客户端形式的动态IP连接SRX的VPN站点

以前写过SSG连接的例子

现在SSG快没了,替代品SRX

原理上因为SRX就是SSG的替代型号,很多地方原理是一样的,所以就不在累述了。

这里只说明SRX的配置,作为固定IP方出现

在JUNOS Software Release [12.1R7.9]版本下通过测试。

st0 {
        unit 2 {
            description "To RemoteVPN";
            family inet;
            family inet6;
        }
    }  //建立虚拟接口

security {
    ike {
        proposal pre-g2-aes128-sha1 {
            authentication-method pre-shared-keys;
            dh-group group2;
            authentication-algorithm sha1;
            encryption-algorithm aes-128-cbc;
            lifetime-seconds 28800;
        }  //起了个集合的名字pre-g2-aes128-sha1,使用共享秘钥authentication-method pre-shared-keys,DH组用了group2,认证效验是sha1,加密效验是aes-128-cbc,生存时间是28800秒

policy RemoteIKE {
            mode aggressive;
            proposals pre-g2-aes128-sha1;
            pre-shared-key ascii-text "$9$w9gZDiH.QF6GDO1EhKvgoaUHmz36p0I"; ## SECRET-DATA
        }  //建立和远程连接的加密策略,使用aggressive模式,这是关键,一般两个固定IP使用的是main模式,调用上面建立的pre-g2-aes128-sha1的ike集合,pre-shared-key就是秘钥,当然是加过密的。

gateway RemoteGW {
            ike-policy RemoteIKE;
            dynamic hostname shenxu.dyndns.org;
            external-interface ge-0/0/0;
            version v1-only;
        }  因为使用的是接口模式,所以建立ike网关,调用已经建立的加密策略RemoteIKE,dynamic hostname shenxu.dyndns.org是用来确认对端的身份的,可以用hostname,也可以用email地址,只要两端一致就可以,版本用的1,现在有2版了,还没搞懂

}  //这个大的组合是定义了ike协商的标准

ipsec {
        proposal esp-3des-sha1 {
            protocol esp;
            authentication-algorithm hmac-sha1-96;
            encryption-algorithm 3des-cbc;
            lifetime-seconds 3600;
        }   //定义ipsec采用的加密方式,协议使用esp,现在差不多站点都采用esp,认证效验和加密效验以及生存期的时间3600秒
        policy g2-esp-3des-sha1 {
            perfect-forward-secrecy {
                keys group2;
            }  //用的pfs的group2,这个地方各个厂商有可能不好配合,以前思科和微软的就不行,现在不知道
            proposals esp-3des-sha1;
        } //  建立一个ipsec的加密策略

vpn RemoteVPN {
            bind-interface st0.2;
            vpn-monitor {
                optimized;
            }
            ike {
                gateway RemoteGW;
                ipsec-policy g2-esp-3des-sha1;
            }
            establish-tunnels on-traffic;
        }
    } //建立vpn集合,既然是接口模式的vpn,必然要绑定接口bind-interface st0.2,要先建立一个虚拟接口st0.2,vpn-monitor 是监视vpn隧道死活的,如果死了接口就down了,这样就可以使用路由的切换,有时候也不太灵。ike是调用前面建立好的GW和安全策略,establish-tunnels on-traffic一定要是on-traffic,因为是一端发起的,是被动的,不能选immediately,两个固定IP可以用。

还需要访问的安全策略,没啥难度,在web界面就可以很容易的完成,这里不再累述。

zones {

security-zone RemoteVPN {
            address-book {
                address relay 172.26.136.224/28;
            }
            interfaces {
                st0.2;
            }
        }  //建立安全区,一个是定义这个zone的地址,另外就是绑定接口st0.2,其实我觉得这个顺序应该写在访问的安全策略前面,因为必须先有zone才能写访问的安全策略。这里我觉得比ssg要好,ssg绑定接口Unnumbered必须要连接到一个物理接口,如果做的不对很容易造成信息泄露,比如路由协议,我在一次偶然的抓包才发现的。SRX在做Unumbered的时候没有绑定到物理接口,只有到zone,这样安全性提高了,不过这样似乎就不是Unumbered了。

时间: 2024-10-23 14:49:30

客户端形式的动态IP连接SRX的VPN站点的相关文章

路由器中pppoe,动态IP,静态IP的区别

路由器中pppoe,动态IP,静态IP的区别 要把路由器设置得能上网,无非就是设置WAN外网接口连接而已.WAN接口能上网,则连接的电脑就能上网,反之则上不了网.只不过WAN接口往往有pppoe,动态IP,静态IP三种连接方式,一般的用户搞不清楚有什么区别.且听我慢慢道来…… 第一种:PPPOE模式可以说是最常用的了,无论是从电信联通那里拉来的ADSL宽带,还是接小区的网络,用的都是PPPOE协议.因为他们都会给你一个宽带账号和密码,输入账号密码连接就可以上网了.这就要用PPPOE模式,要不然都

