Ajude-nos a melhorar a sua experiência.

Conte-nos a sua opinião.

Tem dois minutos para uma pesquisa?

external-header-nav

Guia de administrador do Juniper Secure Connect

keyboard_arrow_up
list Table of Contents

Esta tradução automática foi útil?

starstarstarstarstar
Go to English page
ISENÇÃO DE RESPONSABILIDADE:

Esta página será traduzida com software de tradução por máquina de terceiros. Embora esforços razoáveis tenham sido feitos para fornecer uma tradução de qualidade, a Juniper Networks não pode garantir sua exatidão. Se houver dúvidas sobre a exatidão das informações contidas nesta tradução, consulte a versão em inglês. O PDF para download está disponível apenas em inglês.

Autenticação externa do usuário (procedimento de CLI)

date_range 13-Mar-23

Visão geral

Essa configuração é mais segura, pois permite que você use o mesmo nome de usuário e senha que seu login de domínio, bem como alterar ou recuperar suas credenciais sem interagir com o administrador do firewall. Ele também adiciona menos carga de trabalho ao administrador, pois a senha deve ser alterada com frequência. Recomendamos que você use essa configuração para autenticar o usuário.

Presumimos que você tenha concluído a configuração básica de seus dispositivos da Série SRX, incluindo interfaces, zonas e políticas de segurança, conforme ilustrado na Figura 1.

Figura 1: Topologia Topology

Para obter informações sobre pré-requisitos, consulte os requisitos do sistema.

Você deve garantir que o dispositivo da Série SRX use um certificado assinado ou um certificado auto-assinado em vez do certificado padrão gerado pelo sistema. Antes de começar a configurar o Juniper Secure Connect, você deve vincular o certificado ao dispositivo da Série SRX executando o seguinte comando:

content_copy zoom_out_map
user@host# set system services web-management https pki-local-certificate <cert_name>

Por exemplo:

content_copy zoom_out_map
user@host# set system services web-management https pki-local-certificate SRX_Certificate

Quando SRX_Certificate é o certificado obtido da CA ou certificado auto-assinado.

Configuração rápida da CLI

Para configurar rapidamente este exemplo em seus dispositivos da série SRX, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos na CLI no nível de hierarquia [editar].

content_copy zoom_out_map
[edit] 
user@host#
set security ike proposal JUNIPER_SECURE_CONNECT authentication-method pre-shared-keys
set security ike proposal JUNIPER_SECURE_CONNECT dh-group group19

set security ike proposal JUNIPER_SECURE_CONNECT encryption-algorithm aes-256-gcm
set security ike proposal JUNIPER_SECURE_CONNECT lifetime-seconds 28800
set security ike policy JUNIPER_SECURE_CONNECT mode aggressive
set security ike policy JUNIPER_SECURE_CONNECT proposals JUNIPER_SECURE_CONNECT
set security ike policy JUNIPER_SECURE_CONNECT pre-shared-key ascii-text "$9$yYJeMXVwgUjq7-jqmfn6rev"
set security ike gateway JUNIPER_SECURE_CONNECT dynamic hostname ra.example.com
set security ike gateway JUNIPER_SECURE_CONNECT dynamic ike-user-type group-ike-id
set security ike gateway JUNIPER_SECURE_CONNECT ike-policy JUNIPER_SECURE_CONNECT
set security ike gateway JUNIPER_SECURE_CONNECT dead-peer-detection optimized
set security ike gateway JUNIPER_SECURE_CONNECT dead-peer-detection interval 10
set security ike gateway JUNIPER_SECURE_CONNECT dead-peer-detection threshold 5
set security ike gateway JUNIPER_SECURE_CONNECT version v1-only
set security ike gateway JUNIPER_SECURE_CONNECT aaa access-profile Juniper_Secure_Connect
set security ike gateway JUNIPER_SECURE_CONNECT tcp-encap-profile SSL-VPN
set security ike gateway JUNIPER_SECURE_CONNECT external-interface ge-0/0/0
set security ike gateway JUNIPER_SECURE_CONNECT local-address 192.0.2.0

