EN ESTA PÁGINA
VPN basadas en rutas y en políticas con NAT-T
Network Address Translation-Traversal (NAT-T) es un método utilizado para administrar los problemas relacionados con la traducción de direcciones IP que se producen cuando los datos protegidos por IPsec pasan a través de un dispositivo configurado con NAT para la traducción de direcciones.
Descripción de NAT-T
Network Address Translation-Traversal (NAT-T) es un método para evitar los problemas de traducción de direcciones IP que se producen cuando los datos protegidos por IPsec pasan a través de un dispositivo NAT para la traducción de direcciones. Cualquier cambio en el direccionamiento IP, que es la función de NAT, hace que IKE descarte paquetes. Después de detectar uno o más dispositivos NAT a lo largo de la ruta de datos durante los intercambios de fase 1, NAT-T agrega una capa de encapsulación del Protocolo de datagramas de usuario (UDP) a los paquetes IPsec para que no se descarten después de la traducción de direcciones. NAT-T encapsula el tráfico IKE y ESP dentro de UDP con el puerto 4500 utilizado como puerto de origen y destino. Debido a que los dispositivos NAT caducan las traducciones UDP obsoletas, se requieren mensajes keepalive entre los pares.
NAT-T está habilitado de forma predeterminada, por lo tanto, debe utilizar la no-nat-traversal instrucción en el nivel de [edit security ike gateway gateway-name jerarquía para deshabilitar el NAT-T.
Hay dos grandes categorías de NAT:
NAT estático, donde existe una relación uno a uno entre las direcciones privadas y públicas. La NAT estática funciona tanto en direcciones entrantes como salientes.
NAT dinámico, donde existe una relación varios a uno o varios a muchos entre las direcciones privadas y públicas. La NAT dinámica solo funciona en la dirección de salida.
La ubicación de un dispositivo NAT puede ser tal que:
Solo el iniciador IKEv1 o IKEv2 está detrás de un dispositivo NAT. Múltiples iniciadores pueden estar detrás de dispositivos NAT separados. Los iniciadores también pueden conectarse al respondedor a través de varios dispositivos NAT.
Solo el respondedor IKEv1 o IKEv2 está detrás de un dispositivo NAT.
Tanto el iniciador IKEv1 o IKEv2 como el respondedor están detrás de un dispositivo NAT.
La VPN de punto de conexión dinámica cubre la situación en la que la dirección externa del IKE del iniciador no es fija y, por lo tanto, el respondedor no la conoce. Esto puede ocurrir cuando un ISP asigna dinámicamente la dirección del iniciador o cuando la conexión del iniciador cruza un dispositivo NAT dinámico que asigna direcciones de un grupo de direcciones dinámicas.
Se proporcionan ejemplos de configuración para NAT-T para la topología en la que solo el respondedor está detrás de un dispositivo NAT y la topología en la que tanto el iniciador como el respondedor están detrás de un dispositivo NAT. La configuración de puerta de enlace IKE de sitio a sitio para NAT-T es compatible tanto con el iniciador como con el respondedor. Un ID de IKE remoto se utiliza para validar el ID de IKE local de un par durante la fase 1 de la negociación del túnel de IKE. Tanto el iniciador como el respondedor requieren una local-identity y una remote-identity configuración.
En los dispositivos SRX5400, SRX5600 y SRX5800, los problemas de escalado y mantenimiento del túnel NAT-T de IPsec son los siguientes:
Para una dirección IP privada determinada, el dispositivo NAT debe traducir 500 y 4500 puertos privados a la misma dirección IP pública.
El número total de túneles de una IP traducida pública determinada no puede superar los 1000 túneles.
A partir de Junos OS versión 19.2R1, PowerMode IPSec (PMI) para NAT-T solo se admite en dispositivos SRX5400, SRX5600 y SRX5800 equipados con la tarjeta de procesamiento de servicios (SPC) SRX5K-SPC3 o con el firewall virtual vSRX.
Consulte también
Ejemplo: Configuración de una VPN basada en rutas con el respondedor enun dispositivo NAT
En este ejemplo se muestra cómo configurar una VPN basada en rutas con un respondedor detrás de un dispositivo NAT entre una sucursal y la oficina corporativa.
Requisitos
Antes de comenzar, lea Información general sobre IPsec.
Descripción general
En este ejemplo, se configura una VPN basada en rutas. Host1 usará la VPN para conectarse a su sede corporativa en SRX2.
Figura 1 muestra un ejemplo de una topología para VPN basada en rutas con solo el respondedor detrás de un dispositivo NAT.
En este ejemplo, se configuran interfaces, IPsec y directivas de seguridad para un iniciador en SRX1 y un respondedor en SRX2. A continuación, configure los parámetros IKE fase 1 e IPsec fase 2.
SRX1 envía paquetes con la dirección de destino 1 72.1 6.2 1.1 para establecer la VPN. El dispositivo NAT traducela dirección de destino a 10.1.31.1.
Consulte Tabla 1 hasta Tabla 3 para ver parámetros de configuración específicos utilizados para el iniciador en los ejemplos.
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Interfaces |
ge-0/0/1 |
172.16.11.1/24 |
|
ge-0/0/0 |
10.1.11.1/24 |
|
|
st0. 0 (interfaz de túnel) |
10.1.100.1/24 |
|
|
Rutas estáticas |
10.1.2 1,0/24 |
El siguiente salto es st0.0. |
|
172.16.21.1/32 |
El siguiente salto es 172.16.11.2. |
|
|
Zonas de seguridad |
no confiar |
|
|
confiar |
|
|
|
Políticas de seguridad |
a-SRX2 |
Permitir tráfico a partir de 10.1.1 1.0/24 en la zona de confianza a 10.1.2 1.0/24 en la zona de no confianza. |
|
desde-SRX2 |
Permitir tráfico desde 10.1.2 1.0/24 en la zona de no confianza a 10.1.1 1.0/24 en la zona de confianza. |
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Propuesta |
ike_prop |
|
|
Política |
ike_pol |
|
|
Puerta de enlace |
gw1 |
|
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Propuesta |
ipsec_prop |
|
|
Política |
ipsec_pol |
|
|
VPN |
vpn1 |
|
Consulte Tabla 4 hasta Tabla 6 para ver parámetros de configuración específicos utilizados para el respondedor en los ejemplos.
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Interfaces |
ge-0/0/1 |
10.1.31.1/24 |
|
ge-0/0/0 |
10.1.21.1/24 |
|
|
st0. 0 (interfaz de túnel) |
10.1.100.2/24 |
|
|
Rutas estáticas |
172.16.11.1/32 |
El siguiente salto es 10.1.3 1.2. |
|
10.1.1 1,0/24 |
El siguiente salto es st0.0. |
|
|
Zonas de seguridad |
no confiar |
|
|
confiar |
|
|
|
Políticas de seguridad |
a-SRX1 |
Permitir tráfico desde 10.1.2 1.0/24 en la zona de confianza a 10.1.1 1.0/24 en la zona de no confianza. |
|
desde-SRX1 |
Permitir tráfico desde 10.1.1 1.0/24 en la zona de no confianza a 10.1.2 1.0/24 en la zona de confianza. |
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Propuesta |
ike_prop |
|
|
Política |
ike_pol |
|
|
Puerta de enlace |
GW1 |
|
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Propuesta |
ipsec_prop |
|
|
Política |
ipsec_pol |
|
|
VPN |
vpn1 |
|
Configuración
- Configuración de interfaz, opciones de enrutamiento y parámetros de seguridad para SRX1
- Configuración de IKE para SRX1
- Configuración de IPsec para SRX1
- Configuración de interfaces, opciones de enrutamiento y parámetros de seguridad para SRX2
- Configuración de IKE para SRX2
- Configuración de IPsec para SRX2
- Configuración del dispositivo NAT
Configuración de interfaz, opciones de enrutamiento y parámetros de seguridad para SRX1
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security address-book book1 address Host1 10.1.11.0/24 set security address-book book1 attach zone trust set security address-book book2 address Host2 10.1.21.0/24 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy to-SRX2 match source-address Host1 set security policies from-zone trust to-zone untrust policy to-SRX2 match destination-address Host2 set security policies from-zone trust to-zone untrust policy to-SRX2 match application any set security policies from-zone trust to-zone untrust policy to-SRX2 then permit set security policies from-zone untrust to-zone trust policy from-SRX2 match source-address Host2 set security policies from-zone untrust to-zone trust policy from-SRX2 match destination-address Host1 set security policies from-zone untrust to-zone trust policy from-SRX2 match application any set security policies from-zone untrust to-zone trust policy from-SRX2 then permit set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet address 10.1.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.11.1/24 set interfaces st0 unit 0 family inet address 10.1.100.1/24 set routing-options static route 10.1.21.0/24 next-hop st0.0 set routing-options static route 172.16.21.1/32 next-hop 172.16.11.2
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar interfaces, rutasestáticas y parámetros de seguridad:
-
Configure las interfacesconectadas a Internet, Host1 y la interfaz utilizada para la VPN.
[edit] user@SRX1# set interfaces ge-0/0/0 unit 0 family inet address 10.1.11.1/24 user@SRX1# set interfaces ge-0/0/1 unit 0 family inet address 172.16.11.1/24 user@SRX1# set interfaces st0 unit 0 family inet address 10.1.100.1/24
-
Configure rutas estáticas para el tráfico que usará la VPN y para que SRX1 llegue al dispositivo NAT.
[edit] user@SRX1# set routing-options static route 10.1.21.0/24 next-hop st0.0 user@SRX1# set routing-options static route 172.16.21.1/32 next-hop 172.16.11.2
-
Configure la zona de seguridad de no confianza.
[edit] user@SRX1# set security zones security-zone untrust host-inbound-traffic system-services ike user@SRX1# set security zones security-zone untrust host-inbound-traffic system-services ping user@SRX1# set security zones security-zone untrust interfaces st0.0 user@SRX1# set security zones security-zone untrust interfaces ge-0/0/1.0
-
Configure la zona de seguridad de confianza.
[edit] user@SRX1# set security zones security-zone trust host-inbound-traffic system-services all user@SRX1# set security zones security-zone trust host-inbound-traffic protocols all user@SRX1# set security zones security-zone trust interfaces ge-0/0/0.0
-
Configure libretas de direcciones para las redes utilizadas en las directivas de seguridad.
[edit] user@SRX1# set security address-book book1 address Host1 10.1.11.0/24 user@SRX1# set security address-book book1 attach zone trust user@SRX1# set security address-book book2 address Host2 10.1.21.0/24 user@SRX1# set security address-book book2 attach zone untrust
-
Cree políticas de seguridad para permitir el tráfico entre los hosts.
[edit] user@SRX1# set security policies from-zone trust to-zone untrust policy to-SRX2 match source-address Host1 user@SRX1# set security policies from-zone trust to-zone untrust policy to-SRX2 match destination-address Host2 user@SRX1# set security policies from-zone trust to-zone untrust policy to-SRX2 match application any user@SRX1# set security policies from-zone trust to-zone untrust policy to-SRX2 then permit user@SRX1# set security policies from-zone untrust to-zone trust policy from-SRX2 match source-address Host2 user@SRX1# set security policies from-zone untrust to-zone trust policy from-SRX2 match destination-address Host1 user@SRX1# set security policies from-zone untrust to-zone trust policy from-SRX2 match application any user@SRX1# set security policies from-zone untrust to-zone trust policy from-SRX2 then permit
Resultados
Desde el modo de configuración, escriba los comandos , y show security para confirmar la show interfacesconfiguración. show routing-options Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@SRX1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.11.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.11.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.1.100.1/24;
}
}
}[edit]
user@SRX1# show routing-options
static {
route 10.1.21.0/24 next-hop st0.0;
route 172.16.21.1/32 next-hop 172.16.11.2;
}[edit]
user@SRX1# show security
address-book {
book1 {
address Host1 10.1.11.0/24;
attach {
zone trust;
}
}
book2 {
address Host2 10.1.21.0/24;
attach {
zone untrust;
}
}
}
policies {
from-zone trust to-zone untrust {
policy to-SRX2 {
match {
source-address Host1;
destination-address Host2;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy from-SRX2 {
match {
source-address Host2;
destination-address Host1;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
}
interfaces {
st0.0;
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
}Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de IKE para SRX1
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm sha1 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode main set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text “$ABC123” set security ike gateway gw1 ike-policy ike_pol set security ike gateway gw1 address 172.16.21.1 set security ike gateway gw1 local-identity user-at-hostname "srx1@example.com" set security ike gateway gw1 remote-identity user-at-hostname "srx2@example.com" set security ike gateway gw1 external-interface ge-0/0/1.0
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar ICR:
-
Cree una propuesta de fase 1 de IKE.
[edit] user@SRX1# set security ike proposal ike_prop authentication-method pre-shared-keys user@SRX1# set security ike proposal ike_prop dh-group group2 user@SRX1# set security ike proposal ike_prop authentication-algorithm sha1 user@SRX1# set security ike proposal ike_prop encryption-algorithm 3des-cbc
-
Cree una política de fase 1 de IKE.
[edit] user@SRX1# set security ike policy ike_pol mode main user@SRX1# set security ike policy ike_pol proposals ike_prop user@SRX1# set security ike policy ike_pol pre-shared-key ascii-text “$ABC123”
-
Configure los parámetros de puerta de enlace de fase 1 de IKE. La dirección de puerta de enlace debe ser la IP del dispositivo NAT.
[edit security ike gateway gw1] user@SRX1# set security ike gateway gw1 ike-policy ike_pol user@SRX1# set security ike gateway gw1 address 172.16.21.1 user@SRX1# set security ike gateway gw1 local-identity user-at-hostname "srx1@example.com" user@SRX1# set security ike gateway gw1 remote-identity user-at-hostname "srx2@example.com" user@SRX1# set security ike gateway gw1 external-interface ge-0/0/1.0
Resultados
Desde el modo de configuración, confírmela con el comando show security ike. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@SRX1# show security ike
proposal ike_prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy ike_pol {
mode main;
proposals ike_prop;
pre-shared-key ascii-text “$9$xPn7-VwsgaJUHqp01IcSs2g”; ## SECRET-DATA
}
gateway gw1 {
ike-policy ike_pol;
address 172.16.21.1;
local-identity user-at-hostname "srx1@example.com";
remote-identity user-at-hostname "srx2@example.com";
external-interface ge-0/0/1.0;
}Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de IPsec para SRX1
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn vpn1 bind-interface st0.0 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn vpn1 establish-tunnels immediately
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar IPsec:
-
Cree una propuesta de fase 2 de IPsec.
[edit] user@SRX1# set security ipsec proposal ipsec_prop protocol esp user@SRX1# set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 user@SRX1# set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc
-
Cree la directiva de fase 2 de IPsec.
[edit] user@SRX1# set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2 user@SRX1# set security ipsec policy ipsec_pol proposals ipsec_prop
-
Configure los parámetros VPN de IPsec.
[edit] user@SRX1# set security ipsec vpn vpn1 bind-interface st0.0 user@SRX1# set security ipsec vpn vpn1 ike gateway gw1 user@SRX1# set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol user@SRX1# set security ipsec vpn vpn1 establish-tunnels immediately
Resultados
Desde el modo de configuración, confírmela con el comando show security ipsec. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@SRX1# show security ipsec
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_pol {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec_prop;
}
vpn vpn1 {
bind-interface st0.0;
ike {
gateway gw1;
ipsec-policy ipsec_pol;
}
establish-tunnels immediately;
}Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de interfaces, opciones de enrutamiento y parámetros de seguridad para SRX2
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security address-book book1 address Host2 10.1.21.0/24 set security address-book book1 attach zone trust set security address-book book2 address Host1 10.1.11.0/24 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy to-SRX1 match source-address Host2 set security policies from-zone trust to-zone untrust policy to-SRX1 match destination-address Host1 set security policies from-zone trust to-zone untrust policy to-SRX1 match application any set security policies from-zone trust to-zone untrust policy to-SRX1 then permit set security policies from-zone untrust to-zone trust policy from-SRX1 match source-address Host1 set security policies from-zone untrust to-zone trust policy from-SRX1 match destination-address Host2 set security policies from-zone untrust to-zone trust policy from-SRX1 match application any set security policies from-zone untrust to-zone trust policy from-SRX1 then permit set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet address 10.1.21.1/24 set interfaces ge-0/0/1 unit 0 family inet address 10.1.31.1/24 set interfaces st0 unit 0 family inet address 10.1.100.2/24 set routing-options static route 172.16.11.1/32 next-hop 10.1.31.2 set routing-options static route 10.1.11.0/24 next-hop st0.0
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar interfaces, rutasestáticas y parámetros de seguridad:
-
Configure las interfaces conectadas a Internet, Host2 y la interfaz utilizada para la VPN.
[edit] user@SRX2# set interfaces ge-0/0/0 unit 0 family inet address 10.1.21.1/24 user@SRX2# set interfaces ge-0/0/1 unit 0 family inet address 10.1.31.1/24 user@SRX2# set interfaces st0 unit 0 family inet address 10.1.100.2/24
-
Configure rutas estáticas para el tráfico que usará la VPN y para que SRX2 llegue a SRX1.
[edit] user@SRX2# set routing-options static route 172.16.11.1/32 next-hop 10.1.31.2 user@SRX2# set routing-options static route 10.1.11.0/24 next-hop st0.0
-
Configure la zona de seguridad de no confianza.
[edit] user@SRX2# set security zones security-zone untrust host-inbound-traffic system-services ike user@SRX2# set security zones security-zone untrust host-inbound-traffic system-services ping user@SRX2# set security zones security-zone untrust interfaces ge-0/0/1.0 user@SRX2# set security zones security-zone untrust interfaces st0.0
-
Configure la zona de seguridad de confianza.
[edit] user@SRX2# set security zones security-zone trust host-inbound-traffic system-services all user@SRX2# set security zones security-zone trust host-inbound-traffic protocols all user@SRX2# set security zones security-zone trust interfaces ge-0/0/0.0
-
Configure libretas de direcciones para las redes utilizadas en las directivas de seguridad.
[edit] user@SRX2# set security address-book book1 address Host2 10.1.21.0/24 user@SRX2# set security address-book book1 attach zone trust user@SRX2# set security address-book book2 address Host1 10.1.11.0/24 user@SRX2# set security address-book book2 attach zone untrust
-
Cree políticas de seguridad para permitir el tráfico entre los hosts.
[edit] user@SRX2# set security policies from-zone trust to-zone untrust policy to-SRX1 match source-address Host2 user@SRX2# set security policies from-zone trust to-zone untrust policy to-SRX1 match destination-address Host1 user@SRX2# set security policies from-zone trust to-zone untrust policy to-SRX1 match application any user@SRX2# set security policies from-zone trust to-zone untrust policy to-SRX1 then permit user@SRX2# set security policies from-zone untrust to-zone trust policy from-SRX1 match source-address Host1 user@SRX2# set security policies from-zone untrust to-zone trust policy from-SRX1 match destination-address Host2 user@SRX2# set security policies from-zone untrust to-zone trust policy from-SRX1 match application any user@SRX2# set security policies from-zone untrust to-zone trust policy from-SRX1 then permit
Resultados
Desde el modo de configuración, escriba los comandos , y show security para confirmar la show interfacesconfiguración. show routing-options Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@SRX2# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.21.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.1.31.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.1.100.2/24;
}
}
}[edit]
user@SRX2# show routing-options
static {
route 172.16.11.1/32 next-hop 10.1.31.2;
route 10.1.11.0/24 next-hop st0.0;
}[edit]
user@SRX2# show security
address-book {
book1 {
address Host2 10.1.21.0/24;
attach {
zone trust;
}
}
book2 {
address Host1 10.1.11.0/24;
attach {
zone untrust;
}
}
}
policies {
from-zone trust to-zone untrust {
policy to-SRX1 {
match {
source-address Host2;
destination-address Host1;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy from-SRX1 {
match {
source-address Host1;
destination-address Host2;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
}
interfaces {
ge-0/0/1.0;
st0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
}Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de IKE para SRX2
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm sha1 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode main set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text “$ABC123” set security ike gateway gw1 ike-policy ike_pol set security ike gateway gw1 address 172.16.11.1 set security ike gateway gw1 local-identity user-at-hostname "srx2@example.com" set security ike gateway gw1 remote-identity user-at-hostname "srx1@example.com" set security ike gateway gw1 external-interface ge-0/0/1.0
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar ICR:
-
Cree una propuesta de fase 1 de IKE.
[edit] user@SRX2# set security ike proposal ike_prop authentication-method pre-shared-keys user@SRX2# set security ike proposal ike_prop dh-group group2 user@SRX2# set security ike proposal ike_prop authentication-algorithm sha1 user@SRX2# set security ike proposal ike_prop encryption-algorithm 3des-cbc
-
Cree una política de fase 1 de IKE.
[edit] user@SRX2# set security ike policy ike_pol mode main user@SRX2# set security ike policy ike_pol proposals ike_prop user@SRX2# set security ike policy ike_pol pre-shared-key ascii-text “$ABC123”
-
Configure los parámetros de puerta de enlace de fase 1 de IKE. La dirección de puerta de enlace debe ser la IP de SRX1.
[edit] user@SRX2# set security ike gateway gw1 ike-policy ike_pol user@SRX2# set security ike gateway gw1 address 172.16.11.1 user@SRX2# set security ike gateway gw1 local-identity user-at-hostname "srx2@example.com" user@SRX2# set security ike gateway gw1 remote-identity user-at-hostname "srx1@example.com" user@SRX2# set security ike gateway gw1 external-interface ge-0/0/1.0
Resultados
Desde el modo de configuración, confírmela con el comando show security ike. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@SRX2# show security ike
proposal ike_prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy ike_pol {
mode main;
proposals ike_prop;
pre-shared-key ascii-text "$9$mP5QF3/At0IE-VsYoa36/"; ## SECRET-DATA
}
gateway gw1 {
ike-policy ike_pol;
address 172.16.11.1;
local-identity user-at-hostname "srx2@example.com";
remote-identity user-at-hostname "srx1@example.com";
external-interface ge-0/0/1.0;
}Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de IPsec para SRX2
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn vpn1 bind-interface st0.0 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn vpn1 establish-tunnels immediately
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar IPsec:
-
Cree una propuesta de fase 2 de IPsec.
[edit] user@SRX2# set security ipsec proposal ipsec_prop protocol esp user@SRX2# set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 user@SRX2# set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc
-
Cree la directiva de fase 2 de IPsec.
[edit] user@SRX2# set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2 user@SRX2# set security ipsec policy ipsec_pol proposals ipsec_prop
-
Configure los parámetros VPN de IPsec .
[edit] user@SRX2# set security ipsec vpn vpn1 bind-interface st0.0 user@SRX2# set security ipsec vpn vpn1 ike gateway gw1 user@SRX2# set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol user@SRX2# set security ipsec vpn vpn1 establish-tunnels immediately
Resultados
Desde el modo de configuración, confírmela con el comando show security ipsec. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@SRX2# show security ipsec
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_pol {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec_prop;
}
vpn vpn1 {
bind-interface st0.0;
ike {
gateway gw1;
ipsec-policy ipsec_pol;
}
establish-tunnels immediately;
}Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración del dispositivo NAT
Configuración rápida de CLI
En el ejemplo se utiliza NAT estática. La NAT estática es bidireccional, lo que significa que el tráfico de 10.1.31.1 a 172.16.11.1 también utilizará la misma configuración de NAT.
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security nat static rule-set rule1 from zone untrust set security nat static rule-set rule1 rule ipsec match source-address 172.16.11.1/32 set security nat static rule-set rule1 rule ipsec match destination-address 172.16.21.1/32 set security nat static rule-set rule1 rule ipsec then static-nat prefix 10.1.31.1/32 set security policies from-zone trust to-zone untrust policy allow-out match source-address any set security policies from-zone trust to-zone untrust policy allow-out match destination-address any set security policies from-zone trust to-zone untrust policy allow-out match application any set security policies from-zone trust to-zone untrust policy allow-out then permit set security policies from-zone untrust to-zone trust policy allow-out-in match source-address any set security policies from-zone untrust to-zone trust policy allow-out-in match destination-address any set security policies from-zone untrust to-zone trust policy allow-out-in match application any set security policies from-zone untrust to-zone trust policy allow-out-in then permit set security zones security-zone trust host-inbound-traffic system-services ping set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet address 172.16.21.1/24 set interfaces ge-0/0/1 unit 0 family inet address 10.1.31.2/24 set routing-options static route 172.16.11.0/24 next-hop 172.16.21.2
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Verificación del estado de fase 1 de IKE en SRX1
- Comprobación de asociaciones de seguridad IPsec en SRX1
- Verificación del estado de fase 1 de IKE en SRX2
- Comprobación de asociaciones de seguridad IPsec en SRX2
- Verificación de la accesibilidad de host a host
Verificación del estado de fase 1 de IKE en SRX1
Propósito
Verifique el estado de la fase 1 de IKE.
Acción
Desde el modo operativo, ingrese el comando show security ike security-associations. Para obtener una salida más detallada, utilice el show security ike security-associations detail comando.
user@SRX1> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 302301 UP 84e8fc61d0750278 ea9a07ef032805b6 Main 172.16.21.1
user@SRX1> show security ike security-associations detail
IKE peer 172.16.21.1, Index 302301, Gateway Name: gw1
Role: Initiator, State: UP
Initiator cookie: 84e8fc61d0750278, Responder cookie: ea9a07ef032805b6
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 172.16.11.1:4500, Remote: 172.16.21.1:4500
Lifetime: Expires in 19657 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: srx2@example.com
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha1-96
Encryption : 3des-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1780
Output bytes : 2352
Input packets: 7
Output packets: 14
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 4 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Initiator, Message ID: 0
Local: 172.16.11.1:4500, Remote: 172.16.21.1:4500
Local identity: srx1@example.com
Remote identity: srx2@example.com
Flags: IKE SA is createdSignificado
El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.
Si las SA aparecen en la lista, revise la siguiente información:
-
Índice: este valor es único para cada SA de IKE, que puede utilizar en el
show security ike security-associations index detailcomando para obtener más información acerca de la SA. -
Dirección remota: compruebe que la dirección IP remota sea correcta y que el puerto 4500 se esté utilizando para la comunicación punto a punto. Recuerde que NAT-T encapsula el tráfico IKE y ESP dentro de UDP con el puerto 4500.
-
Estado del iniciador de roles
-
Arriba: se establece la SA de fase 1.
-
Abajo: hubo un problema al establecer la SA de fase 1.
-
Ambos pares del par SA IPsec usan el puerto 4500.
-
ID de IKE par: compruebe que la dirección remota sea correcta.
-
Identidad local e identidad remota: verifique que sean correctas.
-
-
Modo: verifica que se esté utilizando el modo correcto.
Compruebe que los siguientes elementos son correctos en su configuración:
-
Interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)
-
Parámetros de política de ICR
-
Información de claves precompartidas
-
Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)
El show security ike security-associations comando enumera información adicional acerca de las asociaciones de seguridad:
-
Algoritmos de autenticación y cifrado utilizados
-
Duración de la fase 1
-
Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)
-
Información de funciones
La solución de problemas se realiza de mejor manera en el mismo nivel que usa la función de respondedor.
-
Información del iniciador y del respondedor
-
Cantidad de SA de IPsec creadas
-
Número de negociaciones de la Fase 2 en curso
Comprobación de asociaciones de seguridad IPsec en SRX1
Propósito
Verifique el estado de IPsec.
Acción
Desde el modo operativo, ingrese el comando show security ipsec security-associations. Para obtener una salida más detallada, utilice el show security ipsec security-associations detail comando.
user@SRX1> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:3des/sha1 fc5dbac4 2160/ unlim - root 4500 172.16.21.1 >131073 ESP:3des/sha1 45fed9d8 2160/ unlim - root 4500 172.16.21.1
user@SRX1> show security ipsec security-associations detail
ID: 131073 Virtual-system: root, VPN Name: vpn1
Local Gateway: 172.16.11.1, Remote Gateway: 172.16.21.1
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0
Port: 4500, Nego#: 7, Fail#: 0, Def-Del#: 0 Flag: 0x600a29
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Fri Jul 22 2022 11:07:40 -0700: IPSec SA rekey successfully completed (3 times)
Fri Jul 22 2022 08:38:41 -0700: IPSec SA negotiation successfully completed (1 times)
Fri Jul 22 2022 08:38:41 -0700: User cleared IPSec SA from CLI (1 times)
Fri Jul 22 2022 08:38:41 -0700: IKE SA negotiation successfully completed (3 times)
Fri Jul 22 2022 08:38:26 -0700: IPSec SA negotiation successfully completed (1 times)
Fri Jul 22 2022 08:38:26 -0700: User cleared IPSec SA from CLI (1 times)
Fri Jul 22 2022 08:38:25 -0700: IPSec SA negotiation successfully completed (1 times)
Fri Jul 22 2022 08:38:24 -0700: User cleared IPSec SA from CLI (1 times)
Fri Jul 22 2022 08:37:37 -0700: IPSec SA negotiation successfully completed (1 times)
Direction: inbound, SPI: fc5dbac4, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 2153 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1532 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 45fed9d8, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 2153 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1532 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64Significado
El resultado del comando show security ipsec security-associations muestra la siguiente información:
-
La puerta de enlace remota tiene unadirección n de 172.1 6.2 1.1.
-
Ambos pares del par SA IPsec usan el puerto 4500.
-
El SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 2160/ unlim indica que la duración de la fase 2 expira en 2160 segundos y que no se ha especificado ningún tamaño de vida útil, lo que indica que es ilimitada. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.
-
La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna Mon. Si está habilitada la supervisión de VPN, U indica que la supervisión está activa y D indica que la supervisión está inactiva.
-
El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.
Verificación del estado de fase 1 de IKE en SRX2
Propósito
Verifique el estado de la fase 1 de IKE.
Acción
Desde el modo operativo, ingrese el comando show security ike security-associations. Para obtener una salida más detallada, utilice el show security ike security-associations detail comando.
user@SRX2> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 5567091 UP 84e8fc61d0750278 ea9a07ef032805b6 Main 172.16.11.1
user@SRX2> show security ike security-associations detail
IKE peer 172.16.11.1, Index 5567091, Gateway Name: gw1
Role: Responder, State: UP
Initiator cookie: 84e8fc61d0750278, Responder cookie: ea9a07ef032805b6
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 10.1.31.1:4500, Remote: 172.16.11.1:4500
Lifetime: Expires in 18028 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: srx1@example.com
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha1-96
Encryption : 3des-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 2352
Output bytes : 1780
Input packets: 14
Output packets: 7
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 4 created, 3 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 10.1.31.1:4500, Remote: 172.16.11.1:4500
Local identity: srx2@example.com
Remote identity: srx1@example.com
Flags: IKE SA is createdSignificado
El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.
Si las SA aparecen en la lista, revise la siguiente información:
-
Índice: este valor es único para cada SA de IKE, que puede utilizar en el
show security ike security-associations detailcomando para obtener más información acerca de la SA. -
Dirección remota: compruebe que la dirección IP remota sea correcta y que el puerto 4500 se esté utilizando para la comunicación punto a punto.
-
Estado del respondedor de roles
-
Arriba: se estableció la SA de fase 1.
-
Abajo: hubo un problema al establecer la SA de fase 1.
-
ID de IKE par: verifica que la dirección sea correcta.
-
Identidad local e identidad remota: compruebe que estas direcciones sean correctas.
-
-
Modo: verifica que se esté utilizando el modo correcto.
Compruebe que los siguientes elementos son correctos en su configuración:
-
Interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)
-
Parámetros de política de ICR
-
Información de claves precompartidas
-
Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)
El show security ike security-associations comando enumera información adicional acerca de las asociaciones de seguridad:
-
Algoritmos de autenticación y cifrado utilizados
-
Duración de la fase 1
-
Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)
-
Información de funciones
La solución de problemas se realiza de mejor manera en el mismo nivel que usa la función de respondedor.
-
Información del iniciador y del respondedor
-
Cantidad de SA de IPsec creadas
-
Número de negociaciones de la Fase 2 en curso
Comprobación de asociaciones de seguridad IPsec en SRX2
Propósito
Verifique el estado de IPsec.
Acción
Desde el modo operativo, ingrese el comando show security ipsec security-associations. Para obtener una salida más detallada, utilice el show security ipsec security-associations detail comando.
user@SRX2> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:3des/sha1 45fed9d8 1526/ unlim - root 4500 172.16.11.1 >131073 ESP:3des/sha1 fc5dbac4 1526/ unlim - root 4500 172.16.11.1
user@SRX2> show security ipsec security-associations detail
ID: 131073 Virtual-system: root, VPN Name: vpn1
Local Gateway: 10.1.31.1, Remote Gateway: 172.16.11.1
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0
Port: 4500, Nego#: 25, Fail#: 0, Def-Del#: 0 Flag: 0x600a29
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Fri Jul 22 2022 11:07:40 -0700: IPSec SA negotiation successfully completed (4 times)
Fri Jul 22 2022 08:38:41 -0700: Initial-Contact received from peer. Stale IKE/IPSec SAs cleared (1 times)
Fri Jul 22 2022 08:38:41 -0700: IKE SA negotiation successfully completed (5 times)
Fri Jul 22 2022 08:38:26 -0700: IPSec SA negotiation successfully completed (1 times)
Fri Jul 22 2022 08:38:26 -0700: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Fri Jul 22 2022 08:38:25 -0700: IPSec SA negotiation successfully completed (1 times)
Fri Jul 22 2022 08:38:25 -0700: Initial-Contact received from peer. Stale IKE/IPSec SAs cleared (1 times)
Fri Jul 22 2022 08:37:37 -0700: IPSec SA negotiation successfully completed (1 times)
Fri Jul 22 2022 08:37:37 -0700: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Thu Jul 21 2022 17:57:09 -0700: Peer's IKE-ID validation failed during negotiation (1 times)
Thu Jul 21 2022 17:49:30 -0700: IKE SA negotiation successfully completed (4 times)
Direction: inbound, SPI: 45fed9d8, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1461 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 885 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: fc5dbac4, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1461 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 885 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64Significado
El resultado del comando show security ipsec security-associations muestra la siguiente información:
-
La puerta de enlace remota tiene una dirección IP de 172.16.11.1.
-
Ambos pares del par SA IPsec usan el puerto 4500.
-
El SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 1562/ unlim indica que la duración de la fase 2 expira en 1562 segundos y que no se ha especificado ningún tamaño de vida útil, lo que indica que es ilimitada. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.
-
La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna Mon. Si está habilitada la supervisión de VPN, U indica que la supervisión está activa y D indica que la supervisión está inactiva.
-
El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.
El resultado del comando show security ipsec security-associations index index_iddetail muestra la siguiente información:
-
La identidad local y la identidad remota constituyen el ID de proxy para la SA.
Una discrepancia de ID de proxy es una de las causas más comunes de un error de fase 2. Si no aparece ninguna SA de IPsec, confirme que las propuestas de fase 2, incluida la configuración del ID de proxy, son correctas para ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0 y service=any. Pueden producirse problemas con varias VPN basadas en rutas desde el mismo IP de par. En este caso, debe especificarse un ID de proxy único para cada SA de IPsec. Para algunos proveedores de terceros, el ID de proxy se debe especificar manualmente para que coincida.
-
Otra razón común para la falla de fase 2 es no especificar el enlace de la interfaz ST. Si IPsec no puede completarse, compruebe el registro de kmd o establezca opciones de rastreo.
Verificación de la accesibilidad de host a host
Propósito
Compruebe que el host1 puede llegar al host2.
Acción
Desde Host1 ping Host2. Para comprobar que el tráfico utiliza la VPN, utilice el comando show security ipsec statistics en SRX1. Borre las estadísticas con el comando clear security ipsec statistics antes de ejecutar el comando ping.
user@Host1> ping 10.1.21.2 count 10 rapid PING 10.1.21.2 (10.1.21.2): 56 data bytes !!!!!!!!!! --- 10.1.21.2 ping statistics --- 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.437/4.270/7.637/1.158 ms
user@SRX1> show security ipsec statistics ESP Statistics: Encrypted bytes: 1360 Decrypted bytes: 840 Encrypted packets: 10 Decrypted packets: 10 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Significado
Los resultados muestran que Host1 puede hacer ping a Host2 y que el tráfico está usando la VPN.
Ejemplo: Configuración de una VPN basada en políticas con un iniciador y un respondedor detrás de un dispositivo NAT
En este ejemplo se muestra cómo configurar una VPN basada en políticas con un iniciador y un respondedor detrás de un dispositivo NAT para permitir que los datos se transfieran de forma segura entre una sucursal y la oficina corporativa.
Requisitos
Antes de comenzar, lea Información general sobre IPsec.
Descripción general
En este ejemplo, se configura una VPN basada en políticas para una sucursal de Chicago, Illinois, porque desea conservar los recursos del túnel, pero seguir teniendo restricciones granulares en el tráfico de VPN. Los usuarios de la sucursal usarán la VPN para conectarse a su sede corporativa en Sunnyvale, California.
En este ejemplo, se configuran interfaces, opciones de enrutamiento, zonas de seguridad y políticas de seguridad tanto para un iniciador como para un respondedor.
Figura 2 muestra un ejemplo de una topología para una VPN con un iniciador y un respondedor detrás de un dispositivo NAT estático.
En este ejemplo, se configuran interfaces, una ruta predeterminada IPv4 y zonas de seguridad. A continuación, configure la fase 1 de IKE, incluidos los pares locales y remotos, la fase 2 de IPsec y la política de seguridad. Tenga en cuenta que en el ejemplo anterior, la dirección IP privada del respondedor 13.168.11.1 está oculta por el dispositivo NAT estático y asignada a la dirección IP pública 1.1.100.1.
Consulte Tabla 7 hasta Tabla 10 para ver parámetros de configuración específicos utilizados para el iniciador en los ejemplos.
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Interfaces |
ge-0/0/0 |
12.168.99.100/24 |
ge-0/0/1 |
10.1.99.1/24 |
|
Rutas estáticas |
10.2.99.0/24 (ruta predeterminada) |
El siguiente salto es 12.168.99.100. |
1.1.100.0/24 |
12.168.99.100 |
|
Zonas de seguridad |
confiar |
|
no confiar |
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Propuesta |
ike_prop |
|
Política |
ike_pol |
|
Puerta de enlace |
puerta |
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Propuesta |
ipsec_prop |
|
Política |
ipsec_pol |
|
VPN |
first_vpn |
|
Propósito |
Nombre |
Parámetros de configuración |
|---|---|---|
La política de seguridad permite el tráfico de túnel desde la zona de confianza a la zona que no es de confianza. |
pol1 |
|
La política de seguridad permite el tráfico de túnel desde la zona de no confianza a la zona de confianza. |
POL1 |
|
Consulte Tabla 11 hasta Tabla 14 para ver parámetros de configuración específicos utilizados para el respondedor en los ejemplos.
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Interfaces |
ge-0/0/0 |
13.168.11.100/24 |
ge-0/0/1 |
10.2.99.1/24 |
|
Rutas estáticas |
10.1.99.0/24 (ruta predeterminada) |
El siguiente salto es 13.168.11.100 |
1.1.100.0/24 |
13.168.11.100 |
|
Zonas de seguridad |
confiar |
|
no confiar |
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Propuesta |
ike_prop |
|
Política |
ike_pol |
|
Puerta de enlace |
puerta |
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Propuesta |
ipsec_prop |
|
Política |
ipsec_pol |
|
VPN |
first_vpn |
|
Propósito |
Nombre |
Parámetros de configuración |
|---|---|---|
La política de seguridad permite el tráfico de túnel desde la zona de confianza a la zona que no es de confianza. |
POL1 |
|
La política de seguridad permite el tráfico de túnel desde la zona de no confianza a la zona de confianza. |
POL1 |
|
Configuración
- Configuración de interfaz, opciones de enrutamiento y zonas de seguridad para el iniciador
- Configuración de IKE para el iniciador
- Configuración de IPsec para el iniciador
- Configuración de directivas de seguridad para el iniciador
- Configuración de NAT para el iniciador
- Configuración de interfaz, opciones de enrutamiento y zonas de seguridad para el respondedor
- Configuración de IKE para el respondedor
- Configuración de IPsec para el respondedor
- Configuración de directivas de seguridad para el respondedor
- Configuración de NAT para el respondedor
Configuración de interfaz, opciones de enrutamiento y zonas de seguridad para el iniciador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
[edit] set interfaces ge-0/0/0 unit 0 family inet address 12.168.99.100/24 set interfaces ge-0/0/1 unit 0 family inet address 10.1.99.1/24 set routing-options static route 10.2.99.0/24 next-hop 12.168.99.1 set routing-options static route 1.1.100.0/24 next-hop 12.168.99.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces ge-0/0/0.0
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar interfaces, rutas estáticas y zonas de seguridad:
Configure la información de interfaz Ethernet.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 12.168.99.100/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.1.99.1/24
Configure la información de rutas estáticas.
[edit] user@host# set routing-options static route 10.2.99.0/24 next-hop 12.168.99.1 user@host# set routing-options static route 1.1.100.0/24 next-hop 12.168.99.1
Configure la zona de seguridad de confianza.
[edit ] user@host# set security zones security-zone trust host-inbound-traffic protocols all
Asigne una interfaz a la zona de seguridad de confianza.
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/1.0
Especifique los servicios del sistema para la zona de seguridad de confianza.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all
Asigne una interfaz a la zona de seguridad de no confianza.
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/0.0
Resultados
Desde el modo de configuración, escriba los show interfacescomandos , y show security zones para confirmar la configuración. show routing-optionsSi el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 12.168.99.100/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.1.99.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.2.99.0/24 next-hop 12.168.99.1;
route 1.1.100.0/24 next-hop 12.168.99.1;
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
}
interfaces {
ge-0/0/0.0;
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de IKE para el iniciador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm md5 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode aggressive set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text "$ABC123” set security ike gateway gate ike-policy ike_pol set security ike gateway gate address 13.168.11.100 set security ike gateway gate external-interface ge-0/0/0.0 set security ike gateway gate local-identity hostname chicago
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar ICR:
Cree la propuesta de fase 1 de IKE.
[edit security ike] user@host# edit proposal ike_prop
Defina el método de autenticación de la propuesta de ICR.
[edit security ike proposal ike_prop] user@host# set authentication-method pre-shared-keys
Defina el grupo Diffie-Hellman de la propuesta de ICR.
[edit security ike proposal ike_prop] user@host# set dh-group group2
Defina el algoritmo de autenticación de la propuesta de ICR.
[edit security ike proposal ike_prop] user@host# set authentication-algorithm md5
Defina el algoritmo de cifrado de la propuesta de ICR.
[edit security ike proposal ike_prop] user@host# set encryption-algorithm 3des-cbc
Cree una política de fase 1 de IKE.
[edit security ike policy ] user@host# edit policy ike_pol
Establezca el modo de política de fase 1 de IKE.
[edit security ike policy ike_pol] user@host# set mode aggressive
Especifique una referencia a la propuesta de ICR.
[edit security ike policy ike_pol] user@host# set proposals ike_prop
Defina el método de autenticación de políticas de fase 1 de IKE.
[edit security ike policy ike_pol pre-shared-key] user@host# set ascii-text "$ABC123”
Cree una puerta de enlace de fase 1 de IKE y defina su interfaz externa.
[edit security ike ] user@host# set gateway gate external-interface ge-0/0/0.0
Cree una dirección de puerta de enlace de fase 1 de IKE.
[edit security ike gateway gate] set address 13.168.11.100
Defina la referencia de política de fase 1 de IKE.
[edit security ike gateway gate] set ike-policy ike_pol
Establecer
local-identitypara el par local.[edit security ike gateway gate] user@host# set local-identity hostname chicago
Resultados
Desde el modo de configuración, confírmela con el comando show security ike. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show security ike
proposal ike_prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm md5;
encryption-algorithm 3des-cbc;
}
policy ike_pol {
mode aggressive;
proposals ike_prop;
pre-shared-key ascii-text "$ABC123”
}
gateway gate {
ike-policy ike_pol;
address 13.168.11.100;
local-identity hostname chicago;
external-interface ge-0/0/0.0;
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de IPsec para el iniciador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group1 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn first_vpn ike gateway gate set security ipsec vpn first_vpn ike ipsec-policy ipsec_pol set security ipsec vpn first_vpn establish-tunnels immediately
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar IPsec:
Cree una propuesta de fase 2 de IPsec.
[edit] user@host# edit security ipsec proposal ipsec_prop
Especifique el protocolo de propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec_prop] user@host# set protocol esp
Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec_prop] user@host# set authentication-algorithm hmac-md5-96
Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec_prop] user@host# set encryption-algorithm 3des-cbc
Especifique la referencia de propuesta de fase 2 de IPsec.
[edit security ipsec policy ipsec_pol] user@host# set proposals ipsec_prop
Especifique IPsec fase 2 para usar el grupo de confidencialidad directa perfecta (PFS)1.
[edit security ipsec policy ipsec_pol ] user@host# set perfect-forward-secrecy keys group1
Especifique la puerta de enlace de ICR.
[edit security ipsec] user@host# set vpn first_vpn ike gateway gate
Especifique la directiva de fase 2 de IPsec.
[edit security ipsec] user@host# set vpn first_vpn ike ipsec-policy ipsec_pol
Resultados
Desde el modo de configuración, confírmela con el comando show security ipsec. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show security ipsec
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_pol {
perfect-forward-secrecy {
keys group1;
}
proposals ipsec_prop;
}
vpn first_vpn {
ike {
gateway gate;
ipsec-policy ipsec_pol;
}
establish-tunnels immediately;
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de directivas de seguridad para el iniciador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security policies from-zone trust to-zone untrust policy pol1 match source-address any set security policies from-zone trust to-zone untrust policy pol1 match destination-address any set security policies from-zone trust to-zone untrust policy pol1 match application any set security policies from-zone trust to-zone untrust policy pol1 then permit tunnel ipsec-vpn first_vpn set security policies from-zone untrust to-zone trust policy pol1 match application any set security policies from-zone untrust to-zone trust policy pol1 then permit tunnel ipsec-vpn first_vpn
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar políticas de seguridad:
Cree la política de seguridad para permitir el tráfico desde la zona de confianza a la zona que no es de confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy pol1 match source-address any user@host# set policy pol1 match destination-address any user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
Cree la política de seguridad para permitir el tráfico desde la zona que no es de confianza a la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
Resultados
Desde el modo de configuración, confírmela con el comando show security policies. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy pol1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
tunnel {
ipsec-vpn first_vpn;
}
}
}
}
}
from-zone untrust to-zone trust {
policy pol1 {
match {
application any;
}
then {
permit {
tunnel {
ipsec-vpn first_vpn;
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de NAT para el iniciador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security nat source rule-set ipsec from zone trust set security nat source rule-set ipsec to zone untrust set security nat source rule-set ipsec rule 1 match source-address 0.0.0.0/0 set security nat source rule-set ipsec rule 1 then source-nat interface set security policies from-zone trust to-zone untrust policy allow-all match source-address any set security policies from-zone trust to-zone untrust policy allow-all match destination-address any set security policies from-zone trust to-zone untrust policy allow-all match application any set security policies from-zone trust to-zone untrust policy allow-all then permit set security policies from-zone untrust to-zone trust policy allow-all match application any set security policies from-zone untrust to-zone trust policy allow-all then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet address 12.168.99.1/24 set interfaces ge-0/0/1 unit 0 family inet address 1.1.100.23/24 set routing-options static route 0.0.0.0/0 next-hop 1.1.100.22
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar el iniciador que proporciona NAT:
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 12.168.99.1/24 user@host# set ge-0/0/1 unit 0 family inet address 1.1.100.23/24
Configurar zonas.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/0.0
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/1.0
Configurar NAT.
[edit security nat source rule-set ipsec] user@host# set from zone trust user@host# set to zone untrust user@host# set rule 1 match source-address 0.0.0.0/0 user@host# set rule 1 then source-nat interface
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set from-zone trust to-zone untrust policy allow-all match source-address any user@host# set from-zone trust to-zone untrust policy allow-all match destination-address any user@host# set from-zone trust to-zone untrust policy allow-all match application any user@host# set from-zone trust to-zone untrust policy allow-all then permit user@host# set from-zone untrust to-zone trust policy allow-all match application any user@host# set from-zone untrust to-zone trust policy allow-all then permit
Configure la opción de enrutamiento.
[edit routing-options user@host# set static route 0.0.0.0/0 next-hop 1.1.100.22
Resultados
Desde el modo de configuración, confírmela con el comando show security nat. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show security nat
source {
rule-set ipsec {
from zone trust;
to zone untrust;
rule 1 {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
from-zone trust to-zone untrust {
policy allow-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy allow-all {
match {
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
}
interfaces {
ge-0/0/1.0;
}
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 12.168.99.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.100.23/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.100.22;
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de interfaz, opciones de enrutamiento y zonas de seguridad para el respondedor
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set interfaces ge-0/0/0 unit 0 family inet address 13.168.11.100/24 set interfaces ge-0/0/1 unit 0 family inet address 10.2.99.1/24 set routing-options static route 10.1.99.0/24 next-hop 13.168.11.1 set routing-options static route 1.1.100.0/24 next-hop 13.168.11.1 set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar interfaces, rutas estáticas, zonas de seguridad y políticas de seguridad:
Configure la información de interfaz Ethernet.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 13.168.11.100/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.2.99.1/24
Configure la información de rutas estáticas.
[edit] user@host# set routing-options static route 10.1.99.0/24 next-hop 13.168.11.1 user@host# set routing-options static route 1.1.100.0/24 next-hop 13.168.11.1
Asigne una interfaz a la zona de seguridad de no confianza.
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/0.0
Configure la zona de seguridad de confianza.
[edit] user@host# set security zones security-zone trust host-inbound-traffic protocols all
Asigne una interfaz a la zona de seguridad de confianza.
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/1.0
Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all
Resultados
Desde el modo de configuración, escriba los comandos , y show security zones para confirmar la show interfacesconfiguración. show routing-options Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 13.168.11.100/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.2.99.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.1.99.0/24 next-hop 13.168.11.1;
route 1.1.100.0/24 next-hop 13.168.11.1;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
}
interfaces {
ge-0/0/0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de IKE para el respondedor
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm md5 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode aggressive set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text "$ABC123" set security ike gateway gate ike-policy ike_pol set security ike gateway gate dynamic hostname chicago set security ike gateway gate external-interface ge-0/0/0.0
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar ICR:
Defina el método de autenticación de la propuesta de ICR.
[edit security ike proposal ike_prop] user@host# set authentication-method pre-shared-key
Defina el grupo Diffie-Hellman de la propuesta de ICR.
[edit security ike proposal ike_prop] user@host# set dh-group group2
Defina el algoritmo de autenticación de la propuesta de ICR.
[edit security ike proposal ike_prop] user@host# set authentication-algorithm md5
Defina el algoritmo de cifrado de la propuesta de ICR.
[edit security ike proposal ike_prop] user@host# set encryption-algorithm 3des-cbc
Cree una política de fase 1 de IKE.
[edit security ike] user@host# edit policy ike_pol
Establezca el modo de política de fase 1 de IKE.
[edit security ike policy ike_pol] user@host# set mode aggressive
Especifique una referencia a la propuesta de ICR.
[edit security ike policy ike_pol] user@host# set proposals ike_prop
Defina el método de autenticación de políticas de fase 1 de IKE.
[edit security ike policy ike_pol] user@host# set pre-shared-key ascii-text "$ABC123"
Cree una puerta de enlace de fase 1 de IKE y defina su nombre de host dinámico.
[edit security ike gateway gate] user@host# set dynamic hostname chicago
Cree una puerta de enlace de fase 1 de IKE y defina su interfaz externa.
[edit security ike gateway gate] user@host# set external-interface ge-0/0/0.0
Defina la referencia de política de fase 1 de IKE.
[edit security ike gateway gate] user@host# set ike-policy ike_pol
Resultados
Desde el modo de configuración, confírmela con el comando show security ike. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show security ike
proposal ike_prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm md5;
encryption-algorithm 3des-cbc;
}
policy ike_pol {
mode aggressive;
proposals ike_prop;
pre-shared-key ascii-text "$ABC123";
}
gateway gate {
ike-policy ike_pol;
dynamic hostname chicago;
external-interface ge-0/0/0.0;
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de IPsec para el respondedor
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group1 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn first_vpn ike gateway gate set security ipsec vpn first_vpn ike ipsec-policy ipsec_pol
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar IPsec:
Cree una propuesta de fase 2 de IPsec.
[edit] user@host# edit security ipsec proposal ipsec_prop
Especifique el protocolo de propuesta de fase 2 de IPsec.
[edit security security ipsec proposal ipsec_prop] user@host# set protocol esp
Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec_prop] user@host# set authentication-algorithm hmac-md5-96
Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec_prop] user@host# set encryption-algorithm 3des-cbc
Cree la directiva de fase 2 de IPsec.
[edit security ipsec] user@host# edit policy ipsec_pol
Establezca IPsec fase 2 para usar el grupo de confidencialidad directa perfecta (PFS)1.
[edit security ipsec policy ipsec_pol] user@host# set perfect-forward-secrecy keys group1
Especifique la referencia de propuesta de fase 2 de IPsec.
[edit security ipsec policy ipsec_pol] user@host# set proposals ipsec_prop
Especifique la puerta de enlace de ICR.
[edit security ipsec] user@host# set vpn first_vpn ike gateway gate
Especifique la directiva de fase 2 de IPsec.
[edit security ipsec] user@host# set vpn first_vpn ike ipsec-policy ipsec_pol
Resultados
Desde el modo de configuración, confírmela con el comando show security ipsec. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show security ipsec
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_pol {
perfect-forward-secrecy {
keys group1;
}
proposals ipsec_prop;
}
vpn first_vpn {
ike {
gateway gate;
ipsec-policy ipsec_pol;
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de directivas de seguridad para el respondedor
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security policies from-zone trust to-zone untrust policy pol1 match source-address any set security policies from-zone trust to-zone untrust policy pol1 match destination-address any set security policies from-zone trust to-zone untrust policy pol1 match application any set security policies from-zone trust to-zone untrust policy pol1 then permit tunnel ipsec-vpn first_vpn set security policies from-zone untrust to-zone trust policy pol1 match application any set security policies from-zone untrust to-zone trust policy pol1 then permit tunnel ipsec-vpn first_vpn
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar políticas de seguridad:
Cree la política de seguridad para permitir el tráfico desde la zona de confianza a la zona que no es de confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy pol1 match source-address any user@host# set policy pol1 match destination-address any user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
Cree la política de seguridad para permitir el tráfico desde la zona que no es de confianza a la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
Resultados
Desde el modo de configuración, confírmela con el comando show security policies. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy pol1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
tunnel {
ipsec-vpn first_vpn;
}
}
}
}
}
from-zone untrust to-zone trust {
policy pol1 {
match {
application any;
}
then {
permit {
tunnel {
ipsec-vpn first_vpn;
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de NAT para el respondedor
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security nat source rule-set ipsec from zone trust set security nat source rule-set ipsec to zone untrust set security nat source rule-set ipsec rule 1 match source-address 0.0.0.0/0 set security nat source rule-set ipsec rule 1 then source-nat interface set security policies from-zone trust to-zone untrust policy allow-all match source-address any set security policies from-zone trust to-zone untrust policy allow-all match destination-address any set security policies from-zone trust to-zone untrust policy allow-all match application any set security policies from-zone trust to-zone untrust policy allow-all then permit set security policies from-zone untrust to-zone trust policy allow-all match application any set security policies from-zone untrust to-zone trust policy allow-all then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet address 13.168.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 1.1.100.22/24 set routing-options static route 0.0.0.0/0 next-hop 1.1.100.23
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar el respondedor que proporciona NAT:
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 13.168.11.1/24 user@host# set ge-0/0/1 unit 0 family inet address 1.1.100.22/24
Configurar zonas.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/0.0
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/1.0
Configurar NAT.
[edit security nat source rule-set ipsec] user@host# set from zone trust user@host# set to zone untrust user@host# set rule 1 match source-address 0.0.0.0/0 user@host# set rule 1 then source-nat interface
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set from-zone trust to-zone untrust policy allow-all match source-address any user@host# set from-zone trust to-zone untrust policy allow-all match destination-address any user@host# set from-zone trust to-zone untrust policy allow-all match application any user@host# set from-zone trust to-zone untrust policy allow-all then permit user@host# set from-zone untrust to-zone trust policy allow-all match application any user@host# set from-zone untrust to-zone trust policy allow-all then permit
Configure la opción de enrutamiento.
[edit routing-options user@host# set static route 0.0.0.0/0 next-hop 1.1.100.23
Resultados
Desde el modo de configuración, confírmela con el comando show security nat. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show security nat
nat {
source {
rule-set ipsec {
from zone trust;
to zone untrust;
rule 1 {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
from-zone trust to-zone untrust {
policy allow-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy allow-all {
match {
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
}
interfaces {
ge-0/0/1.0;
}
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 13.168.11.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.100.22/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.100.23;
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Verificación del estado de fase 1 de IKE para el iniciador
- Comprobación de asociaciones de seguridad IPsec para el iniciador
- Verificación del estado de fase 1 de IKE para el respondedor
- Comprobación de asociaciones de seguridad IPsec para el respondedor
Verificación del estado de fase 1 de IKE para el iniciador
Propósito
Verifique el estado de la fase 1 de IKE.
Acción
Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en la red 10.1.99.0 a un host en la red 10.2.99.0. En el caso de las VPN basadas en rutas, el firewall de la serie SRX puede iniciar el tráfico a través del túnel. Se recomienda que, cuando se prueben los túneles de IPsec, el tráfico de prueba se envíe desde un dispositivo independiente en un extremo de la VPN hacia un segundo dispositivo al otro extremo de la VPN. Por ejemplo, inicie una operación ping de 10.1.99.2 a 10.2.99.2.
Desde el modo operativo, ingrese el comando show security ike security-associations. Después de obtener un número de índice desde el comando, utilice el comando show security ike security-associations index index_number detail.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 5649304 UP c3193077d38e426f 011f0ef28d928f4c Aggressive 13.168.11.
user@host> show security ike security-associations index 5649304 detail
IKE peer 13.168.11.100, Index 5649304, Gateway Name: gate
Role: Initiator, State: UP
Initiator cookie: c3193077d38e426f, Responder cookie: 011f0ef28d928f4c
Exchange type: Aggressive, Authentication method: Pre-shared-keys
Local: 12.168.99.100:4500, Remote: 13.168.11.100:4500
Lifetime: Expires in 26359 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: 13.168.11.100
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-md5-96
Encryption : 3des-cbc
Pseudo random function: hmac-md5
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1140
Output bytes : 1203
Input packets: 6
Output packets: 6
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 2 created, 3 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Initiator, Message ID: 0
Local: 12.168.99.100:4500, Remote: 13.168.11.100:4500
Local identity: chicago
Remote identity: 13.168.11.100
Flags: IKE SA is created
Significado
El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.
Si las SA aparecen en la lista, revise la siguiente información:
Índice: este valor es único para cada SA de IKE, que puede utilizar en el
show security ike security-associations index detailcomando para obtener más información acerca de la SA.Dirección remota: compruebe que la dirección IP remota sea correcta y que el puerto 4500 se esté utilizando para la comunicación punto a punto.
Estado del iniciador de roles
Arriba: se estableció la SA de fase 1.
Abajo: hubo un problema al establecer la SA de fase 1.
Ambos pares del par SA IPsec usan el puerto 4500, que indica que se implementó NAT-T. (NAT-T utiliza el puerto 4500 u otro puerto aleatorio con numeración alta).
ID de IKE del mismo nivel: compruebe que el ID remoto (respondedor) sea correcto. En este ejemplo, el nombre de host es sunnyvale.
Identidad local e identidad remota: verifique que sean correctas.
Modo: verifica que se esté utilizando el modo correcto.
Compruebe que los siguientes elementos son correctos en su configuración:
Interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)
Parámetros de política de ICR
Información de claves precompartidas
Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)
El show security ike security-associations comando enumera información adicional acerca de las asociaciones de seguridad:
Algoritmos de autenticación y cifrado utilizados
Duración de la fase 1
Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)
Información de funciones
La solución de problemas se realiza de mejor manera en el mismo nivel que usa la función de respondedor.
Información del iniciador y del respondedor
Cantidad de SA de IPsec creadas
Número de negociaciones de la Fase 2 en curso
Comprobación de asociaciones de seguridad IPsec para el iniciador
Propósito
Verifique el estado de IPsec.
Acción
Desde el modo operativo, ingrese el comando show security ipsec security-associations. Después de obtener un número de índice desde el comando, utilice el comando show security ipsec security-associations index index_number detail.
user@host> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <2 ESP:3des/md5 aff3ac30 1103/ unlim - root 4500 13.168.11.100 >2 ESP:3des/md5 40539d12 1103/ unlim - root 4500 13.168.11.100
user@host> show security ipsec security-associations detail
ID: 2 Virtual-system: root, VPN Name: first_vpn
Local Gateway: 12.168.99.100, Remote Gateway: 13.168.11.100
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-name: pol1
Port: 4500, Nego#: 7, Fail#: 0, Def-Del#: 0 Flag: 0x600829
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Wed Apr 08 2020 19:13:53: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020
: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Wed Apr 08 2020 19:13:09: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020 19:13:09: User cleared IPSec SA from CLI (1 times)
Wed Apr 08 2020 19:13:09: IKE SA negotiation successfully completed (5 times)
Wed Apr 08 2020 19:12:18: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020 19:12:18: User cleared IPSec SA from CLI (1 times)
Wed Apr 08 2020 19:12:12: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020 19:12:12: User cleared IPSec SA from CLI (1 times)
Wed Apr 08 2020 19:06:52: Peer's IKE-ID validation failed during negotiation (2 times)
Wed Apr 08 2020
: Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (2 times)
Wed Apr 08 2020 19:05:26: Peer's IKE-ID validation failed during negotiation (1 times)
Wed Apr 08 2020
: Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (1 times)
Wed Apr 08 2020 19:04:26: Peer's IKE-ID validation failed during negotiation (1 times)
Wed Apr 08 2020
: Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (1 times)
Wed Apr 08 2020 19:03:26: Peer's IKE-ID validation failed during negotiation (1 times)
Direction: inbound, SPI: aff3ac30, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1093 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 453 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 40539d12, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1093 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 453 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Significado
El resultado del comando show security ipsec security-associations muestra la siguiente información:
La puerta de enlace remota tiene una dirección NAT de 13.168.11.100.
Ambos pares del par SA IPsec usan el puerto 4500, que indica que se implementó NAT-T. (NAT-T utiliza el puerto 4500 u otro puerto aleatorio numerado alto).
El SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 3390/ unlimited indica que la duración de la fase 2 expira en 3390 segundos y que no se ha especificado ningún tamaño de vida útil, lo que indica que es ilimitada. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.
La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna Mon. Si está habilitada la supervisión de VPN, U indica que la supervisión está activa y D indica que la supervisión está inactiva.
El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.
Verificación del estado de fase 1 de IKE para el respondedor
Propósito
Verifique el estado de la fase 1 de IKE.
Acción
Desde el modo operativo, ingrese el comando show security ike security-associations. Después de obtener un número de índice desde el comando, utilice el comando show security ike security-associations index index_number detail.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 2914355 UP c3193077d38e426f 011f0ef28d928f4c Aggressive 1.1.100.23
user@host> show security ike security-associations index 2914355 detail
IKE peer 1.1.100.23, Index 2914355, Gateway Name: gate
Role: Responder, State: UP
Initiator cookie: c3193077d38e426f, Responder cookie: 011f0ef28d928f4c
Exchange type: Aggressive, Authentication method: Pre-shared-keys
Local: 13.168.11.100:4500, Remote: 1.1.100.23:23434
Lifetime: Expires in 26137 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: chicago
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-md5-96
Encryption : 3des-cbc
Pseudo random function: hmac-md5
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1203
Output bytes : 1140
Input packets: 6
Output packets: 6
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 2 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 13.168.11.100:4500, Remote: 1.1.100.23:23434
Local identity: 13.168.11.100
Remote identity: chicago
Flags: IKE SA is created
Significado
El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.
Si las SA aparecen en la lista, revise la siguiente información:
Índice: este valor es único para cada SA de IKE, que puede utilizar en el
show security ike security-associations index detailcomando para obtener más información acerca de la SA.Dirección remota: compruebe que la dirección IP remota sea correcta y que el puerto 4500 se esté utilizando para la comunicación punto a punto.
Estado del respondedor de roles
Arriba: se estableció la SA de fase 1.
Abajo: hubo un problema al establecer la SA de fase 1.
ID de IKE par: compruebe que el ID local del par sea correcto. En este ejemplo, el nombre de host es chicago.
Identidad local e identidad remota: verifique que sean correctas.
Modo: verifica que se esté utilizando el modo correcto.
Compruebe que los siguientes elementos son correctos en su configuración:
Interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)
Parámetros de política de ICR
Información de claves precompartidas
Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)
El show security ike security-associations comando enumera información adicional acerca de las asociaciones de seguridad:
Algoritmos de autenticación y cifrado utilizados
Duración de la fase 1
Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)
Información de funciones
La solución de problemas se realiza de mejor manera en el mismo nivel que usa la función de respondedor.
Información del iniciador y del respondedor
Cantidad de SA de IPsec creadas
Número de negociaciones de la Fase 2 en curso
Comprobación de asociaciones de seguridad IPsec para el respondedor
Propósito
Verifique el estado de IPsec.
Acción
Desde el modo operativo, ingrese el comando show security ipsec security-associations. Después de obtener un número de índice desde el comando, utilice el comando show security ipsec security-associations index index_number detail.
user@host> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108878 ESP:3des/md5 40539d12 939/ unlim - root 23434 1.1.100.23 >67108878 ESP:3des/md5 aff3ac30 939/ unlim - root 23434 1.1.100.23
user@host> show security ipsec security-associations detail
ID: 67108878 Virtual-system: root, VPN Name: first_vpn
Local Gateway: 13.168.11.100, Remote Gateway: 1.1.100.23
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-name: pol1
Port: 23434, Nego#: 8, Fail#: 0, Def-Del#: 0 Flag: 0x608829
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Wed Apr 08 2020 19:14:22: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020 19:14:15: User cleared IPSec SA from CLI (1 times)
Wed Apr 08 2020 19:13:39: IPSec SA negotiation successfully completed (3 times)
Wed Apr 08 2020 19:13:39: IKE SA negotiation successfully completed (4 times)
Wed Apr 08 2020
: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Wed Apr 08 2020 19:10:39: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020 19:10:20: User cleared IPSec SA from CLI (1 times)
Wed Apr 08 2020 19:10:08: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020
: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times)
Direction: inbound, SPI: 40539d12, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 930 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 335 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: aff3ac30, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 930 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 335 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Significado
El resultado del comando show security ipsec security-associations muestra la siguiente información:
La puerta de enlace remota tiene una dirección NAT de 1.1.100.23.
Ambos pares del par SA IPsec usan el puerto 4500, que indica que se implementó NAT-T. (NAT-T utiliza el puerto 4500 u otro puerto aleatorio con numeración alta).
El SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 3571/ unlim indica que la duración de la fase 2 caduca en 3571 segundos y que no se ha especificado ningún tamaño de vida útil, lo que indica que es ilimitada. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.
La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna Mon. Si está habilitada la supervisión de VPN, U indica que la supervisión está activa y D indica que la supervisión está inactiva.
El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.
Ejemplo: Configuración de NAT-T con VPN de punto de conexión dinámico
En este ejemplo se muestra cómo configurar una VPN basada en rutas en la que el iniciador IKEv2 es un extremo dinámico detrás de un dispositivo NAT.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Dos firewalls serie SRX configurados en un clúster de chasis
Un firewall serie SRX que proporciona TDR
Un firewall serie SRX que proporciona acceso a la red de la sucursal
Junos OS versión 12.1X46-D10 o posterior para compatibilidad con IKEv2 NAT-T
Descripción general
En este ejemplo, se configura una VPN IPsec entre la sucursal (iniciador IKEv2) y la sede central (respondedor IKEv2) para proteger el tráfico de red entre las dos ubicaciones. La sucursal se encuentra detrás del dispositivo NAT. La dirección de la sucursal se asigna dinámicamente y es desconocida para el respondedor. El iniciador se configura con la identidad remota del respondedor para la negociación del túnel. Esta configuración establece una VPN de punto final dinámico entre los pares en todo el dispositivo NAT.
Figura 3 muestra un ejemplo de una topología con NAT-Traversal (NAT-T) y VPN de punto de conexión dinámico.
En este ejemplo, la dirección IP del iniciador, 192.179.100.50, que se ha asignado dinámicamente al dispositivo, está oculta por el dispositivo NAT y se traduce a 100.10.1.253.
En este ejemplo, se aplican las siguientes opciones de configuración:
La identidad local configurada en el iniciador debe coincidir con la identidad de puerta de enlace remota configurada en el respondedor.
Las opciones de fase 1 y fase 2 deben coincidir entre el iniciador y el respondedor.
En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad.
A partir de Junos OS versión 12.1X46-D10 y Junos OS versión 17.3R1, el valor predeterminado de la nat-keepalive opción configurada en el [edit security ike gateway gateway-name] nivel de jerarquía se ha cambiado de 5 segundos a 20 segundos.
En los dispositivos SRX1400, SRX3400, SRX3600, SRX5600 y SRX5800, las negociaciones de IKE que implican un recorrido NAT no funcionan si el par IKE está detrás de un dispositivo NAT que cambiará la dirección IP de origen de los paquetes IKE durante la negociación. Por ejemplo, si el dispositivo NAT está configurado con DIP, cambia la IP de origen porque el protocolo IKE cambia el puerto UDP de 500 a 4500. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).
Configuración
- Configuración del dispositivo de sucursal (iniciador IKEv2)
- Configuración del dispositivo NAT
- Configuración del dispositivo de la sede (respondedor IKEv2)
Configuración del dispositivo de sucursal (iniciador IKEv2)
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set interfaces ge-0/0/1 unit 0 family inet address 192.179.100.50/24 set interfaces ge-0/0/2 unit 0 family inet address 192.179.2.20/24 set interfaces st0 unit 0 family inet address 172.168.100.1/16 set routing-options static route 192.179.1.0/24 next-hop st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security ike proposal IKE_PROP authentication-method pre-shared-keys set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway HQ_GW ike-policy IKE_POL set security ike gateway HQ_GW address 100.10.1.50 set security ike gateway HQ_GW local-identity hostname branch.example.net set security ike gateway HQ_GW external-interface ge-0/0/1.0 set security ike gateway HQ_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn HQ_VPN bind-interface st0.0 set security ipsec vpn HQ_VPN ike gateway HQ_GW set security ipsec vpn HQ_VPN ike ipsec-policy IPSEC_POL set security ipsec vpn HQ_VPN establish-tunnels immediately set security policies default-policy permit-all
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar el dispositivo de la sucursal:
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 192.179.100.50/24 user@host# set ge-0/0/2 unit 0 family inet address 192.179.2.20/24 user@host# set st0 unit 0 family inet address 172.168.100.1/16
Configure las opciones de enrutamiento.
[edit routing-options] user@host# set static route 192.179.1.0/24 next-hop st0.0
Configurar zonas.
[edit security zones security-zones trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/2.0 [edit security zones security-zones untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host#set interfaces st0.0
Configure las opciones de la fase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method pre-shared-keys user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway HQ_GW] user@host# set ike-policy IKE_POL user@host# set address 100.10.1.50 user@host# set local-identity hostname branch.example.net user@host# set external-interface ge-0/0/1.0 user@host# set version v2-only
Configure las opciones de la fase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set proposals IPSEC_PROP user@host# set perfect-forward-secrecy keys group5 [edit security ipsec vpn HQ_VPN] user@host# set bind-interface st0.0 user@host# set ike gateway HQ_GW user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
Configure la directiva de seguridad.
[edit security policies] user@host# set default-policy permit-all
Resultados
Desde el modo de configuración, escriba los comandos , show routing-options, show security ipsecshow security zonesshow security ike, , y show security policies para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 192.179.100.50/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 192.179.2.20/24;
}
}
}
st0 {
unit 0 {
family inet {
address 172.168.100.1/16;
}
}
}
[edit]
user@host# show routing-options
static {
route 192.179.1.0/24 next-hop st0.0;
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
st0.0;
}
}
[edit]
user@host# show security ike
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy IKE_POL {
proposals IKE_PROP;
pre-shared-key ascii-text "$ABC123”
}
gateway HQ_GW{
ike-policy IKE_POL;
address 100.10.1.50;
local-identity hostname branch.example.net;
external-interface ge-0/0/1.0;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group5;
}
proposals IPSEC_PROP;
}
vpn HQ_VPN {
bind-interface st0.0;
ike {
gateway HQ_GW;
ipsec-policy IPSEC_POL;
}
establish-tunnels immediately;
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración del dispositivo NAT
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set interfaces ge-0/0/1 unit 0 family inet address 100.10.1.253/24 set interfaces fe-0/0/2 unit 0 family inet address 192.179.100.253/24 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/2.0 set security nat source rule-set DYNAMIC from zone trust set security nat source rule-set DYNAMIC to zone untrust set security nat source rule-set DYNAMIC rule R2R3 match source-address 0.0.0.0/0 set security nat source rule-set DYNAMIC rule R2R3 then source-nat interface set security policies default-policy permit-all
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar el enrutador intermedio que proporciona NAT:
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 100.10.1.253/24 user@host# set fe-0/0/2 unit 0 family inet address 192.179.100.253/24
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/2.0
Configurar NAT.
