Juniper SRX IPsec VPN base route CLI

建立Tunnel

set security zones security-zone untrust interfaces st0.1

IPSec 两个阶段

Phase1:

set security ike proposal to_head authentication-method pre-shared-keys

set security ike proposal to_head dh-group group2

set security ike proposal to_head authentication-algorithm md5

set security ike proposal to_head encryption-algorithm 3des-cbc

set security ike policy to_head mode main

set security ike policy to_head proposals to_head

set security ike policy to_head pre-shared-key ascii-text "abc2010"

set security ike gateway to_head ike-policy to_head

set security ike gateway to_head address 10.100.100.100

set security ike gateway to_head external-interface fe-0/0/0.0

set security ike gateway to_head version v1-only

Phase2:

set security ipsec proposal to_head protocol esp

set security ipsec proposal to_head authentication-algorithm hmac-md5-96

set security ipsec proposal to_head encryption-algorithm 3des-cbc

set security ipsec policy to_head perfect-forward-secrecy keys group2

set security ipsec policy to_head proposals to_head

set security ipsec vpn to_head bind-interface st0.1

set security ipsec vpn to_head vpn-monitor source-interface vlan.1

set security ipsec vpn to_head vpn-monitor destination-ip 10.200.100.100

set security ipsec vpn to_head ike gateway to_head

set security ipsec vpn to_head ike ipsec-policy to_head

set security ipsec vpn to_head establish-tunnels on-traffic

set security ipsec vpn to_head establish-tunnels immediately

策略:

set security policies from-zone trust to-zone untrust policy 1 match source-address any

set security policies from-zone trust to-zone untrust policy 1 match destination-address any

set security policies from-zone trust to-zone untrust policy 1 match application any

set security policies from-zone trust to-zone untrust policy 1 then permit

set security policies from-zone untrust to-zone trust policy 2 match source-address any

set security policies from-zone untrust to-zone trust policy 2 match destination-address any

set security policies from-zone untrust to-zone trust policy 2 match application any

set security policies from-zone untrust to-zone trust policy 2 then permit

路由:

set routing-options static route 192.168.0.0/16 next-hop st0.1

set routing-options static route 10.0.0.0/8 next-hop st0.1

时间: 2024-10-14 01:39:10

Juniper SRX IPsec VPN base route CLI的相关文章

juniper srx 动态VPN 配置

juniper srx系列防火墙的动态VPN又叫dynamic vpn ,可以通过电脑客户端远程拨入到设备所在网络中.目前低端系列的防火墙如srx100 srx210 srx240 srx550 srx650设备默认支持两个动态VPN并发授权,超过两个授权需要开通相应的license .srx300系列需要高版本才能支持,前段时间测试过300系列15.1D49是不支持动态VPN的,好像需要升级到D51版本以上. 开启https set system services web-management

Juniper SRX(Junos)配置拨号VPN (Dynamic VPN)

1) Junper SRX 防火墙,默认 License 支持2个VPN 并发连接. 2) Juniper SRX 防火墙的软件版本需要注意下,测试时发现 12.1X46-D40.2 有问题,因为测试设备是SRX210HE,在高的版本升级不上去,使用版本 12.1X44-D60.2 没问题. 配置: set access profile dyn-vpn-access-profile client vpnuser1 firewall-user password "vpnuserpassword01

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN

背景:公司办公区的网关防火使用的是飞塔防火墙,公司IDC机房使用的juniper SSG550M防火墙,现在想在办公网和机房生产网中间创建一条ipsec vpn用于公司用户访问机房网络,公司网段为192.168.0.0/20,机房网段为10.10.0.0/21. IPSEC介绍:ipsec-vpn也分路由模式和策略模式.我们这里使用的是策略模式. 俩者有哪些不同的地方呢?对俩者ipsec-vpn的实现原理过程解释: ①基于策略的IPsec VPN:通过防火墙策略将数据丢进VPN隧道 ②基于路由的

juniper防火墙基于路由的IPsec VPN配置

一.环境说明 北京公司需要和上海分公司建立安全通信的VPN,便于北京总公司与上海分公司资源共享安全. 需建立两条子网通道规划地址如下: 北京总公司地址规划: 外网接口地址:218.23.23.23/24 内部VLAN地址:10.0.0.0/24  10.0.1.0/24 上海分公司地址规划: 外网接口地址:218.241.241.23/24 内部VLAN地址:172.173.0.0/24  172.173.3.0/24 二.开始配置IPsec VPN 北京总公司配置: 配置外网接口地址为非信任区

IPsec VPN原理与配置 【Route&ASA】

IPsec VPN原理与配置 简单的了解一些VPN的理论知识: 1.VPN的连接模式 VPN技术有两种传输模式:隧道模式和传输模式.这两种模式定义了两台实体设备之间传输数据时所采用的不同封装过程. (1)传输模式 传输模式一个最显著的特点就是:在传输过程中,包头并没有被封装进去,意思是从源端到目的端始终使用原有的IP地址进行通信.而传输的实际数据被封装在VPN报文中. (2)隧道模式 与传输模式的区别显而易见,VPN设备将整个三层数据报文封装在VPN数据内,再为封装过后的数据报文添加新的IP包头

juniper防火墙动态VPN配置

一.拓扑图 墙规划三个安全区域:trust,untrust,dmz. trust接口:ge-0/0/0 管理ip:192.168.1.1/24,公司办公区. untrust接口:ge-0/0/1管理ip:100.100.100.1/24,接外部互联网. dmz接口:ge-0/0/2管理ip:10.10.10.1/24,公司服务器区. 远程动态vpn客户端分配地址池范围:172.16.10.0/24,分配的地址段:172.16.10.10---172.16.10.250. 二.具体配置 1.配置主

Juniper 防火墙建立VPN不成功:Phase1:Retransmission

Juniper防火墙建立VPN不成功,日志中出现下面的提示:Phase 1: Retransmission limit has been reached. 下面是从Juniper资料库中查到的相关资料,按照Juniper资料库的办法好像并没有彻底解决问题,不过可以参考一下Juniper防火墙的排错思路. Synopsis: VPN won't come up; It is failing in Phase 1, with Retransmission limit has been reached

JUNIPER srx 常用命令

ollback set interface set routing-options static 更改初始密码 set system root-authentication plain-text-password 回车 New password: retype new password: set system login user admin class super-user set system login user admin authentication plain-text-passwo

Cisco ASA和Juniper SRX/NetScreen的不同默认分片策略

这几今天一直在研究思科和Juniper防火墙建立IPSec VPN的MTU问题, 底层基础可以参考思科官方的这篇文章,讲解的十分详细: http://www.cisco.com/c/en/us/support/docs/ip/generic-routing-encapsulation-gre/25885-pmtud-ipfrag.html 顺便介绍Linux和Windows下两个测试Path MTU的两个小工具:http://packetlife.net/blog/2008/aug/18/pat