站長新書 站長開講 首頁 最新文章 站長著作及審校 FreeBSD 筆記 Linux 筆記 Windows 筆記 虛擬化筆記 網管人雜誌 遊山玩水 關於本站
站長新書 VMware vSphere ICM 團購開跑了!!

Juniper 550M-Site to Site VPN 實作筆記

Site to Site VPN 設定方式

本文為簡述 Juniper SSG 550M UTM Site to Site VPN 設定方式

  1. 登入二端 Juniper SSG 設備並備份二邊的設定檔,避免失敗影響原本運作
  2. 確定相關的 WAN、LAN Interface 及 Zone 名稱
  3. 建立遠端的 LAN IP 位址路徑為【Policy > Policy Elements > Addresses > List】
  4. 建立遠端的 LAN IP 群組 (多段 IP 位址) 路徑為 【Policy > Policy Elements > Addresses > Groups】 將剛才建立的 IP List 加入此 Group 內
  5. 使用精靈模式建立 Site to Site VPN Tunnel 路徑為 【Wizards > Route-based VPN】
  6. 建立完成後到 Interface 去看 tunnel 介面狀態成功為 Ready (等待連接中...)

本地端設定 (Taiwan)

以下為本地端的設備資訊

若您習慣使用 CLI 方式則如下所示

 set address "Untrust" "192.168.50.0/24" 192.168.50.0 255.255.255.0
 set group address "Untrust" "Malaysia_LAN"
 set group address "Untrust" "Malaysia_LAN" add "192.168.50.0/24"
 set address "Trust" "192.168.1.0/24" 192.168.1.0 255.255.224.0
 set group address "Trust" "Taiwan_LAN"
 set group address "Trust" "Taiwan_LAN" add "192.168.1.0/24"
 set interface tunnel.2 zone Untrust
 set interface tunnel.2 ip unnumbered interface ethernet0/0
 set ike gateway "Gateway for Malaysia_LAN" ip 71.70.69.68 outgoing-interface ethernet0/0 preshare "weithenn1234" sec-level standard
 set vpn "VPN for Malaysia_LAN" gateway "Gateway for Malaysia_LAN" replay sec-level standard
 set vpn "VPN for Malaysia_LAN" bind interface tunnel.2
 set vrouter trust-vr route 192.168.50.0/24 interface tunnel.2
 set policy top from "Trust" to "Untrust" "Taiwan_LAN" "Malaysia_LAN" "ANY" Permit log 
 set policy top from "Untrust" to "Trust" "Malaysia_LAN" "Taiwan_LAN" "ANY" Permit log 

遠端設定 (Malaysia)

 set address "Untrust" "192.168.1.0/24" 192.168.1.0 255.255.224.0
 set group address "Untrust" "Taiwan_LAN"
 set group address "Untrust" "Taiwan_LAN" add "192.168.1.0/24"
 set address "Trust" "192.168.50.0/24" 192.168.50.0 255.255.255.0
 set group address "Trust" "Malaysia_LAN"
 set group address "Trust" "Malaysia_LAN" add "192.168.50.0/24"
 set interface tunnel.2 zone "Untrust"
 set interface tunnel.2 ip unnumbered interface ethernet0/3
 set ike gateway "Gateway for Taiwan_LAN" address 61.60.59.58 outgoing-interface ethernet0/3 preshare "weithenn1234" sec-level standard
 set vpn "VPN for Taiwan_LAN" gateway "Gateway for Taiwan_LAN" replay sec-level standard
 set vpn "VPN for Taiwan_LAN" bind interface tunnel.2
 set vrouter trust-vr route 192.168.1.0/24 interface tunnel.2
 set policy top from "Trust" to "Untrust" "Malaysia_LAN" "Taiwan_LAN" "ANY" Permit log 
 set policy top from "Untrust" to "Trust" "Taiwan_LAN" "Malaysia_LAN" "ANY" Permit log

如何砍掉重練?

因為有些原因讓你想要把 VPN Tunnel 砍掉重練的話,您可以依照如下步驟把透過精靈模式建立的設定全部砍掉重練,若未依照下列的步驟刪除的話而想直接移除您應該會得到下列錯誤訊息

 this vpn has tunnel interface binding. please remove the binding first
  1. 移除 AutoKey IKE,首先要將 Tunnel Interface 改掉如此才不會被綁住 (使用中) 才可以順利移除
    1. 【VPNs】 >> 【AutoKey IKE】 >> 選擇該 VPN Tunnel 名稱【Edit】 >> 【Advanced】 >> Bind to 選擇到【None 】 之後即可順利移除
  2. 移除 AutoKey Gateway,上述步驟成功後此選項才有 Remove 選項可選
    1. 【VPNs】 >> 【AutoKey Advanced】 >> 【Gateway】 >> 【Remove】
  3. 移除相關 Policy,將精靈模式所建立的 Policy 刪除 (後續移除 IP List 時才不會被咬住)
    1. 【Policy】 >> 【Policies】 >> 選擇該 VPN Tunnel 相關 Policy >> 【Remove】
  4. 移除 VPN Tunnel Interface
    1. 【Network】 >> 【Interfaces】 >> 選擇該 VPN Tunnel 介面,例如【tunnel.2】 >> 【Remove】
  5. 移除相關 IP List、Group
    1. 【Policy】 >> 【Policy Elements】 >> 【Address】 >> 【List、Groups】移除相關的 IP List、Group

VPN Tunnel Link Off?

當建立好二端 VPN Tunnel 連接後 SA 狀態為 Inactive,待二邊互相通訊後即變成 Active 但另一個狀態 Link 始終為 Off? 原因為您未開啟 VPN Monitor 功能,啟動該功能即可步驟如下

 【VPNs】 >> 【AutoKey IKE】 >> 選擇該 VPN Tunnel 名稱【Edit】 >> 【Advanced】 >> 勾選【VPN Monitor】項目即可

參考

[概念與範例 ScreenOS 參考指南 第5 卷: 虛擬私人網路]

Me FAQ

Q.如何調整 VPN Tunnel 的 Metric 值?

Ans:

因為在建立 Site to Site VPN Tunnel 時沒有指定 Metric,但後來有需要調整此值的需求 (例如 調整二個 VPN Tunnel 的優先順序),但在 GUI 操作介面上是無法更改的,難道要把 VPN Tunnel 砍掉重練? 不用那麼麻煩!! 運用以下指令便可以達到調整 Metric 值的需求。

請先 telnet 至 Juniper 設備

 #set vrouter trust-vr                                   //切換到該 Zone 下
 #unset route 192.168.1.0/24 interface tunnel.2          //取消該 VPN Tunnel Interface
 #set route 192.168.1.0/24 interface tunnel.2 metric 11  //設定該 VPN Tunnel Interface 並指定 Metric 值
Go To Oddmuse OrgGo To FreeBSD OrgCreative Commons 2.5 Taiwansitestates.com