背景:公司办公区的网关防火使用的是飞塔防火墙,公司IDC机房使用的juniper SSG550M防火墙,现在想在办公网和机房生产网中间创建一条ipsec vpn用于公司用户访问机房网络,公司网段为192.168.0.0/20,机房网段为10.10.0.0/21。
IPSEC介绍:ipsec-vpn也分路由模式和策略模式。我们这里使用的是策略模式。
俩者有哪些不同的地方呢?对俩者ipsec-vpn的实现原理过程解释:
①基于策略的IPsec VPN:通过防火墙策略将数据丢进VPN隧道
②基于路由的IPsec VPN: 在防火墙上建立虚拟接口tunnel接口,设置到对端的数据丢进这个tunne接口中,再有IPsec VPN进行加密
俩者ipsec-vpn的区别:
①基于策略的IPsce VPN可以再网关部署和透明部署的防火墙上建立,基于策略的IPsecvpn建立后,在VPN隧道中仅能传输单播数据;
②基于接口的IPsec VPN只能在网关模式下施工部署,不可以在透明模式下部署,相对于策略模式IPsec vpn优点在于:基于路由IPsecvpn可在VPN隧道中传组播应用,如动态路由等协议。
配置步骤:
一、飞塔防火墙配置
IKE第一阶段配置,基础配置也没有什么好讲的,上来配置好名称,对端公网ip地址,选择接口,模式,认证方式,秘钥等。
高级选项中有些选项是必须与对端一致的。重点需要注意以下几项:
- 阶段1中的加密算法和认证算法必须配置两端的防火墙一致。
- DH组必须一致(IKE DH (Diffie-Hellman) 组,秘钥交换算法。DH group 1 (768-bit)、DH group 2 (1024-bit)、DH group 5 (1536-bit))
- 秘钥周期必须一致
- NAT穿越开启(如果使用NAT的话,一定要开启这个功能)
以下选项也建议开启:
- DBD状态监测开启
IKE第二阶段配置,阶段2的加密算法和认证算法也必须和对端保持一致,DH组和秘钥周期也要配置一致。这里重点说一下快速模式选择器:
有关流量的匹配规则是在防火墙策略里配置的,为什么还需要在ipsec第二阶段里在定义一次网段信息呢??
原因是,可以配置多个阶段2对应一个阶段1。
①再有多个阶段2存在的情况下,用来识别和引导流量到合适的阶段2中
》允许对不同的LAN设置不同颗粒的的SA,安全级别不同
》VPN流量如果不匹配选择器将被丢弃
②在点对点的vpn中,两端选择器的配置必须正好相反
》其中一段的源IP必须是另一端的目的IP
配置防火墙策略:配置本地子网到对端子网的放行策略,策略动作选择ipsec vpn隧道(注:一定要把策略顺序放置好,最好是放在策略最上方)
二、juniper防火墙配置
第一步:Web-UI管理界面中配置VPNS→AutoKey Advanced→Gateway→New
第二步:定义VPN网关名称、定义“对端VPN设备公网IP”为本地VPN设备的网关地址,如下图所示:(IKE版本可选)
第三步:在VPN Gateway的高级(Advanced)部分,定义预共享密钥、定义相关的VPN隧道协商加密算法、选择VPN的发起模式,DPD检测最好勾选,模式选择野蛮模式 ,公网出口等。outgoing interface 选择公网出接口,如下图所示:
其中加密算法必须和对端的保持一致才行,加密中的g2代表是DH2。其中的加密认证等算法可以在P1 Proposal中定义。
第四步:接着配置VPN的AutoKey IKE:VPNS→AutoKey IKE→New,如下图
第五步:设置VPN name、Remote Gateway,如下图所示
第六步:在AutoKey IKE的高级(Advanced)部分定义了VPN的加密算法(Security Level)
SencurityLevel:User Defined→Custom→Phase 2 Proposal→可以根据个人需要选择自定义(两端设备保持一致即可),配置proxy-ID,定义本地子网和远端子网,可选【如果同款型号或者同产商,这里无需添加proxyID】若跨产商,这里就填写,如下图所示:
第七步:建立VPN Policy,trust-untrust、untrust-trust双向策略新建对应兴趣流量,勾选modify matching...选项可以同时生成反向的策略信息。另外需要调整vpn的策略顺序,最好将他们放在最上边。如下图所示
第八步:在 VPNs > Monitor Status 界面下可以看到VPN的状态(可以看到Link链路显示的状态是Down状态,但vpn的确是建立好了,并且可以互通,只当是个bug吧),如下图展示:
