Пример настройки ROUTE-BASED IPSEC VPN между VCLOUD EDGE GATEWAY (ESG) и JUNIPER SRX.

Пример настройки ROUTE-BASED IPSEC VPN

Вернуться в Базу знаний
 

Настройка сайта на стороне ESG (VCLOUD TENANT PORTAL):

В разделе IPSEC VPN SITES настроек сервисов ESG добавляем новый сайт.

Указываем в качестве LOCAL ID\ENDPOINT внешний IP-адрес ESG, PEER ID\ENDPOINT – IP-адрес JUNIPER SRX.

LOCAL\PEER SUBNETS – 0.0.0.0/0 (для route-based vpn список сетей определяется с помощью маршрутов!).

Выбираем алгоритм шифрования, способ аутентификации, указываем общий ключ (рекомендуется – от 32 символов, разнорегистровые цифробуквы).

Выбираем DH группу (рекомендуется DH14 и выше), алгоритм дайджеста, версию IKE.

Выбираем ROUTE BASED SESSION и указываем IP-адрес туннельного интерфейса (не связан с имеющимися сетями!) и значение MTU.

Пример настройки ROUTE-BASED IPSEC VPN

В результате получаем:

Пример настройки ROUTE-BASED IPSEC VPN

Активируем сервис:

Пример настройки ROUTE-BASED IPSEC VPN

Добавляем статические маршруты для удаленных сетей (NEXT HOP – IP-адрес туннельного интерфейса на стороне JUNIPER SRX):

Пример настройки ROUTE-BASED IPSEC VPN

Настройка на стороне JUNIPER SRX (IP-адреса соответствуют указанным в настройках ESG):
 

## Interface IP and route for tunnel traffic

set interfaces st0 unit 10 family inet address <Tunnel p2p IP/mask> [10.10.10.100/24]

 

set routing-options static route <cloud network1/mask> [10.1.1.0/24] next-hop st0.10

set routing-options static route <cloud network2/mask> [192.168.192.168/29] next-hop st0.10

set routing-options static route <cloud networkX/mask> next-hop st0.10

 

## Security zones, assign interfaces to the zones & host-inbound services for each zone

set security zones security-zone vmedge-vpn interfaces st0.10

set security zones security-zone untrust host-inbound-traffic system-services ike

 

## Address book entries for each zone

set security zones security-zone trust address-book address net-local-network1 <local network1/mask> [192.168.10.0/24]

set security zones security-zone trust address-book address net-local-network1 <local network2/mask> [192.168.200.200/32]

set security zones security-zone trust address-book address net-local-network1 <local networkX/mask>

set security zones security-zone vmedge-vpn address-book address net-cloud-network1 <cloud network1/mask> [10.1.1.0/24]

set security zones security-zone vmedge-vpn address-book address net-cloud-network2 <cloud network2/mask> [192.168.192.168/29]

set security zones security-zone vmedge-vpn address-book address net-cloud-networkX <cloud networkX/mask>

 

## IKE policy

set security ike policy ike-policy-cloud mode main

set security ike policy ike-policy-cloud pre-shared-key ascii-text "<PRE-SHARED-KEY>"

set security ike policy ike-policy-cloud proposals ike-proposal-cloud

 

## IKE gateway with peer IP address, IKE policy and outgoing interface

set security ike gateway ike-gate-cloud ike-policy ike-policy-cloud

set security ike gateway ike-gate-cloud address <Cloud Edge IP> [213...]

set security ike gateway ike-gate-cloud external-interface <External Juniper interface ID like ge-0/0/0>

set security ike gateway ike-gate-cloud version v2-only

 

## IKE authentication, encryption, DH group, and Lifetime

set security ike proposal ike-proposal-cloud authentication-method pre-shared-keys

set security ike proposal ike-proposal-cloud encryption-algorithm aes-128-cbc

set security ike proposal ike-proposal-cloud authentication-algorithm sha-256

set security ike proposal ike-proposal-cloud dh-group group14

set security ike proposal ike-proposal-cloud lifetime-seconds 28800

 