set security ipsec proposal JUNIPER_SECURE_CONNECT encryption-algorithm aes-256-gcm
set security ipsec proposal JUNIPER_SECURE_CONNECT lifetime-seconds 3600
set security ipsec policy JUNIPER_SECURE_CONNECT perfect-forward-secrecy keys group19
set security ipsec policy JUNIPER_SECURE_CONNECT proposals JUNIPER_SECURE_CONNECT
set security ipsec vpn JUNIPER_SECURE_CONNECT bind-interface st0.0

set security ipsec vpn JUNIPER_SECURE_CONNECT ike gateway JUNIPER_SECURE_CONNECT
set security ipsec vpn JUNIPER_SECURE_CONNECT ike ipsec-policy JUNIPER_SECURE_CONNECT
set security ipsec vpn JUNIPER_SECURE_CONNECT traffic-selector ts-1 local-ip 0.0.0.0/0
set security ipsec vpn JUNIPER_SECURE_CONNECT traffic-selector ts-1 remote-ip 0.0.0.0/0
set security remote-access profile ra.example.com ipsec-vpn JUNIPER_SECURE_CONNECT
set security remote-access profile ra.example.com access-profile Juniper_Secure_Connect
set security remote-access profile ra.example.com client-config JUNIPER_SECURE_CONNECT
set security remote-access profile ra.example.com options multi-access
set security remote-access client-config JUNIPER_SECURE_CONNECT connection-mode manual
set security remote-access client-config JUNIPER_SECURE_CONNECT dead-peer-detection interval 60
set security remote-access client-config JUNIPER_SECURE_CONNECT dead-peer-detection threshold 5


set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet network 192.168.2.0/24
set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet range Range low 192.168.2.11
set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet range Range high 192.168.2.100
set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet xauth-attributes primary-dns 10.8.8.8/32
set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet xauth-attributes primary-wins 192.168.4.10/32
set access profile Juniper_Secure_Connect authentication-order radius
set access profile Juniper_Secure_Connect address-assignment pool Juniper_Secure_Connect_Addr-Pool
set access profile Juniper_Secure_Connect radius-server 192.168.3.10 port 1812
set access profile Juniper_Secure_Connect radius-server 192.168.3.10 secret "$9$JSUi.QF/0BEP5BEcyW8ZUj"
set access profile Juniper_Secure_Connect radius-server 192.168.3.10 timeout 5
set access profile Juniper_Secure_Connect radius-server 192.168.3.10 retry 3
set access firewall-authentication web-authentication default-profile Juniper_Secure_Connect

set services ssl termination profile Juniper_SCC-SSL-Term-Profile server-certificate JUNIPER_SECURE_CONNECT(RSA)
set security tcp-encap profile SSL-VPN ssl-profile Juniper_SCC-SSL-Term-Profile 
set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 match source-address any
set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 match destination-address any
set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 match application any
set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 then permit
set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 then log session-close
set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 match source-address any
set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 match destination-address any
set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 match application any
set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 then permit
set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 then log session-close

set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.0/24
set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.0/24
set interfaces st0 unit 0 family inet

set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone trust interfaces ge-0/0/0.0
set security zones security-zone vpn host-inbound-traffic system-services all
set security zones security-zone vpn host-inbound-traffic protocols all
set security zones security-zone VPN interface st0.0
set security zones security-zone vpn interfaces ge-0/0/1.0

Procedimento passo a passo

Para configurar configurações de VPN usando a interface da linha de comando:

  1. Faça login em seu dispositivo da Série SRX usando a interface de linha de comando (CLI).
  2. Insira o modo de configuração.
  3. Configure UMA VPN de acesso remoto.

    Para implantar o Juniper Secure Connect, você deve criar um certificado auto-assinado e vincular o certificado ao dispositivo da Série SRX. Para obter mais informações, veja como preparar a configuração do Juniper Secure Connect.