PPTP+L2TP+SSTP+OPENVPN绝对穿透的动态IP

我公司产品主营动态IP拨号,动态IP服务器.全球SOCKS5代理.全球HTTP代理服务,拥有千万级IP量,绝不吹嘘,稳定高效! VPN拨号地区:美国.韩国.香港.苏州.扬州.常州.合肥.西安.淮北.鞍山.贵州.新乡.洛阳 (可分为固定IP和动态IP两种,动态IP拨号每次断开重连IP自动更换)SOCKS5代理地区:美国.韩国.香港.中国大陆HTTP代理:全球20多国家.中国大陆 支持拨号协议:PPTP.L2TP.SSTP.OPENVPN 保证绝对穿透,不存在无法连接的情况!支持操作系统:WINDO

PPTP+L2TP+SSTP+OPENVPN绝对穿透的动态IP 拨号

我公司产品主营动态IP拨号,动态IP服务器.全球SOCKS5代理.全球HTTP代理服务,拥有千万级IP量,绝不吹嘘,稳定高效! VPN拨号地区:美国.韩国.香港.苏州.扬州.常州.合肥.西安.淮北.鞍山.贵州.新乡.洛阳 (可分为固定IP和动态IP两种,动态IP拨号每次断开重连IP自动更换)SOCKS5代理地区:美国.韩国.香港.中国大陆HTTP代理:全球20多国家.中国大陆 支持拨号协议:PPTP.L2TP.SSTP.OPENVPN 保证绝对穿透,不存在无法连接的情况!支持操作系统:WINDO

【普】静态IP和动态IP有什么区别?

动态IP和静态IP的区别在于:动态IP需要在连接网络时自动获取IP地址以供用户正常上网,而静态IP是ISP在装机时分配给用户的IP地址,可以直接连接上网,不需要获取IP地址. 静态IP又称为固定IP,是运营商的专线业务提供的一种IP形式,安装专线后运营商会提供固定IP及对应的子网掩码.网关,然后我们将固定IP的信息配置在本地连接里,这样我们电脑开机时就会少了获取IP的过程.其实固定IP大多数是用来做网站.运行各种服务的服务器. 众所周知,我们上网时输入的都是网址的,而DNS服务器则通过网址知道你

架设自己的私有github+数据中心,并通过域名访问(支持adsl动态ip)

如果可以随时随地,用任何设备(手机电脑ipad)访问自己的所有工程,以及数据文件.歌曲.电影.照片等等,那该有多诱人呀,下面介绍一下具体方法. 安装环境:ubuntu server 14.04 1:安装gitlab(开源的版本管理服务器,模仿github写的) 下载安装gitlab 官方说明文档:https://about.gitlab.com/downloads/ 安装gitlab前,首先需要安装openssh和postfix,如果安装系统选择软件包时直接选上openssh-server,这时

路由器动态ip获取不到

路由器中设置动态IP上网后,路由器中一直显示正在获取动态IP,但就是获取不到动态IP地址信息.出现这样的情况,原因是多种多样的,建议大家按照下面的顺序排查 1.宽带问题 2.路由器连接问题 3.IP地址冲突 4.网线问题 一.宽带问题 首先,请检查下你的宽带是否出现了问题.可以先去掉路由器,让电脑直接连接宽带网线(猫),然后测试下电脑能否正常上网? 如果不用路由器的时候,电脑直接连接宽带无法上网,说明多半是宽带出现故障 :此时,请联系你的宽带运营商(网络管理员)进行排查. 如果不用路由器的时候,

iptables 自动绑定动态IP

由于公司的svn服务器放在外网,为了安全只允许特定的IP才能访问.(公司用PPPOE拨号) 几乎每天都要去刷公司的IP,这样很不方便.于是就想通过自动刷新动IP的想法. 具备条件: 1.路由器DDNS服务,如果没有那就用电脑下载花生壳客户端. 实现动态刷新shell核心代码如下: dyIP=$(ping **.kmdns.net -c1 | grep PING | awk '{ print $3 }' | cut -c 2- | cut -d\) -f1)iptables -A INPUT -s

第5章 Cisco测试命令和TCP/IP连接故障处理

第5章 Cisco测试命令和TCP/IP连接故障处理 一.故障处理命令 1.show命令: 1) 全局命令: show version :显示系统硬件和软件版本.DRAM.Flash show startup-config :显示写入NVRAM中的配置内容 show running-config :显示当前运行的配置内容 show buffers :详细输出buffer的名称和尺寸 show stacks :提供路由器进程和处理器利用率信息, 用stack decode show tech-su

VPN技术:动态IP地址问题

前面的博文已经介绍过了基本的站点到站点VPN,但不管是普通L2L VPN还是GRE.SVTIR技术,都需要互相连接的所有站点都有一个固定的公网IP地址,但是在实际工程中,一些中小型企业,很难满足这样的条件.一些公司总部会使用固定IP地址,但分站往往使用价格低廉的动态IP地址(往往是ADSL接入):还有一些公司站点少,员工少,即使是总部也是使用动态的IP地址.要在这种环境下部署VPN,可以使用下面几种解决方案: 动态crypto map 动态crypto map是普通L2L VPN技术的扩展,要求