Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPNs baseadas em rotas e baseadas em políticas com NAT-T

Network Address Translation-Traversal (NAT-T) é um método usado para gerenciar problemas relacionados à tradução de endereço IP encontrados quando os dados protegidos pelo IPsec passam por um dispositivo configurado com NAT para tradução de endereços.

Entendendo o NAT-T

Network Address Translation-Traversal (NAT-T) é um método para contornar problemas de tradução de endereço IP encontrados quando dados protegidos por IPsec passam por um dispositivo NAT para tradução de endereços. Qualquer alteração no endereçamento ip, que é a função do NAT, faz com que o IKE descarte pacotes. Depois de detectar um ou mais dispositivos NAT ao longo do caminho de dados durante as trocas de Fase 1, o NAT-T adiciona uma camada de encapsulamento do Protocolo de Datagram do Usuário (UDP) aos pacotes IPsec para que eles não sejam descartados após a tradução do endereço. O NAT-T encapsula o tráfego IKE e ESP dentro do UDP com a porta 4500 usada como porta de origem e destino. Como os dispositivos NAT envelhecem as tradução de UDP obsoletas, são necessárias mensagens keepalive entre os pares.

O NAT-T é habilitado por padrão, portanto, você deve usar a no-nat-traversal declaração no nível de [edit security ike gateway gateway-name hierarquia para desativar o NAT-T.

Existem duas categorias amplas de NAT:

  • NAT estático, onde há uma relação de um a um entre os endereços privados e públicos. O NAT estático funciona em direções de entrada e saída.

  • NAT dinâmico, onde há uma relação de muitos para um ou muitos para muitos entre os endereços privados e públicos. O NAT dinâmico funciona apenas na direção de saída.

A localização de um dispositivo NAT pode ser tal que:

  • Apenas o iniciador IKEv1 ou IKEv2 está por trás de um dispositivo NAT. Vários iniciadores podem estar por trás de dispositivos NAT separados. Os iniciadores também podem se conectar ao respondente por meio de vários dispositivos NAT.

  • Apenas o IKEv1 ou iKEv2 estão por trás de um dispositivo NAT.

  • Tanto o IKEv1 quanto o iniciador IKEv2 e o respondente estão por trás de um dispositivo NAT.

A VPN dinâmica de endpoint cobre a situação em que o endereço externo IKE do iniciador não é fixo e, portanto, não é conhecido pelo respondente. Isso pode ocorrer quando o endereço do iniciador é atribuído dinamicamente por um ISP ou quando a conexão do iniciador cruza um dispositivo NAT dinâmico que aloca endereços de um pool de endereços dinâmico.

Exemplos de configuração para NAT-T são fornecidos para a topologia em que apenas o respondente está por trás de um dispositivo NAT e a topologia em que tanto o iniciador quanto o respondente estão por trás de um dispositivo NAT. A configuração de gateway IKE de site para local para NAT-T é suportada tanto no iniciador quanto no respondente. Um ID IKE remoto é usado para validar o ID IKE local de um peer durante a Fase 1 da negociação de túneis IKE. Tanto o iniciador quanto o respondente exigem uma local-identityremote-identity configuração.

Em dispositivos de SRX5400, SRX5600 e SRX5800, o dimensionamento do túnel NAT-T IPsec e os problemas de sustentação são os seguintes:

  • Para um determinado endereço IP privado, o dispositivo NAT deve traduzir 500 e 4500 portas privadas para o mesmo endereço IP público.

  • O número total de túneis de um determinado IP traduzido público não pode exceder 1000 túneis.

A partir do Junos OS Release 19.2R1, o PowerMode IPSec (PMI) para NAT-T é suportado apenas em dispositivos de SRX5400, SRX5600 e SRX5800 equipados com placa de processamento de serviços SRX5K-SPC3 (SPC) ou com firewall virtual vSRX.

Exemplo: Configurando uma VPN baseada em rota com o Responder behind um dispositivo NAT

Este exemplo mostra como configurar uma VPN baseada em rota com um respondente atrás de um dispositivo NAT entre uma filial e o escritório corporativo.

Requisitos

Antes de começar, leia Visão geral do IPsec.

Visão geral

Neste exemplo, você configura uma VPN baseada em rota. O Host1 usará a VPN para se conectar à sede corporativa do SRX2.

Figura 1 mostra um exemplo de topologia para VPN baseada em rota com apenas o responder atrás de um dispositivo NAT.

Figura 1: Topologia VPN baseada em rota com apenas o responder behind um dispositivo NATTopologia VPN baseada em rota com apenas o responder behind um dispositivo NAT

Neste exemplo, você configura interfaces, IPsec e políticas de segurança tanto para um iniciador no SRX1 quanto para um respondente no SRX2. Em seguida, você configura parâmetros de Fase 1 e IPsec Fase 2 do IPsec.

O SRX1 envia pacotes com o endereço de destino de 172.1 6.21.1 para estabelecer a VPN. O dispositivo NAT traduzo endereço de destino para 10.1.31.1.

Tabela 3 Veja Tabela 1 os parâmetros de configuração específicos usados para o iniciador nos exemplos.

Tabela 1: Interface, opções de roteamento e parâmetros de segurança para SRX1

Recursos

Nome

Parâmetros de configuração

Interfaces

ge-0/0/1

172.16.11.1/24

 

ge-0/0/0

10.1.11.1/24

 

st0.0 (interface de túnel)

10.1.100.1/24

Rotas estáticas

10.1.21,0/24

O próximo salto é st0.0.

 

172.16.21.1/32

O próximo salto é 172.Dia 16.11.2.

Zonas de segurança

desconfiança

  • Os serviçosde sistema de IKE e ping.

  • O ge-0/0/1,0 e o st0.0 interfaces estão vinculadas a esta zona.

 

confiança

  • Permitir serviços desistema ll.

  • Permita protocolos de ll.

  • A interface ge-0/0/0.0 está vinculada a essa zona.

Políticas de segurança

para SRX2

Permitir tráfego a partir de 10.1.1 1.24/0 na zona de confiança para 10,1.21.24/0 na zona não confiável.

do SRX2

Permitir tráfego a partir de 10.1.21.24/0 na zona não confiável para 10,1,1 1 1.24/0 na zona de confiança.