[edit security nat source rule-set DYNAMIC] user@host# set from zone trust user@host# set to zone untrust user@host# set rule R2R3 match source-address 0.0.0.0/0 user@host# set rule R2R3 then source-nat interface
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
Resultados
Desde el modo de configuración, ingrese los comandos show interfaces, show security zones, show security nat source y show security policies para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 100.10.1.253/24;
}
}
}
fe-0/0/2 {
unit 0 {
family inet {
address 192.179.100.253/24;
}
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/2.0;
}
}
[edit]
user@host# show security nat source
rule-set DYNAMIC {
from zone untrust;
to zone trust;
rule R2R3 {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración del dispositivo de la sede (respondedor IKEv2)
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set chassis cluster reth-count 5 set chassis cluster redundancy-group 1 node 0 priority 220 set chassis cluster redundancy-group 1 node 1 priority 149 set chassis cluster redundancy-group 1 interface-monitor ge-0/0/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/0/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-0/0/2 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/0/2 weight 255 set interfaces ge-0/0/1 gigether-options redundant-parent reth0 set interfaces ge-0/0/2 gigether-options redundant-parent reth1 set interfaces ge-8/0/1 gigether-options redundant-parent reth0 set interfaces ge-8/0/2 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.179.1.10/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 100.10.1.50/24 set interfaces st0 unit 0 family inet address 172.168.100.2/16 set routing-options static route 192.179.2.0/24 next-hop st0.0 set routing-options static route 192.179.100.0/24 next-hop 100.10.1.253 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces reth1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces reth0.0 set security ike proposal IKE_PROP authentication-method pre-shared-keys set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway Branch_GW ike-policy IKE_POL set security ike gateway Branch_GW dynamic hostname branch.example.net set security ike gateway Branch_GW dead-peer-detection optimized set security ike gateway Branch_GW external-interface reth1.0 set security ike gateway Branch_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn Branch_VPN bind-interface st0.0 set security ipsec vpn Branch_VPN ike gateway Branch_GW set security ipsec vpn Branch_VPN ike ipsec-policy IPSEC_POL set security policies default-policy permit-all
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Configure dos nodos como clúster de chasis.
[edit chassis cluster] user@host# set reth-count 5 user@host# set redundancy-group 1 node 0 priority 220 user@host# set redundancy-group 1 node 1 priority 149 user@host# set redundancy-group 1 interface-monitor ge-0/0/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/0/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-0/0/2 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/0/2 weight 255
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/1 gigether-options redundant-parent reth0 user@host# set ge-0/0/2 gigether-options redundant-parent reth1 user@host# set ge-8/0/1 gigether-options redundant-parent reth0 user@host# set ge-8/0/2 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.179.1.10/24 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 100.10.1.50/24 user@host# set st0 unit 0 family inet address 172.168.100.2/16
Configure las opciones de enrutamiento.
[edit routing-options] user@host# set static route 192.179.2.0/24 next-hop st0.0 user@host# set static route 192.179.100.0/24 next-hop 100.10.1.253
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic protocols all user@host# set host-inbound-traffic system-services all user@host# set interfaces st0.0 user@host# set interfaces reth1.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth0.0
Configure las opciones de la fase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method pre-shared-keys user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway Branch_GW] user@host# set ike-policy IKE_POL user@host# set dynamic hostname branch.example.net user@host# set dead-peer-detection optimized user@host# set external-interface reth1.0 user@host# set version v2-only
Configure las opciones de la fase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals IPSEC_PROP [edit security ipsec vpn Branch_VPN] user@host# set bind-interface st0.0 user@host# set ike gateway Branch_GW user@host# set ike ipsec-policy IPSEC_POL
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
Resultados
Desde el modo de configuración, escriba los comandos , show interfaces, show routing-options, show security ipsecshow security zonesshow security ike, y show security policies para confirmar la show chassis clusterconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show chassis cluster
reth-count 5;
redundancy-group 1 {
node 0 priority 220;
node 1 priority 149;
interface-monitor {
ge-0/0/1 weight 255;
ge-8/0/1 weight 255;
ge-0/0/2 weight 255;
ge-8/0/2 weight 255;
}
}
[edit]
user@host# show interfaces
ge-0/0/1 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/2 {
gigether-options {
redundant-parent reth1;
}
}
ge-8/0/1 {
gigether-options {
redundant-parent reth0;
}
}
ge-8/0/2 {
gigether-options {
redundant-parent reth1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.179.1.10/24;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 100.10.1.50/24;
}
}
}
st0 {
unit 0{
family inet {
address 172.168.100.2/16;
}
}
}
[edit]
user@host# show routing-options
static {
route 192.179.2.0/24 next-hop st0.0;
route 192.179.100.0/24 next-hop 100.10.1.253;
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
reth1.0;
}
}
[edit]
user@host# show security ike
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy IKE_POL {
proposals IKE_PROP;
pre-shared-key ascii-text “$ABC123”
}
gateway Branch_GW {
ike-policy IKE_POL;
dynamic hostname branch.example.net;
dead-peer-detection optimized;
external-interface reth1.0;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group5;
}
proposals IPSEC_PROP;
}
vpn Branch_VPN {
bind-interface st0.0;
ike {
gateway Branch_GW;
ipsec-policy IPSEC_POL;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Verificación
Confirme que la configuración funcione correctamente.
- Verificación del estado de fase 1 de IKE para el respondedor
- Comprobación de asociaciones de seguridad IPsec para el respondedor
Verificación del estado de fase 1 de IKE para el respondedor
Propósito
Verifique el estado de la fase 1 de IKE.
Acción
Desde el modo operativo en el nodo 0, ingrese el show security ike security-associations comando. Después de obtener un número de índice desde el comando, utilice el comando show security ike security-associations detail .
user@host# show security ike security-associations node0: Index State Initiator cookie Responder cookie Mode Remote Address 1367024684 UP f82c54347e2f3fb1 020e28e1e4cae003 IKEv2 100.10.1.253
user@host# show security ike security-associations detail node0: IKE peer 100.10.1.253, Index 1367024684, Gateway Name: Branch_GW Location: FPC 5, PIC 0, KMD-Instance 2 Role: Responder, State: UP Initiator cookie: f82c54347e2f3fb1, Responder cookie: 020e28e1e4cae003 Exchange type: IKEv2, Authentication method: Pre-shared-keys Local: 100.10.1.50:4500, Remote: 100.10.1.253:2541 Lifetime: Expires in 3593 seconds Peer ike-id: branch.example.net Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 683 Output bytes : 400 Input packets: 2 Output packets: 1 IPSec security associations: 0 created, 0 deleted Phase 2 negotiations in progress: 1
Significado
El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.
Si las SA aparecen en la lista, revise la siguiente información:
Índice: este valor es único para cada SA de IKE, que puede utilizar en el
show security ike security-associations index index_id detailcomando para obtener más información acerca de la SA.Dirección remota: compruebe que la dirección IP local sea correcta y que el puerto 4500 se esté utilizando para la comunicación punto a punto.
Estado del respondedor de roles
Arriba: se estableció la SA de fase 1.
Abajo: hubo un problema al establecer la SA de fase 1.
ID de IKE par: verifica que la dirección sea correcta.
Identidad local e identidad remota: compruebe que estas direcciones sean correctas.
Modo: verifica que se esté utilizando el modo correcto.
Compruebe que los siguientes elementos son correctos en su configuración:
Interfaces externas (la interfaz debe ser la que envía los paquetes IKE)
Parámetros de política de ICR
Información de claves precompartidas
Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)
El show security ike security-associations comando enumera información adicional acerca de las asociaciones de seguridad:
Algoritmos de autenticación y cifrado utilizados
Duración de la fase 1
Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)
Información de funciones
La solución de problemas se realiza de mejor manera en el mismo nivel que usa la función de respondedor.
Información del iniciador y del respondedor
Cantidad de SA de IPsec creadas
Número de negociaciones de la Fase 2 en curso
Comprobación de asociaciones de seguridad IPsec para el respondedor
Propósito
Verifique el estado de IPsec.
Acción
Desde el modo operativo en el nodo 0, ingrese el show security ipsec security-associations comando. Después de obtener un número de índice desde el comando, utilice el comando show security ipsec security-associations detail.
user@host# show security ipsec security-associations node0 Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <77856771 ESP:aes-cbc-256/sha1 4ad5af40 7186/unlim - root 2541 100.10.1.253 >77856771 ESP:aes-cbc-256/sha1 5bb0a5ee 7186/unlim - root 2541 100.10.1.253
user@host# show security ipsec security-associations detail
node0
ID: 77856771 Virtual-system: root, VPN Name: Branch_VPN
Local Gateway: 100.10.1.50, Remote Gateway: 100.10.1.253
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv2
DF-bit: clear
Bind-interface: st0.0
Port: 2541, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 608a29
Tunnel Down Reason: SA not initiated
Location: FPC 5, PIC 0, KMD-Instance 2
Direction: inbound, SPI: 4ad5af40, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 7182 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 6587 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Significado
El resultado del comando show security ipsec security-associations muestra la siguiente información:
La puerta de enlace remota tiene una dirección IP de 100.10.1.253.
El SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor de duración indica que la duración de la fase 2 expira en 7186 segundos y que no se especificó ningún tamaño de vida útil, lo que indica que es ilimitada. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.
El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.
El resultado del comando show security ipsec security-associations index index_id detail muestra la siguiente información:
La identidad local y la identidad remota constituyen el ID de proxy para la SA.
Una discrepancia de ID de proxy es una de las causas más comunes de un error de fase 2. Si no aparece ninguna SA de IPsec, confirme que las propuestas de fase 2, incluida la configuración del ID de proxy, coincidan con ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0 y service=any. Pueden producirse problemas con varias VPN basadas en rutas desde el mismo IP de par. En este caso, debe especificarse un ID de proxy único para cada SA de IPsec. Para algunos proveedores de terceros, el ID de proxy se debe especificar manualmente para que coincida.
Otra razón común para la falla de fase 2 es no especificar el enlace de la interfaz ST. Si IPsec no puede completarse, compruebe el registro de kmd o establezca opciones de rastreo.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.
nat-keepalive opción configurada en el [edit security ike gateway gateway-name] nivel de jerarquía se ha cambiado de 5 segundos a 20 segundos.