    Configuração do IKE:

    1. Configure a proposta do IKE.
      • Defina o método de autenticação de propostas do IKE, o grupo Diffie-Hellman e o algoritmo de autenticação.
      • Configure chaves pré-compartilhadas como o método de autenticação.
      content_copy zoom_out_map
      user@host# set security ike proposal JUNIPER_SECURE_CONNECT authentication-method pre-shared-keys
      user@host# set security ike proposal JUNIPER_SECURE_CONNECT dh-group group19
      user@host# set security ike proposal JUNIPER_SECURE_CONNECT encryption-algorithm aes-256-gcm
      user@host# set security ike proposal JUNIPER_SECURE_CONNECT lifetime-seconds 28800
      
    2. Configure a política de IKE.

      Defina o modo de política da Fase 1 do IKE, referência à proposta do IKE e ao método de autenticação de políticas da Fase 1 do IKE.

      content_copy zoom_out_map
      user@host# set security ike policy JUNIPER_SECURE_CONNECT mode aggressive
      
      user@host# set security ike policy JUNIPER_SECURE_CONNECT proposals JUNIPER_SECURE_CONNECT
      user@host# set security ike policy JUNIPER_SECURE_CONNECT pre-shared-key ascii-text "$9$yYJeMXVwgUjq7-jqmfn6rev"
      
    3. Configure opções de gateway IKE. Veja a dinâmica.
      content_copy zoom_out_map
      user@host# set security ike gateway JUNIPER_SECURE_CONNECT dynamic hostname ra.example.com
      user@host# set security ike gateway JUNIPER_SECURE_CONNECT dynamic ike-user-type group-ike-id
      user@host# set security ike gateway JUNIPER_SECURE_CONNECT ike-policy JUNIPER_SECURE_CONNECT

      Se você não configurar os valores de DPD e as informações da versão, o Junos OS atribui o valor padrão para essas opções. Veja a detecção de peer morto.

      content_copy zoom_out_map
      user@host# set security ike gateway JUNIPER_SECURE_CONNECT dead-peer-detection optimized
      user@host# set security ike gateway JUNIPER_SECURE_CONNECT dead-peer-detection interval 10
      user@host# set security ike gateway JUNIPER_SECURE_CONNECT dead-peer-detection threshold 5
      user@host# set security ike gateway JUNIPER_SECURE_CONNECT version v1-only
      user@host# set security ike gateway JUNIPER_SECURE_CONNECT aaa access-profile Juniper_Secure_Connect
      user@host# set security ike gateway JUNIPER_SECURE_CONNECT tcp-encap-profile SSL-VPN

      Configure o endereço IP da interface externa para que os clientes se conectem. Você deve inserir este mesmo endereço IP (neste exemplo: https://192.0.2.0/) para o campo de Endereço gateway no aplicativo Juniper Secure Connect. Veja o gateway.

      content_copy zoom_out_map
      user@host# set security ike gateway JUNIPER_SECURE_CONNECT external-interface ge-0/0/0
      user@host# set security ike gateway JUNIPER_SECURE_CONNECT local-address 192.0.2.0
      

    Configuração do IPsec:

    1. Configure a proposta do IPsec.
      content_copy zoom_out_map
      user@host# set security ipsec proposal JUNIPER_SECURE_CONNECT encryption-algorithm aes-256-gcm
      user@host# set security ipsec proposal JUNIPER_SECURE_CONNECT lifetime-seconds 3600
    2. Configure a política IPsec.
      • Especifique o IPsec fase 2 PFS para usar o grupo Diffie-Hellman 19.
      • Especifique a referência da proposta da Fase 2 do IPsec.
      content_copy zoom_out_map
      user@host# set security ipsec policy JUNIPER_SECURE_CONNECT perfect-forward-secrecy keys group19
      user@host# set security ipsec policy JUNIPER_SECURE_CONNECT proposals JUNIPER_SECURE_CONNECT
      