Tabela 2: Parâmetros de configuração da Fase 1 do IKE para SRX1

Recursos

Nome

Parâmetros de configuração

Proposta

ike_prop

  • Método de autenticação: chaves pré-compartilhadas

  • Grupo Diffie-Hellman: group2

  • Algoritmo de autenticação: sha1

  • Algoritmo de criptografia: 3des-cbc

Política

ike_pol

  • Modo: principal

  • Referência da proposta: ike_prop

  • Método de autenticação de políticas da Fase 1 do IKE: ascii-text pré-compartilhado

Porta

gw1

  • Referência de política de IKE: ike_pol

  • Interface externa: ge-0/0/1,0

  • Endereço do gateway: 172,16.21.1

  • Peer local (iniciador): branch_natt1@example.net

  • Peer remoto (responder): responder_natt1@example.net

Tabela 3: Parâmetros de configuração da Fase 2 do IPsec para SRX1

Recursos

Nome

Parâmetros de configuração

Proposta

ipsec_prop

  • Protocolo: Esp

  • Algoritmo de autenticação: hmac-sha1-96

  • Algoritmo de criptografia: 3des-cbc

Política

ipsec_pol

  • Referência da proposta: ipsec_prop

  • Chaves perfeitas de sigilo de encaminhamento (PFS): grupo2

VPN

vpn1

  • Referência de gateway IKE: gw1

  • Referência de política de IPsec: ipsec_pol

  • Vincule-se à interface: st0.0

  • Estabeleça túneis imediatamente

Tabela 6 Veja Tabela 4 os parâmetros de configuração específicos usados para o respondente nos exemplos.

Tabela 4: Interface, opções de roteamento e parâmetros de segurança para SRX2

Recursos

Nome

Parâmetros de configuração

Interfaces

ge-0/0/1

10.1.31.1/24

 

ge-0/0/0

10.1.21.1/24

 

st0.0 (interface de túnel)

10.1.100.2/24

Rotas estáticas

172.16.11.1/32

O próximo salto é 10.1.31.2.

 

10.1.11,0/24

O próximo salto é st0.0.

Zonas de segurança

desconfiança

  • Permita que o IKE e o sistema de ping s.

  • O ge-0/0/1,0 e o st0.0 interfaces estão vinculadas a esta zona.

 

confiança

  • Permitir serviços desistema ll.

    Permita protocolos de ll.

  • A interface ge-0/0/0.0 está vinculada a essa zona.

Políticas de segurança

para SRX1

Permitir tráfego a partir de 10.1.21.24/0 na zona de confiança para 10,1.11.24/0 na zona não confiável.

do SRX1

Permitir tráfego a partir de 10.1.11.24/0 na zona não confiável para 10,1.21.24/0 na zona de confiança.

Tabela 5: Parâmetros de configuração da Fase 1 do IKE para SRX2

Recursos

Nome

Parâmetros de configuração

Proposta

ike_prop

  • Método de autenticação: chaves pré-compartilhadas

  • Grupo Diffie-Hellman: grupo2

  • Algoritmo de autenticação: sha1

  • Algoritmo de criptografia: 3des-cbc

Política

ike_pol

  • Modo: principal

  • Referência da proposta: ike_prop

  • Método de autenticação de políticas da Fase 1 do IKE: ascii-text pré-compartilhado

Porta

gw1

  • Referência de política de IKE: ike_pol

  • Interface externa: ge-0/0/1,0

  • Endereço do gateway: 172.Dia 16.11.1

  • Peer local (responder): responder_natt1@example.net

  • Peer remoto (iniciador): branch_natt1@example.net

Tabela 6: Parâmetros de configuração da Fase 2 do IPsec para SRX2

Recursos

Nome

Parâmetros de configuração

Proposta

ipsec_prop

  • Protocolo: Esp

  • Algoritmo de autenticação: hmac-sha1-96

  • Algoritmo de criptografia: 3des-cbc

Política

ipsec_pol

  • Referência da proposta: ipsec_prop

  • Chaves de PFS: grupo2

VPN

vpn1

  • Referência de gateway IKE: gw1

  • Referência de política de IPsec: ipsec_pol

  • Vincule-se à interface: st0.0

  • Estabeleça túneis imediatamente

Configuração

Configuração de interface, opções de roteamento e parâmetros de segurança para SRX1

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar interfaces, rotasestáticas e parâmetros de segurança:

  1. Configure a interfaceconectada à Internet, Host1 e a interface usada para a VPN.

  2. Configure rotas estáticas para o tráfego que usará a VPN e o SRX1 para chegar ao dispositivo NAT.

  3. Configure a zona de segurança não confiável.

  4. Configure a zona de segurança de confiança.

  5. Configure os livros de endereços para as redes usadas nas políticas de segurança.

  6. Crie políticas de segurança para permitir o tráfego entre os hosts.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show interfaces, show routing-optionse show security comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do IKE para SRX1

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o IKE:

  1. Crie uma proposta de Fase 1 do IKE.

  2. Crie uma política de Fase 1 do IKE.

  3. Configure os parâmetros de gateway da Fase 1 do IKE. O endereço de gateway deve ser o IP para o dispositivo NAT.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security ike comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração de IPsec para SRX1

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o IPsec:

  1. Crie uma proposta de Fase 2 do IPsec.

  2. Crie a política de Fase 2 do IPsec.

  3. Configure os parâmetros de VPN IPsec.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security ipsec comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração de interfaces, opções de roteamento e redes P de segurança para SRX2

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar interfaces, rotasestáticas e parâmetros de segurança:

  1. Configure as interfaces conectadas à Internet, Host2 e à interface usada para a VPN.

  2. Configure rotas estáticas para o tráfego que usará a VPN e para o SRX2 chegar ao SRX1.

  3. Configure a zona de segurança não confiável.

  4. Configure a zona de segurança de confiança.

  5. Configure os livros de endereços para as redes usadas nas políticas de segurança.

  6. Crie políticas de segurança para permitir o tráfego entre os hosts.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show interfaces, show routing-optionse show security comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do IKE para SRX2

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o IKE:

  1. Crie uma proposta de Fase 1 do IKE.

  2. Crie uma política de Fase 1 do IKE.

  3. Configure os parâmetros de gateway da Fase 1 do IKE. O endereço de gateway deve ser o IP para SRX1.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security ike comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração de IPsec para SRX2

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o IPsec:

  1. Crie uma proposta de Fase 2 do IPsec.

  2. Crie a política de Fase 2 do IPsec.

  3. Configure os parâmetros de VPN IPsec .

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security ipsec comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração para o dispositivo NAT

Configuração rápida da CLI

O NAT estático é usado no exemplo. O NAT estático é bidirecional, o que significa que o tráfego de 10.1.31.1 a 172.16.11.1 também usará a mesma configuração de NAT.