## IPsec policy

set security ipsec policy ipsec-policy-cloud proposals ipsec-proposal-cloud

set security ipsec policy ipsec-policy-cloud perfect-forward-secrecy keys group14

 

## IPsec vpn

set security ipsec vpn ipsec-vpn-cloud ike gateway ike-gate-cloud

set security ipsec vpn ipsec-vpn-cloud ike ipsec-policy ipsec-policy-cloud

set security ipsec vpn ipsec-vpn-cloud bind-interface st0.10

set security ipsec vpn ipsec-vpn-cloud establish-tunnels immediately

set security ipsec vpn ipsec-vpn-cloud ike proxy-identity local <External Juniper Interface IP> [217...] remote <Cloud Edge IP> [213...]

 

## IPsec authentication and encryption

set security ipsec proposal ipsec-proposal-cloud protocol esp

set security ipsec proposal ipsec-proposal-cloud encryption-algorithm aes-128-cbc

set security ipsec proposal ipsec-proposal-cloud authentication-algorithm hmac-sha-256-128

set security ipsec proposal ipsec-proposal-cloud lifetime-seconds 3600

 

## Security policies for tunnel traffic in outbound direction

set security policies from-zone trust to-zone vmedge-vpn policy trust-vmedge-vpn-cfgr match source-address net-local-network1

set security policies from-zone trust to-zone vmedge-vpn policy trust-vmedge-vpn-cfgr match source-address net-local-network2

set security policies from-zone trust to-zone vmedge-vpn policy trust-vmedge-vpn-cfgr match source-address net-local-networkX

set security policies from-zone trust to-zone vmedge-vpn policy trust-vmedge-vpn-cfgr match destination-address net-cloud-network1

set security policies from-zone trust to-zone vmedge-vpn policy trust-vmedge-vpn-cfgr match destination-address net-cloud-network2

set security policies from-zone trust to-zone vmedge-vpn policy trust-vmedge-vpn-cfgr match destination-address net-cloud-networkX

set security policies from-zone trust to-zone vmedge-vpn policy trust-vmedge-vpn-cfgr match application any

set security policies from-zone trust to-zone vmedge-vpn policy trust-vmedge-vpn-cfgr then permit

 

## Security policies for tunnel traffic in inbound direction

set security policies from-zone vmedge-vpn to-zone trust policy vmedge-vpn-trust-cfgr match source-address net-cloud-network1

set security policies from-zone vmedge-vpn to-zone trust policy vmedge-vpn-trust-cfgr match source-address net-cloud-network2

set security policies from-zone vmedge-vpn to-zone trust policy vmedge-vpn-trust-cfgr match source-address net-cloud-networkX

set security policies from-zone vmedge-vpn to-zone trust policy vmedge-vpn-trust-cfgr match destination-address net-local-network1

set security policies from-zone vmedge-vpn to-zone trust policy vmedge-vpn-trust-cfgr match destination-address net-local-network2

set security policies from-zone vmedge-vpn to-zone trust policy vmedge-vpn-trust-cfgr match destination-address net-local-networkX

set security policies from-zone vmedge-vpn to-zone trust policy vmedge-vpn-trust-cfgr match application any

set security policies from-zone vmedge-vpn to-zone trust policy vmedge-vpn-trust-cfgr then permit

После настройки рекомендуется переподключить туннель с обеих сторон.

В результате имеем:

Пример настройки ROUTE-BASED IPSEC VPN

Пример настройки ROUTE-BASED IPSEC VPN

Также, можно получить статус туннеля на JUNIPER SRX:

show security ike security-associations - фаза 1 (IKE)
show security ipsec security-associations  - фаза 2 (IPSEC)

Дополнительно должны быть настроены правила фаервола с обеих сторон – по собственному усмотрению.

Заголовок формы
Настоящим в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27.07.2006, отправляя данную форму, вы подтверждаете свое согласие на обработку персональных данных. Мы, ЗАО «СофтЛайн Интернейшнл» и аффилированные к нему лица, гарантируем конфиденциальность получаемой нами информации. Обработка персональных данных осуществляется в целях эффективного исполнения заказов, договоров и пр. в соответствии с «Политикой конфиденциальности персональных данных».