a rota estática usada para direcionar o tráfego para o túnel. Permitimos ping na vpn zona no local remoto. Como resultado, você encontra os endpoints do túnel (nós numeramos nosso túnel), bem como a interface de loopback. A interface de loopback no local remoto representa a sub-rede 172.16.200.0/24. A interface lo0 do site remoto é colocada na vpn zona.

Certifique-se de confirmar as mudanças. Na próxima seção, mostraremos como verificar se seu túnel IPsec funciona corretamente.