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificando o status da Fase 1 do IKE no SRX1

Propósito

Verifique o status da Fase 1 do IKE.

Ação

A partir do modo operacional, entre no show security ike security-associations comando. Para obter uma saída mais detalhada, use o show security ike security-associations detail comando.

Significado

O show security ike security-associations comando lista todos os SAs ativos da Fase 1 do IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração.

Se os SAs estiverem listados, analise as seguintes informações:

  • Índice — Esse valor é exclusivo para cada SA IKE, que você pode usar no show security ike security-associations index detail comando para obter mais informações sobre a SA.

  • Endereço remoto — Verifique se o endereço IP remoto está correto e que a porta 4500 está sendo usada para comunicação peer-to-peer. Lembre-se que o NAT-T encapsula o tráfego IKE e ESP dentro do UDP com a porta 4500.

  • Estado do iniciador de funções

    • Ativação — a SA da Fase 1 está estabelecida.

    • Down — Havia um problema em estabelecer a Fase 1 SA.

    • Ambos os pares no par IPsec SA estão usando a porta 4500.

    • ID ID de Peer IKE — Verifique se o endereço remoto está correto.

    • Identidade local e identidade remota — Verifique se eles estão corretos.

  • Modo — Verifique se o modo correto está sendo usado.

Verifique se o seguinte está correto em sua configuração:

  • Interfaces externas (a interface deve ser a que recebe pacotes IKE)

  • Parâmetros de política de IKE

  • Informações-chave pré-compartilhadas

  • Parâmetros da proposta da fase 1 (devem combinar com ambos os pares)

O show security ike security-associations comando lista informações adicionais sobre associações de segurança:

  • Algoritmos de autenticação e criptografia usados

  • Vida útil da fase 1

  • Estatísticas de tráfego (podem ser usadas para verificar se o tráfego está fluindo corretamente em ambas as direções)

  • Informações sobre funções

    A solução de problemas é melhor realizada no peer usando a função de resposta.

  • Informações do iniciador e do respondente

  • Número de SAs IPsec criados

  • Número de negociações da Fase 2 em andamento

Verificando associações de segurança IPsec no SRX1

Propósito

Verifique o status do IPsec.

Ação

A partir do modo operacional, entre no show security ipsec security-associations comando. Para obter uma saída mais detalhada, use o show security ipsec security-associations detail comando.

Significado

A saída do show security ipsec security-associations comando lista as seguintes informações:

  • O gateway remoto tem um endereço n de 172.16. 21.1.

  • Ambos os pares no par IPsec SA estão usando a porta 4500.

  • As SPIs, a vida útil (em segundos) e os limites de uso (ou tamanho vital em KB) são mostrados para ambas as direções. O valor 2160/ilimitado indica que a vida útil da Fase 2 expira em 2160 segundos, e que nenhum tamanho vitalício foi especificado, o que indica que é ilimitado. A vida útil da fase 2 pode ser diferente da vida útil da Fase 1, já que a Fase 2 não depende da Fase 1 após o aumento da VPN.

  • O monitoramento de VPN não está habilitado para esta SA, conforme indicado por um hífen na coluna Mon. Se o monitoramento de VPN estiver habilitado, u indica que o monitoramento está ativo, e D indica que o monitoramento está desativado.

  • O sistema virtual (vsys) é o sistema raiz, e ele sempre lista 0.

Verificando o status da Fase 1 do IKE no SRX2

Propósito

Verifique o status da Fase 1 do IKE.

Ação

A partir do modo operacional, entre no show security ike security-associations comando. Para obter uma saída mais detalhada, use o show security ike security-associations detail comando.

Significado

O show security ike security-associations comando lista todos os SAs ativos da Fase 1 do IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração.

Se os SAs estiverem listados, analise as seguintes informações:

  • Índice — Esse valor é exclusivo para cada SA IKE, que você pode usar no show security ike security-associations detail comando para obter mais informações sobre a SA.

  • Endereço remoto — Verifique se o endereço IP remoto está correto e que a porta 4500 está sendo usada para comunicação peer-to-peer.

  • Estado de resposta a funções

    • Ativação — a SA da Fase 1 foi estabelecida.

    • Down — Havia um problema em estabelecer a Fase 1 SA.

    • ID do Peer IKE — Verifique se o endereço está correto.

    • Identidade local e identidade remota — Verifique se esses endereços estão corretos.

  • Modo — Verifique se o modo correto está sendo usado.

Verifique se o seguinte está correto em sua configuração:

  • Interfaces externas (a interface deve ser a que recebe pacotes IKE)

  • Parâmetros de política de IKE

  • Informações-chave pré-compartilhadas

  • Parâmetros da proposta da fase 1 (devem combinar com ambos os pares)

O show security ike security-associations comando lista informações adicionais sobre associações de segurança:

  • Algoritmos de autenticação e criptografia usados

  • Vida útil da fase 1

  • Estatísticas de tráfego (podem ser usadas para verificar se o tráfego está fluindo corretamente em ambas as direções)

  • Informações sobre funções

    A solução de problemas é melhor realizada no peer usando a função de resposta.

  • Informações do iniciador e do respondente

  • Número de SAs IPsec criados

  • Número de negociações da Fase 2 em andamento

Verificando associações de segurança IPsec no SRX2

Propósito

Verifique o status do IPsec.

Ação

A partir do modo operacional, entre no show security ipsec security-associations comando. Para obter uma saída mais detalhada, use o show security ipsec security-associations detail comando.

Significado

A saída do show security ipsec security-associations comando lista as seguintes informações:

  • O gateway remoto tem um endereço ip de 172.Dia 16.11.1.

  • Ambos os pares no par IPsec SA estão usando a porta 4500.

  • As SPIs, a vida útil (em segundos) e os limites de uso (ou tamanho vital em KB) são mostrados para ambas as direções. O valor de 1562/ilimitado indica que a vida útil da Fase 2 expira em 1562 segundos, e que nenhum tamanho vital foi especificado, o que indica que é ilimitado. A vida útil da fase 2 pode ser diferente da vida útil da Fase 1, já que a Fase 2 não depende da Fase 1 após o aumento da VPN.

  • O monitoramento de VPN não está habilitado para esta SA, conforme indicado por um hífen na coluna Mon. Se o monitoramento de VPN estiver habilitado, u indica que o monitoramento está ativo, e D indica que o monitoramento está desativado.

  • O sistema virtual (vsys) é o sistema raiz, e ele sempre lista 0.

A saída do show security ipsec security-associations index index_iddetail comando lista as seguintes informações:

  • A identidade local e a identidade remota compõem o ID proxy para a SA.

    Uma incompatibilidade de ID por proxy é uma das causas mais comuns para uma falha na Fase 2. Se nenhuma SA IPsec estiver listada, confirme que as propostas da Fase 2, incluindo as configurações de ID proxy, estarão corretas para ambos os pares. Para VPNs baseadas em rota, o ID de proxy padrão é local=0,0,0,0/0, remoto=0,0,0,0/0 e service=any. Os problemas podem ocorrer com várias VPNs baseadas em rota a partir do mesmo IP peer. Neste caso, um ID de proxy exclusivo para cada SA IPsec deve ser especificado. Para alguns fornecedores terceirizados, a ID por proxy deve ser inserida manualmente para combinar.

  • Outra razão comum para falha na Fase 2 é não especificar a vinculação da interface ST. Se o IPsec não puder ser concluído, verifique o log kmd ou defina opções de rastreamento.

Verificando a acessibilidade de host para host

Propósito

Verifique se o Host1 pode chegar ao Host2.

Ação

Do Host1 ping Host2. Para verificar se o tráfego está usando a VPN, use o comando show security ipsec statistics no SRX1. Limpe as estatísticas usando o comando clear security ipsec statistics antes de executar o comando de ping.

Significado

As saídas mostram que o Host1 pode ping Host2 e que o tráfego está usando a VPN.

Exemplo: Configuração de uma VPN baseada em políticas com um iniciador e um responder por trás de um dispositivo NAT

Este exemplo mostra como configurar uma VPN baseada em políticas com um iniciador e um respondente atrás de um dispositivo NAT para permitir que os dados sejam transferidos com segurança entre uma filial e o escritório corporativo.

Requisitos

Antes de começar, leia Visão geral do IPsec.

Visão geral

Neste exemplo, você configura uma VPN baseada em políticas para uma filial em Chicago, Illinois, porque você deseja conservar recursos de túneis, mas ainda assim obter restrições granulares no tráfego de VPN. Os usuários da filial usarão a VPN para se conectar à sede corporativa em Sunnyvale, Califórnia.

Neste exemplo, você configura interfaces, opções de roteamento, zonas de segurança, políticas de segurança para um iniciador e um respondente.

Figura 2 mostra um exemplo de topologia para uma VPN com um iniciador e um respondente atrás de um dispositivo NAT estático.

Figura 2: Topologia vpn baseada em políticas com um iniciador e um respondente por trás de um dispositivo NATTopologia vpn baseada em políticas com um iniciador e um respondente por trás de um dispositivo NAT

Neste exemplo, você configura interfaces, uma rota padrão IPv4 e zonas de segurança. Em seguida, você configura a Fase 1 do IKE, incluindo pares locais e remotos, a Fase 2 do IPsec e a política de segurança. Observe no exemplo acima que o endereço IP privado 13.168.11.1 está oculto pelo dispositivo NAT estático e mapeado para endereço IP público 1.1.100.1.

Tabela 10 Veja Tabela 7 os parâmetros de configuração específicos usados para o iniciador nos exemplos.

Tabela 7: Interface, opções de roteamento e zonas de segurança para o iniciador

Recursos

Nome

Parâmetros de configuração

Interfaces

ge-0/0/0

12.168.99.100/24

 

ge-0/0/1

10.1.99.1/24

Rotas estáticas

10.2.99.0/24 (rota padrão)

O próximo salto é 12.168.99.100.

 

1.1.100.0/24

12.168.99.100

Zonas de segurança

confiança

  • Todos os serviços do sistema são permitidos.

  • Todos os protocolos são permitidos.

  • A interface ge-0/0/1.0 está vinculada a essa zona.

 

desconfiança

  • A interface ge-0/0/0.0 está vinculada a essa zona.

Tabela 8: Parâmetros de configuração da Fase 1 do IKE para o iniciador

Recursos

Nome

Parâmetros de configuração

Proposta

ike_prop

  • Método de autenticação: chaves pré-compartilhadas

  • Grupo Diffie-Hellman: group2

  • Algoritmo de autenticação: md5

  • Algoritmo de criptografia: 3des-cbc

Política

ike_pol

  • Modo: principal

  • Referência da proposta: ike_prop

  • Método de autenticação de políticas da Fase 1 do IKE: ascii-text pré-compartilhado

Porta

portão

  • Referência de política de IKE: ike_pol

  • Interface externa: ge-0/0/1,0

  • Endereço do gateway: 1.1.100.23

  • Peer local é nome de hostname de Chicago

  • Peer remoto é nome de host sunnyvale

Tabela 9: Parâmetros de configuração da Fase 2 do IPsec para o iniciador

Recursos

Nome

Parâmetros de configuração

Proposta

ipsec_prop

  • Protocolo: Esp

  • Algoritmo de autenticação: hmac-md5-96

  • Algoritmo de criptografia: 3des-cbc

Política

ipsec_pol

  • Referência da proposta: ipsec_prop

  • Sigilo de encaminhamento perfeito (PFS): group1

VPN

first_vpn

  • Referência de gateway IKE: portão

  • Referência de política de IPsec: ipsec_pol

Tabela 10: Parâmetros de configuração de políticas de segurança para o iniciador

Propósito

Nome

Parâmetros de configuração

A política de segurança permite o tráfego de túneis da zona de confiança até a zona não confiável.

pol1

  • Critérios de correspondência:

    • endereço-fonte qualquer

    • endereço de destino qualquer

    • qualquer aplicativo

  • Ação: permitir first_vpn ipsec-vpn de túnel

A política de segurança permite o tráfego de túneis da zona não confiável para a zona de confiança.

pol1

  • Critérios de correspondência:

    • qualquer aplicativo

  • Ação: permitir first_vpn ipsec-vpn de túnel

Tabela 14 Veja Tabela 11 os parâmetros de configuração específicos usados para o respondente nos exemplos.

Tabela 11: Interface, opções de roteamento e zonas de segurança para o responder

Recursos

Nome

Parâmetros de configuração

Interfaces

ge-0/0/0

13.168.11.100/24

 

ge-0/0/1

10.2.99.1/24

Rotas estáticas

10.1.99.0/24 (rota padrão)

O próximo salto é 13.168.11.100

 

1.1.100.0/24

13.168.11.100

Zonas de segurança

confiança

  • Todos os serviços do sistema são permitidos.

  • Todos os protocolos são permitidos.

  • A interface ge-0/0/1.0 está vinculada a essa zona.

 

desconfiança

  • A interface ge-0/0/0.0 está vinculada a essa zona.

Tabela 12: Parâmetros de configuração da Fase 1 do IKE para o Respondente

Recursos

Nome

Parâmetros de configuração

Proposta

ike_prop

  • Método de autenticação: chaves pré-compartilhadas

  • Grupo Diffie-Hellman: grupo2

  • Algoritmo de autenticação: md5

  • Algoritmo de criptografia: 3des-cbc

Política

ike_pol

  • Modo: principal

  • Referência da proposta: ike_prop

  • Método de autenticação de políticas da Fase 1 do IKE: ascii-text pré-compartilhado

Porta

portão

  • Referência de política de IKE: ike_pol

  • Interface externa: ge-0/0/1,0

  • Endereço do gateway: 1.1.100.22

  • Sempre envie detecção de ponto morto

  • Peer local é nome de hostname sunnyvale

  • Peer remoto é nome de host em Chicago

Tabela 13: Parâmetros de configuração da Fase 2 do IPsec para o Responder

Recursos

Nome

Parâmetros de configuração

Proposta

ipsec_prop

  • Protocolo: Esp

  • Algoritmo de autenticação: hmac-md5-96

  • Algoritmo de criptografia: 3des-cbc

Política

ipsec_pol

  • Referência da proposta: ipsec_prop

  • Sigilo de encaminhamento perfeito (PFS): grupo1

VPN

first_vpn

  • Referência de gateway IKE: portão

  • Referência de política de IPsec: ipsec_pol

Tabela 14: Parâmetros de configuração de políticas de segurança para o responder

Propósito

Nome

Parâmetros de configuração

A política de segurança permite o tráfego de túneis da zona de confiança até a zona não confiável.

pol1

  • Critérios de correspondência:

    • endereço-fonte qualquer

    • endereço de destino qualquer

    • qualquer aplicativo

  • Ação: permitir first_vpn ipsec-vpn de túnel

A política de segurança permite o tráfego de túneis da zona não confiável para a zona de confiança.

pol1

  • Critérios de correspondência:

    • qualquer aplicativo

  • Ação: permitir first_vpn ipsec-vpn de túnel

Configuração

Configuração de interface, opções de roteamento e zonas de segurança para o iniciador

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar interfaces, rotas estáticas e zonas de segurança:

  1. Configure as informações da interface Ethernet.

  2. Configure informações de rota estáticas.

  3. Configure a zona de segurança de confiança.

  4. Atribua uma interface à zona de segurança de confiança.

  5. Especifique os serviços de sistema para a zona de segurança de confiança.

  6. Atribua uma interface à zona de segurança não confiável.

Resultados

A partir do modo de configuração, confirme sua configuração entrando show interfacesno , show routing-optionse show security zones comanda Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do IKE para o iniciador

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o IKE:

  1. Crie a proposta da Fase 1 do IKE.

  2. Defina o método de autenticação da proposta de IKE.

  3. Defina a proposta de IKE do grupo Diffie-Hellman.

  4. Defina o algoritmo de autenticação de propostas de IKE.

  5. Defina o algoritmo de criptografia de propostas de IKE.

  6. Crie uma política de Fase 1 do IKE.

  7. Defina o modo de política da Fase 1 do IKE.

  8. Especifique uma referência à proposta IKE.

  9. Defina o método de autenticação de políticas da Fase 1 do IKE.

  10. Crie um gateway IKE Fase 1 e defina sua interface externa.

  11. Crie um endereço de gateway IKE Fase 1.

  12. Defina a referência de política da Fase 1 do IKE.

  13. Definir local-identity para o peer local.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security ike comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração de IPsec para o iniciador

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o IPsec:

  1. Crie uma proposta de Fase 2 do IPsec.

  2. Especifique o protocolo de proposta da Fase 2 do IPsec.

  3. Especifique o algoritmo de autenticação da proposta de fase 2 do IPsec.

  4. Especifique o algoritmo de criptografia de propostas de Fase 2 do IPsec.

  5. Especifique a referência da proposta da Fase 2 do IPsec.

  6. Especifique a Fase 2 do IPsec para usar o grupo de sigilo de encaminhamento (PFS) perfeito.

  7. Especifique o gateway IKE.

  8. Especifique a política de Fase 2 do IPsec.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security ipsec comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração de políticas de segurança para o iniciador

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar políticas de segurança:

  1. Crie a política de segurança para permitir o tráfego da zona de confiança até a zona não confiável.

  2. Crie a política de segurança para permitir o tráfego da zona não confiável para a zona de confiança.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração de NAT para o iniciador

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o iniciador que fornece NAT:

  1. Configure interfaces.

  2. Configure zonas.

  3. Configure NAT.

  4. Configure a política de segurança padrão.

  5. Configure a opção de roteamento.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração de interface, opções de roteamento e zonas de segurança para o responder

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar interfaces, rotas estáticas, zonas de segurança e políticas de segurança:

  1. Configure as informações da interface Ethernet.

  2. Configure informações de rota estáticas.

  3. Atribua uma interface à zona de segurança não confiável.

  4. Configure a zona de segurança de confiança.

  5. Atribua uma interface à zona de segurança de confiança.

  6. Especifique os serviços de sistema permitidos para a zona de segurança de confiança.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show interfaces, show routing-optionse show security zones comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do IKE para o Responder

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o IKE:

  1. Defina o método de autenticação da proposta de IKE.

  2. Defina a proposta de IKE do grupo Diffie-Hellman.

  3. Defina o algoritmo de autenticação de propostas de IKE.

  4. Defina o algoritmo de criptografia de propostas de IKE.

  5. Crie uma política de Fase 1 do IKE.

  6. Defina o modo de política da Fase 1 do IKE.

  7. Especifique uma referência à proposta IKE.

  8. Defina o método de autenticação de políticas da Fase 1 do IKE.

  9. Crie um gateway IKE Phase 1 e defina seu nome dinâmico de host.

  10. Crie um gateway IKE Fase 1 e defina sua interface externa.

  11. Defina a referência de política da Fase 1 do IKE.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security ike comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração de IPsec para o responder

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o IPsec:

  1. Crie uma proposta de Fase 2 do IPsec.

  2. Especifique o protocolo de proposta da Fase 2 do IPsec.

  3. Especifique o algoritmo de autenticação da proposta de fase 2 do IPsec.

  4. Especifique o algoritmo de criptografia de propostas de Fase 2 do IPsec.

  5. Crie a política de Fase 2 do IPsec.

  6. Definir a Fase 2 do IPsec para usar o grupo perfeito de sigilo de encaminhamento (PFS)1.

  7. Especifique a referência da proposta da Fase 2 do IPsec.

  8. Especifique o gateway IKE.

  9. Especifique a política de Fase 2 do IPsec.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security ipsec comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração de políticas de segurança para o respondente

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar políticas de segurança:

  1. Crie a política de segurança para permitir o tráfego da zona de confiança até a zona não confiável.

  2. Crie a política de segurança para permitir o tráfego da zona não confiável para a zona de confiança.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configurando o NAT para o responder

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o respondente que fornece NAT:

  1. Configure interfaces.

  2. Configure zonas.

  3. Configure NAT.

  4. Configure a política de segurança padrão.

  5. Configure a opção de roteamento.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificando o status da Fase 1 do IKE para o iniciador

Propósito

Verifique o status da Fase 1 do IKE.

Ação

Antes de iniciar o processo de verificação, você deve enviar tráfego de um host na rede 10.1.99.0 para um host na rede 10.2.99.0. Para VPNs baseadas em rota, o tráfego pode ser iniciado pelo firewall da Série SRX através do túnel. Recomendamos que, ao testar túneis IPsec, o tráfego de teste seja enviado de um dispositivo separado de um lado da VPN para um segundo dispositivo do outro lado da VPN. Por exemplo, inicie uma operação de ping de 10,1,99,2 para 10,2,99,2.

A partir do modo operacional, entre no show security ike security-associations comando. Depois de obter um número de índice do comando, use o show security ike security-associations index index_number detail comando.

Significado

O show security ike security-associations comando lista todos os SAs ativos da Fase 1 do IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração.

Se os SAs estiverem listados, analise as seguintes informações:

  • Índice — Esse valor é exclusivo para cada SA IKE, que você pode usar no show security ike security-associations index detail comando para obter mais informações sobre a SA.

  • Endereço remoto — Verifique se o endereço IP remoto está correto e que a porta 4500 está sendo usada para comunicação peer-to-peer.

  • Estado do iniciador de funções

    • Ativação — a SA da Fase 1 foi estabelecida.

    • Down — Havia um problema em estabelecer a Fase 1 SA.

    • Ambos os pares no par IPsec SA estão usando a porta 4500, o que indica que o NAT-T está implementado. (O NAT-T usa a porta 4500 ou outra porta aleatória de alta numeração.)

    • ID por peer IKE — Verifique se a ID remota (responder) está correta. Neste exemplo, o nome de host é sunnyvale.

    • Identidade local e identidade remota — Verifique se eles estão corretos.

  • Modo — Verifique se o modo correto está sendo usado.

Verifique se o seguinte está correto em sua configuração:

  • Interfaces externas (a interface deve ser a que recebe pacotes IKE)

  • Parâmetros de política de IKE

  • Informações-chave pré-compartilhadas

  • Parâmetros da proposta da fase 1 (devem combinar com ambos os pares)

O show security ike security-associations comando lista informações adicionais sobre associações de segurança:

  • Algoritmos de autenticação e criptografia usados

  • Vida útil da fase 1

  • Estatísticas de tráfego (podem ser usadas para verificar se o tráfego está fluindo corretamente em ambas as direções)

  • Informações sobre funções

    A solução de problemas é melhor realizada no peer usando a função de resposta.

  • Informações do iniciador e do respondente

  • Número de SAs IPsec criados

  • Número de negociações da Fase 2 em andamento

Verificando as associações de segurança IPsec para o iniciador

Propósito

Verifique o status do IPsec.

Ação

A partir do modo operacional, entre no show security ipsec security-associations comando. Depois de obter um número de índice do comando, use o show security ipsec security-associations index index_number detail comando.

Significado

A saída do show security ipsec security-associations comando lista as seguintes informações:

  • O gateway remoto tem um endereço NAT de 13.168.11.100.

  • Ambos os pares no par IPsec SA estão usando a porta 4500, o que indica que o NAT-T está implementado. (O NAT-T usa a porta 4500 ou outra porta aleatória de alta numeração.).

