Я безуспешно пытался настроить клиентскую VPN на Juniper SRX1400. Вся документация, которую я нашел в Juniper и других источниках, касается множества других (сложных и замечательных) вещей, помимо простых вещей, которые я хочу делать. У нас уже есть VPN, работающая на оборудовании CISCO PIX, которое нам нужно остановить, и нам очень нравится реплицировать функциональность, а именно: 1) клиент делает запрос к внешнему интерфейсу SRX1400, 2) клиент проходит проверку подлинности, 3) в случае успеха клиенту назначаются все обычные параметры DHCP, и он становится частью сети. Какие привилегии имеет эта сеть, назначенная DHCP, конечно же, следует настраивать с помощью обычных методов маршрутизации / фильтрации.
Я слишком многого прошу от SRX для такого рода вещей? Должен ли я отказаться от SRX для VPN и вернуться к решению OpenVPN, с которым я работал некоторое время назад и был поражен простотой конфигурации, функциональностью и функциями?
функция, которую вы ищете, называется Динамический VPN в мире Juniper модель, о которой вы говорите (SRX1400), является первой высокопроизводительной моделью на уровне центра обработки данных, они не поддерживают динамический VPN.
тем не менее вы можете использовать Землеройка ведьма VPN-клиента бесплатна.
вот пример конфигурации для использования shrew на junos 10.4
## Last changed: 2011-01-17 21:14:39 MST
version 10.4R1.9;
system {
login {
user admin {
uid 2002;
class super-user;
}
}
services {
ssh;
telnet;
web-management {
http;
}
}
syslog {
user * {
any emergency;
}
file messages {
any notice;
authorization info;
}
file traffic-log {
any any;
match RT_FLOW;
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 10.4.4.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 4.4.4.1/24;
}
}
}
fe-0/0/7 {
unit 0 {
family inet {
address 192.168.180.39/24;
}
}
}
}
security {
ike {
proposal RemoteVPNPolicy1 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm md5;
encryption-algorithm 3des-cbc;
lifetime-seconds 86400;
}
policy RemoteVPNIKE {
mode aggressive;
proposals RemoteVPNPolicy1;
pre-shared-key ascii-text "$9$ywMeMXVwgUjq7-jqmfn6revW7-"; # SECRET-DATA
}
policy t400-ike-policy {
mode aggressive;
proposals RemoteVPNPolicy1;
pre-shared-key ascii-text "$9$IcPhyKX7V4aUM8aUjH5TRhSrM8"; # SECRET-DATA
}
inactive: gateway RemoteVPN {
ike-policy RemoteVPNIKE;
dynamic user-at-hostname "remote@domain.com";
external-interface ge-0/0/1.0;
}
gateway t400-ike-gw {
ike-policy t400-ike-policy;
dynamic {
user-at-hostname "remote@domain.com";
connections-limit 50;
ike-user-type shared-ike-id;
}
external-interface ge-0/0/1.0;
xauth access-profile t400-access;
}
}
ipsec {
proposal RemoteVPNIPSec {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm 3des-cbc;
}
policy RemoteVPNIPSec {
proposals RemoteVPNIPSec;
}
policy t400-ipsec-policy {
proposals RemoteVPNIPSec;
}
inactive: vpn RemoteVPN {
ike {
gateway RemoteVPN;
ipsec-policy RemoteVPNIPSec;
}
establish-tunnels on-traffic;
}
vpn t400-vpn {
ike {
gateway t400-ike-gw;
ipsec-policy t400-ipsec-policy;
}
}
}
zones {
security-zone corp {
interfaces {
fe-0/0/7.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone trust {
address-book {
address hq-net-10-4-4 10.4.4.0/24;
}
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
}
policies {
from-zone untrust to-zone trust {
policy RemoteVPN {
match {
source-address any;
destination-address hq-net-10-4-4;
application any;
}
then {
permit {
tunnel {
ipsec-vpn t400-vpn;
}
}
log {
session-init;
session-close;
}
count;
}
}
}
}
}
access {
address-pool t400-pool {
address-range low 192.168.40.200 high 192.168.40.250 mask 55.255.255.0;
primary-dns 10.4.4.75;
}
profile t400-access {
authentication-order password;
client joe {
firewall-user {
password "$9$K9QWX-YgJHqfVwqfTzCAvWLxVw"; ## SECRET-DATA
}
}
address-assignment {
pool t400-assign-pool;
}
}
address-assignment {
pool t400-assign-pool {
family inet {
network 192.168.40.0/24;
range t400-range {
low 192.168.40.101;
high 192.168.40.149;
}
xauth-attributes {
primary-dns 10.4.4.85/32;
}
}
}
}
}