    Configuração de VPN IPsec:

    1. Configure parâmetros de VPN IPsec. Consulte vpn (Segurança).
      content_copy zoom_out_map
      user@host# set security ipsec vpn JUNIPER_SECURE_CONNECT bind-interface st0.0
      
      user@host# set security ipsec vpn JUNIPER_SECURE_CONNECT ike gateway JUNIPER_SECURE_CONNECT
      user@host# set security ipsec vpn JUNIPER_SECURE_CONNECT ike ipsec-policy JUNIPER_SECURE_CONNECT
      
    2. Configure seletores de tráfego VPN. Consulte o seletor de tráfego.
      content_copy zoom_out_map
      user@host# set security ipsec vpn JUNIPER_SECURE_CONNECT traffic-selector ts-1 local-ip 0.0.0.0/0
      user@host# set security ipsec vpn JUNIPER_SECURE_CONNECT traffic-selector ts-1 remote-ip 0.0.0.0/0
      
  4. Configure as opções de cliente do usuário remoto.
    1. Configure o perfil de acesso remoto. Veja o acesso remoto.
      content_copy zoom_out_map
      user@host# set security remote-access profile ra.example.com ipsec-vpn JUNIPER_SECURE_CONNECT
      user@host# set security remote-access profile ra.example.com access-profile Juniper_Secure_Connect
      user@host# set security remote-access profile ra.example.com client-config JUNIPER_SECURE_CONNECT
    2. Configure o acesso de usuário de vários dispositivos para acess remotos.

      Para configurar o acesso multidevice do usuário, garanta que os seguintes pré-requisitos sejam atendidos:

      • A versão do cliente Secure Connect é compatível.

      • Cada um dos dispositivos remotos (computadores ou dispositivos inteligentes) tem um nome de host exclusivo.

      • Para reduzir o consumo de licença, você pode configurar opções de tempo limite ocioso usando set security ipsec vpn vpn-nameike idle-time o comando para desconectar conexões inativas.

      • Só oferece group-ike-idsuporte.

      Você pode limpar todas as associações IKE de um usuário usando o comando clear security ike active-peer aaa-username user-name.

      O recurso de acesso ao usuário de vários dispositivos não funciona com atribuição de endereço estático usando o atributo de raio Framed-IP-Address. A primeira conexão do usuário será estabelecida com sucesso, e o descanso pode falhar.

      A atribuição de endereço estático usando um processo authd oferecerá endereço IP configurado para a primeira conexão do usuário e, para a conexão posterior, ele oferece ip gratuito do pool usando o set access address-assignment pool family [inet|inet6] host ip-address user-name comando.

      content_copy zoom_out_map
      user@host# set security remote-access profile ra.example.com options multi-access
    3. Configure a configuração do cliente de acesso remoto. Consulte a configuração do cliente.
      content_copy zoom_out_map
      user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT connection-mode manual
      user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT dead-peer-detection interval 60
      user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT dead-peer-detection threshold 5

    A Tabela 1 resume as opções de configurações remotas do usuário.

    Tabela 1: opções de configurações remotas do usuário

    Configurações remotas do usuário

    Descrição

    modo de conexão

    Para estabelecer a conexão do cliente manualmente ou automaticamente, configure a opção apropriada.

    • Se você configurar a opção manual , em seguida, no aplicativo Juniper Secure Connect, para estabelecer uma conexão, você deve clicar no botão de alternar ou selecionar Conexão > Conectar a partir do menu.

    • Se você configurar sempre a opção, o Juniper Secure Connect estabelece automaticamente a conexão.

    Limitação conhecida:

    Dispositivo Android: se você usar ou selecionar Sempre, a configuração é baixada do primeiro dispositivo SRX usado. Se a primeira configuração do dispositivo SRX mudar ou se você se conectar a um novo dispositivo SRX, a configuração não será baixada para o aplicativo Juniper Secure Connect.

