Sitio para la difusión de conocimiento informático. 

Twitter RSS

SSG – Policy and Routed VPNs

A continuación veremos un ejemplo de configuración de una VPN basada en Política y otro ejemplo de una VPN basada en Ruta.

Ejemplo de una VPN basada en Política:

Definir las direcciones de objetos (object-groups for cisco):
set address trust MyServer x.x.x.x/xx
set address untrust RremoteServer y.y.y.y/yy

Configuro un IKE gateway en nuestro dispositivo:
– Gateway name: firewall-gw.
– Remote gateway type: Static IP address.
– Rremote IP address: z.z.z.z
– Outbound Interface: ej: e0/0.
– Preshared key: ej: «Juniper»
– Security level: ej: «Standard.
set ike gateway firewall-gw address z.z.z.z outgoing-interface e0/0 preshare Juniper sec-level standard

Configuro una AutoKey IKE VPN:
– VPN name: myfirewall-VPN
– Security level: Standard.
– Phase 1 gateway: firewall-gw (created in previus step).
set vpn myfirewall-VPN gateway firewall-GW sec-level standard

Configuro la política para el tráfico:
set policy top from trust to untrust MyServer RremoteServer any tunnel vpn myfirewall-VPN
set policy top from untrust to trust RremoteServer MyServer any tunnel vpn myfirewall-VPN

Ejemplo de una VPN basada en Ruta con NAT (mip and dip):

Crear interfaces de tunel:
set interfaces tunnel.1 zone untrust
set interfaces tunnel.1 ip x.x.x.x/xx
set interface tunnel.1 dip 4 192.168.1.5 192.168.1.200
set interface tunnel.1 mip 192.168.1.250 host z.z.z.z (z.z.z.z real server).

object-group for LANs:
set address trust LocalLAN z.z.z.z/zz
set address untrust RemoteNet y.y.y.y/yy

IKE phase 1 and 2:
set ike gateway toRemoteNet address y.y.y.y outgoing-interface e0/1 preshare Juniper sec-level stanard
set vpn toRemoteNet gateway toRemoteNet sec-level standard
set vpn toRremoteNet bind interface tunnel.1

Agrego la Ruta:
set route «remotenet/addr» int tunnel.1
set policy from trust to untrust LocalLAN RemoteNet any nat src dip-id 4 permit
set policy from untrust to trust RemoteNet MIP(192.168.1.250) any permit

Comandos de Verificación:
get ike cookie
get sa active
get session tunnel

clear ike all (tear down vpn).

 
Home Juniper SSG SSG – Policy and Routed VPNs