  • As SPIs, a vida útil (em segundos) e os limites de uso (ou tamanho vital em KB) são mostrados para ambas as direções. O valor 3390/ilimitado indica que a vida útil da Fase 2 expira em 3390 segundos, e que nenhum tamanho vitalício foi especificado, o que indica que é ilimitado. A vida útil da fase 2 pode ser diferente da vida útil da Fase 1, já que a Fase 2 não depende da Fase 1 após o aumento da VPN.

  • O monitoramento de VPN não está habilitado para esta SA, conforme indicado por um hífen na coluna Mon. Se o monitoramento de VPN estiver habilitado, u indica que o monitoramento está ativo, e D indica que o monitoramento está desativado.

  • O sistema virtual (vsys) é o sistema raiz, e ele sempre lista 0.

Verificando o status da Fase 1 do IKE para o Respondente

Propósito

Verifique o status da Fase 1 do IKE.

Ação

A partir do modo operacional, entre no show security ike security-associations comando. Depois de obter um número de índice do comando, use o show security ike security-associations index index_number detail comando.

Significado

O show security ike security-associations comando lista todos os SAs ativos da Fase 1 do IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração.

Se os SAs estiverem listados, analise as seguintes informações:

  • Índice — Esse valor é exclusivo para cada SA IKE, que você pode usar no show security ike security-associations index detail comando para obter mais informações sobre a SA.

  • Endereço remoto — Verifique se o endereço IP remoto está correto e que a porta 4500 está sendo usada para comunicação peer-to-peer.

  • Estado de resposta a funções

    • Ativação — a SA da Fase 1 foi estabelecida.

    • Down — Havia um problema em estabelecer a Fase 1 SA.

    • ID por peer IKE — Verifique se a ID local para o peer está correta. Neste exemplo, o nome de host é Chicago.

    • Identidade local e identidade remota — Verifique se eles estão corretos.

  • Modo — Verifique se o modo correto está sendo usado.

Verifique se o seguinte está correto em sua configuração:

  • Interfaces externas (a interface deve ser a que recebe pacotes IKE)

  • Parâmetros de política de IKE

  • Informações-chave pré-compartilhadas

  • Parâmetros da proposta da fase 1 (devem combinar com ambos os pares)

O show security ike security-associations comando lista informações adicionais sobre associações de segurança:

  • Algoritmos de autenticação e criptografia usados

  • Vida útil da fase 1

  • Estatísticas de tráfego (podem ser usadas para verificar se o tráfego está fluindo corretamente em ambas as direções)

  • Informações sobre funções

    A solução de problemas é melhor realizada no peer usando a função de resposta.

  • Informações do iniciador e do respondente

  • Número de SAs IPsec criados

  • Número de negociações da Fase 2 em andamento

Verificando as associações de segurança de IPsec para o respondente

Propósito

Verifique o status do IPsec.

Ação

A partir do modo operacional, entre no show security ipsec security-associations comando. Depois de obter um número de índice do comando, use o show security ipsec security-associations index index_number detail comando.

Significado

A saída do show security ipsec security-associations comando lista as seguintes informações:

  • O gateway remoto tem um endereço NAT de 1.1.100.23.

  • Ambos os pares no par IPsec SA estão usando a porta 4500, o que indica que o NAT-T está implementado. (O NAT-T usa a porta 4500 ou outra porta aleatória de alta numeração.)

  • As SPIs, a vida útil (em segundos) e os limites de uso (ou tamanho vital em KB) são mostrados para ambas as direções. O valor 3571/ilimitado indica que a vida útil da Fase 2 expira em 3571 segundos, e que nenhum tamanho vitalício foi especificado, o que indica que é ilimitado. A vida útil da fase 2 pode ser diferente da vida útil da Fase 1, já que a Fase 2 não depende da Fase 1 após o aumento da VPN.

  • O monitoramento de VPN não está habilitado para esta SA, conforme indicado por um hífen na coluna Mon. Se o monitoramento de VPN estiver habilitado, u indica que o monitoramento está ativo, e D indica que o monitoramento está desativado.

  • O sistema virtual (vsys) é o sistema raiz, e ele sempre lista 0.

Exemplo: Configuração do NAT-T com VPN de endpoint dinâmico

Este exemplo mostra como configurar uma VPN baseada em rota onde o iniciador IKEv2 é um endpoint dinâmico por trás de um dispositivo NAT.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Dois firewalls da Série SRX configurados em um cluster de chassi

  • Um firewall da Série SRX que oferece NAT

  • Um firewall da Série SRX que oferece acesso à rede das filiais

  • Versão Junos OS 12.1X46-D10 ou posterior para suporte a NAT-T IKEv2

Visão geral

Neste exemplo, uma VPN IPsec é configurada entre a filial (iniciador IKEv2) e a sede (IKEv2 responder) para proteger o tráfego de rede entre os dois locais. A filial está localizada atrás do dispositivo NAT. O endereço da filial é atribuído dinamicamente e é desconhecido para o respondente. O iniciador está configurado com a identidade remota do respondente para negociação de túneis. Essa configuração estabelece uma VPN dinâmica de endpoint entre os pares em todo o dispositivo NAT.

Figura 3 mostra um exemplo de topologia com NAT-Traversal (NAT-T) e VPN dinâmica de endpoint.

Figura 3: NAT-T com VPN de endpoint dinâmicoNAT-T com VPN de endpoint dinâmico

Neste exemplo, o endereço IP do iniciador, 192.179.100.50, que foi atribuído dinamicamente ao dispositivo, está oculto pelo dispositivo NAT e traduzido para 100.10.1.253.

As seguintes opções de configuração se aplicam neste exemplo:

  • A identidade local configurada no iniciador deve combinar com a identidade de gateway remoto configurada no respondente.

  • As opções de Fase 1 e Fase 2 devem combinar entre o iniciador e o respondente.

Neste exemplo, a política de segurança padrão que permite todo o tráfego é usada para todos os dispositivos. Políticas de segurança mais restritivas devem ser configuradas para ambientes de produção. Veja a visão geral das políticas de segurança.