    Isso significa que, uma vez que você se conecta no modo Always usando o dispositivo Android, quaisquer alterações de configuração no dispositivo SRX não fazem efeito no Juniper Secure Connect.

    detecção de dead-peer

    A detecção de peer morto (DPD) é habilitada por padrão para permitir que o cliente detecte se o dispositivo da Série SRX é alcançável e, se o dispositivo não for acessível, desabiibilize a conexão até que a acessibilidade seja restaurada.

    perfil padrão

    Se você configurar um perfil de conexão VPN como um perfil padrão, então você deve inserir apenas o endereço de gateway no aplicativo Juniper Secure Connect. É opcional inserir o nome real no aplicativo Juniper Secure Connect, já que o aplicativo seleciona automaticamente o perfil padrão como nome do reino. Neste exemplo, insira ra.example.com no campo de endereço de gateway do aplicativo Juniper Secure Connect.

    Nota:

    A partir do Junos OS Release 23.1R1, ocultamos a opção default-profile no nível [edit security remote-access] de hierarquia. Em versões antes do Junos OS Release 23.1R1, você usa essa opção para especificar um dos perfis de acesso remoto como o perfil padrão no Juniper Secure Connect. Mas, com mudanças no formato de nomes de perfil de acesso remoto, não precisamos mais da opção default-profile .

    Preterimos default-profile a opção — em vez de removê-la imediatamente — para fornecer compatibilidade reversa e uma chance de fazer sua configuração existente estar em conformidade com a configuração alterada. Você receberá uma mensagem de aviso se continuar a usar a opção default-profile em sua configuração. No entanto, as implantações existentes não são afetadas se você modificar a configuração atual. Veja o perfil padrão (Juniper Secure Connect).

  5. Configure o gateway local.
    1. Crie um pool de endereços para atribuição de IP dinâmica do cliente. Consulte a atribuição de endereço (Acesso).
      • Digite o endereço de rede que você usa para a atribuição de endereços.

      • Insira seu endereço de servidor DNS. Insira os detalhes do servidor WINS, se necessário. Crie a faixa de endereço para atribuir endereços IP aos clientes.

      • Insira o nome e os limites inferiores e superiores.

      content_copy zoom_out_map
      user@host# set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet network 192.168.2.0/24
      user@host# set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet range Range low 192.168.2.11
      user@host# set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet range Range high 192.168.2.100
      user@host# set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet xauth-attributes primary-dns 10.8.8.8/32
      user@host# set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet xauth-attributes primary-wins 192.168.4.10/32
    2. Crie um perfil de acesso.

      Para autenticação externa de usuários, forneça o Endereço IP radius server, o Radius Secret e o endereço de origem para que as comunicações de raio sejam originadas. Configure o raio para a ordem de autenticação.

      content_copy zoom_out_map
      user@host# set access profile Juniper_Secure_Connect authentication-order radius
      user@host# set access profile Juniper_Secure_Connect address-assignment pool Juniper_Secure_Connect_Addr-Pool
      user@host# set access profile Juniper_Secure_Connect radius-server 192.168.3.10 port 1812
      user@host# set access profile Juniper_Secure_Connect radius-server 192.168.3.10 secret "$9$JSUi.QF/0BEP5BEcyW8ZUj"
      user@host# set access profile Juniper_Secure_Connect radius-server 192.168.3.10 timeout 5
      user@host# set access profile Juniper_Secure_Connect radius-server 192.168.3.10 retry 3
      user@host# set access firewall-authentication web-authentication default-profile Juniper_Secure_Connect
      