Começando com o Junos OS Release 12.1X46-D10 e o Junos OS Release 17.3R1, o valor padrão para a opção nat-keepalive configurada no [edit security ike gateway gateway-name] nível de hierarquia foi alterado de 5 segundos para 20 segundos.

Em dispositivos de SRX1400, SRX3400, SRX3600, SRX5600 e SRX5800, as negociações de IKE envolvendo a travessia de NAT não funcionam se o peer IKE estiver por trás de um dispositivo NAT que mudará o endereço IP de origem dos pacotes IKE durante a negociação. Por exemplo, se o dispositivo NAT estiver configurado com DIP, ele muda o IP de origem porque o protocolo IKE muda a porta UDP de 500 para 4500. (O suporte da plataforma depende da versão do Junos OS em sua instalação.)

Configuração

Configuração do dispositivo da filial (iniciador IKEv2)

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o dispositivo da filial:

  1. Configure interfaces.

  2. Configure opções de roteamento.

  3. Configure zonas.

  4. Configure as opções de Fase 1.

  5. Configure as opções de Fase 2.

  6. Configure a política de segurança.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfacesshow routing-optionsshow security ikeshow security zonesshow security ipseccomandos e show security policies comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do dispositivo NAT

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o roteador intermediário que fornece NAT:

  1. Configure interfaces.

  2. Configure zonas.

  3. Configure NAT.

  4. Configure a política de segurança padrão.

Resultados

A partir do modo de configuração, confirme sua configuração entrando noshow interfaces, show security zonesshow security nat sourcee show security policies comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do dispositivo de sede (IKEv2 Responder)

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

  1. Configure dois nós como cluster do chassi.

  2. Configure interfaces.

  3. Configure opções de roteamento.

  4. Configure zonas.

  5. Configure as opções de Fase 1.

  6. Configure as opções de Fase 2.

  7. Configure a política de segurança padrão.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show chassis clustershow security zonesshow routing-optionsshow security ikeshow interfacesshow security ipseccomandos e show security policies comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando o status da Fase 1 do IKE para o Respondente

Propósito

Verifique o status da Fase 1 do IKE.

Ação

Do modo operacional no nó 0, entre no show security ike security-associations comando. Depois de obter um número de índice do comando, use o show security ike security-associations detail comando.

Significado

O show security ike security-associations comando lista todos os SAs ativos da Fase 1 do IKE. Se nenhum SAs estiver listado, houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros da política de IKE e as configurações externas da interface em sua configuração.

Se os SAs estiverem listados, analise as seguintes informações:

  • Índice — Esse valor é exclusivo para cada SA IKE, que você pode usar no show security ike security-associations index index_id detail comando para obter mais informações sobre a SA.

  • Endereço remoto — Verifique se o endereço IP local está correto e que a porta 4500 está sendo usada para comunicação peer-to-peer.

  • Estado de resposta a funções

    • Ativação — a SA da Fase 1 foi estabelecida.

    • Down — Havia um problema em estabelecer a Fase 1 SA.

    • ID do Peer IKE — Verifique se o endereço está correto.

    • Identidade local e identidade remota — Verifique se esses endereços estão corretos.

  • Modo — Verifique se o modo correto está sendo usado.

Verifique se o seguinte está correto em sua configuração:

  • Interfaces externas (a interface deve ser a que envia pacotes IKE)

  • Parâmetros de política de IKE

  • Informações-chave pré-compartilhadas

  • Parâmetros da proposta da fase 1 (devem combinar com ambos os pares)

O show security ike security-associations comando lista informações adicionais sobre associações de segurança:

  • Algoritmos de autenticação e criptografia usados

  • Vida útil da fase 1

  • Estatísticas de tráfego (podem ser usadas para verificar se o tráfego está fluindo corretamente em ambas as direções)

  • Informações sobre funções

    A solução de problemas é melhor realizada no peer usando a função de resposta.

  • Informações do iniciador e do respondente

  • Número de SAs IPsec criados

  • Número de negociações da Fase 2 em andamento

Verificando as associações de segurança de IPsec para o respondente

Propósito

Verifique o status do IPsec.

Ação

Do modo operacional no nó 0, entre no show security ipsec security-associations comando. Depois de obter um número de índice do comando, use o show security ipsec security-associations detail comando.

Significado

A saída do show security ipsec security-associations comando lista as seguintes informações:

  • O gateway remoto tem um endereço IP de 100.10.1.253.

  • As SPIs, a vida útil (em segundos) e os limites de uso (ou tamanho vital em KB) são mostrados para ambas as direções. O valor de vida útil indica que a vida útil da Fase 2 expira em 7186 segundos, e que nenhum tamanho vitalício foi especificado, o que indica que é ilimitado. A vida útil da fase 2 pode ser diferente da vida útil da Fase 1, já que a Fase 2 não depende da Fase 1 após o aumento da VPN.

  • O sistema virtual (vsys) é o sistema raiz, e ele sempre lista 0.

A saída do show security ipsec security-associations index index_id detail comando lista as seguintes informações:

  • A identidade local e a identidade remota compõem o ID proxy para a SA.

    Uma incompatibilidade de ID por proxy é uma das causas mais comuns para uma falha na Fase 2. Se nenhuma SA IPsec estiver listada, confirme que as propostas da Fase 2, incluindo as configurações de ID proxy, correspondem a ambos os pares. Para VPNs baseadas em rota, o ID de proxy padrão é local=0,0,0,0/0, remoto=0,0,0,0/0 e service=any. Os problemas podem ocorrer com várias VPNs baseadas em rota a partir do mesmo IP peer. Neste caso, um ID de proxy exclusivo para cada SA IPsec deve ser especificado. Para alguns fornecedores terceirizados, a ID por proxy deve ser inserida manualmente para combinar.

  • Outra razão comum para falha na Fase 2 é não especificar a vinculação da interface ST. Se o IPsec não puder ser concluído, verifique o log kmd ou defina opções de rastreamento.

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
12.1X46-D10
Começando com o Junos OS Release 12.1X46-D10 e o Junos OS Release 17.3R1, o valor padrão para a opção nat-keepalive configurada no [edit security ike gateway gateway-name] nível de hierarquia foi alterado de 5 segundos para 20 segundos.