    3. Crie um perfil de encerramento de SSL. O encerramento da SSL é um processo em que os dispositivos da Série SRX atuam como um servidor proxy SSL e encerra a sessão SSL do cliente. Digite o nome do perfil de encerramento do SSL e selecione o certificado de servidor que você usa para o encerramento de SSL nos dispositivos da Série SRX. O certificado do servidor é um identificador de certificado local. Os certificados de servidor são usados para autenticar a identidade de um servidor.
      content_copy zoom_out_map
      user@host# set services ssl termination profile Juniper_SCC-SSL-Term-Profile server-certificate JUNIPER_SECURE_CONNECT(RSA)
    4. Crie um perfil de VPN SSL. Veja tcp-encap.
      content_copy zoom_out_map
      user@host# set security tcp-encap profile SSL-VPN ssl-profile Juniper_SCC-SSL-Term-Profile
    5. Crie políticas de firewall.
      Crie a política de segurança para permitir o tráfego da zona de confiança até a zona vpn.
      content_copy zoom_out_map
      user@host# set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 match source-address any
      user@host# set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 match destination-address anyuser@host# set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 match application any
      user@host# set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 then permit
      user@host# set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 then log session-close
      
      Crie a política de segurança para permitir o tráfego da zona de VPN até a zona de confiança.
      content_copy zoom_out_map
      user@host# set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 match source-address any
      user@host# set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 match destination-address any
      user@host# set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 match application any
      user@host# set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 then permit
      user@host# set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 then log session-close
  6. Configure as informações da interface Ethernet.
    content_copy zoom_out_map
    user@host# set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.0/24
    user@host# set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.0/24

    Configure a interface st0 com o conjunto familiar como inet.

    content_copy zoom_out_map
    user@host# set interfaces st0 unit 0 family inet
  7. Configure zonas de segurança.
    content_copy zoom_out_map
    user@host# set security zones security-zone trust host-inbound-traffic system-services all
    user@host# set security zones security-zone trust host-inbound-traffic protocols all
    user@host# set security zones security-zone trust interfaces ge-0/0/0.0
    user@host# set security zones security-zone vpn host-inbound-traffic system-services all
    user@host# set security zones security-zone vpn host-inbound-traffic protocols all
    user@host# set security zones security-zone VPN interface st0.0
    user@host# set security zones security-zone vpn interfaces ge-0/0/1.0
  8. A configuração de acesso remoto com usuário remoto e gateway local é configurada com sucesso.
  9. Lance o aplicativo Juniper Secure Connect e forneça o mesmo endereço IP que você configurou para endereço IP externo no campo de Endereço gateway no aplicativo Juniper Secure Connect.

    Neste exemplo, você configurou o 192.0.2.0 como o endereço IP de interface externa para os clientes se conectarem. Você deve inserir este mesmo endereço IP (192.0.2.0) para o campo de endereço gateway no aplicativo Juniper Secure Connect.

Resultado

A partir do modo operacional, confirme sua configuração entrando no show security, show accesse show services comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

content_copy zoom_out_map
[edit]
user@host> show security
   ike {
       proposal JUNIPER_SECURE_CONNECT {
           authentication-method pre-shared-keys;
           dh-group group19;
           encryption-algorithm aes-256-gcm;
           lifetime-seconds 28800;
       }
       policy JUNIPER_SECURE_CONNECT {
           mode aggressive;
           proposals JUNIPER_SECURE_CONNECT;
           pre-shared-key ascii-text "$9$oWZDk5Qnp0I.P0IEcvMaZU"; ## SECRET-DATA
       }
       gateway JUNIPER_SECURE_CONNECT {
           ike-policy JUNIPER_SECURE_CONNECT;
           dynamic {
               hostname ra.example.com;
               ike-user-type group-ike-id;
           }
           dead-peer-detection {
               optimized;
               interval 10;
               threshold 5;
           }
           external-interface ge-0/0/1;
           aaa {
               access-profile Juniper_Secure_Connect;
           }
           version v1-only;
           tcp-encap-profile SSL-VPN;
       }
   }
   ipsec {
       proposal JUNIPER_SECURE_CONNECT {


           encryption-algorithm aes-256-gcm;
           lifetime-seconds 3600;
       }
       policy JUNIPER_SECURE_CONNECT {
           perfect-forward-secrecy {
               keys group19;
           }
           proposals JUNIPER_SECURE_CONNECT;
       }
       vpn JUNIPER_SECURE_CONNECT {
           bind-interface st0.0;
           ike {
               gateway JUNIPER_SECURE_CONNECT;
               ipsec-policy JUNIPER_SECURE_CONNECT;
           }
           traffic-selector ts-1 {
               local-ip 0.0.0.0/0;
               remote-ip 0.0.0.0/0;
           }
       }
   }
   remote-access {
       profile ra.example.com {

           ipsec-vpn JUNIPER_SECURE_CONNECT;
           access-profile Juniper_Secure_Connect;
           client-config JUNIPER_SECURE_CONNECT;
       }
       client-config JUNIPER_SECURE_CONNECT {
           connection-mode manual;
           dead-peer-detection {
               interval 60;
               threshold 5;
           }
       }
       
   }
   policies {
       from-zone trust to-zone VPN {
           policy JUNIPER_SECURE_CONNECT-1 {
               match {
                   source-address any;
                   destination-address any;
                   application any;
               }
               then {
                   permit;
                   log {
                       session-close;
                   }
               }
           }
       }
       from-zone VPN to-zone trust {
           policy JUNIPER_SECURE_CONNECT-2 {
               match {
                   source-address any;
                   destination-address any;
                   application any;
               }
               then {
                   permit;
                   log {
                       session-close;
                   }
               }
           }
       }
   }
   tcp-encap {
       profile SSL-VPN {
           ssl-profile Juniper_SCC-SSL-Term-Profile;
       }
   }
content_copy zoom_out_map
[edit]
user@host> show access
  access {
      profile Juniper_Secure_Connect {
          authentication-order radius;
          address-assignment {
              pool Juniper_Secure_Connect_Addr-Pool;
          }
          radius-server {
              192.168.3.10 {
                  port 1812;
                  secret "$9$JSUi.QF/0BEP5BEcyW8ZUj"; ## SECRET-DATA
                  timeout 5;
                  retry 3;
              }
          }
      }
      address-assignment {
          pool Juniper_Secure_Connect_Addr-Pool {
              family inet {
                  network 192.168.2.0/24;
                  range Range {
                      low 192.168.2.11;
                      high 192.168.2.100;
                  }
                  xauth-attributes {
                      primary-dns 10.8.8.8/32;
                      primary-wins 192.168.4.10/32;
                  }
              }
          }
      }
      firewall-authentication {
          web-authentication {
              default-profile Juniper_Secure_Connect;
          }
      }
  }
content_copy zoom_out_map
[edit]
user@host> show services
   ssl {
       termination {
           profile Juniper_SCC-SSL-Term-Profile {
               server-certificate JUNIPER_SECURE_CONNECT(RSA);
           }
       }
   }

Certifique-se de que você já tem um certificado de servidor para anexar ao perfil de encerramento do SSL.

content_copy zoom_out_map
[edit]
user@host> show interfaces
ge-0/0/0 {
    unit 0 {
        family inet {
            address 192.0.2.0/24;
        }
    }
}
ge-0/0/1 {
    unit 0 {
        family inet {
            address 198.51.100.0/24;
        }
    }
}
st0 {
    unit 1 {
        family inet;
    }
}
content_copy zoom_out_map
[edit]
user@host> show security zones
security-zone trust {
    host-inbound-traffic {
        system-services {
            all;
        }
        protocols {
            all;
        }
    }
    interfaces {
        ge-0/0/0.0;
    }
}
security-zone vpn {
    host-inbound-traffic {
        system-services {
            all;
        }
        protocols {
            all;
        }
    }
    interfaces {
        st0.1;
        ge-0/0/1.0;
    }
}

Quando terminar de configurar o recurso em seu dispositivo, insira o commit a partir do modo de configuração.

external-footer-nav