JUNOSでVPNクライアント

SRX100ですが、VPNで同時接続可能なライセンスが標準で2個ついてきます。このままこのライセンスを放置するのも、もったいないのでVPNクライアント環境を構築しました。
JUNOSでは、Junos Pulseという統合クライアントソフトを利用してIPSecでSRXとVPN接続します。Junos PulseはVPNクライアント以外に、WAN高速化やNAC機能があるようです。(SRXの場合VPNクライアントの機能しかなさそうでした。)

VPNクライアント構成

今回の構築した環境を図にしてみました。上の図は実際のネットワーク構成で、VPNクライアントが拠点ネットワークに存在しており、SRXとVPNトンネルを張って宅内LANに接続している状態を表しています。下の図ではVPNクライアントを中心にして、VPNクライアントから見えるネットワークだけに着目してイメージとして描きました。

vpn-cl02.jpg

JUNOSでのVPNクラアイアントの設定例

メーカのページを参照にコンフィグを作成しましたが、ルール名が小文字で書いてあるのでコマンドなのかポリシー名なのか判断がつかないため、ポリシー名は大文字にしました。
下記に作成したコンフィグを設定例として記載しています。設定自体はそこまで難しくありませんでしたが、悩んだ箇所を青文字で記載しています。

まず、「remote-protected-resources」ですが、対象のセグメントはVPNクライアントのルーティング情報として追加されるので、アクセス可能なセグメントを入れて下さい。次に「remote-exceptions」ですが、良く判りませんでした。。。exceptionは例外なので、特定のサーバへの通信をブロックするために使うんだと思います。最後に「primary-dns」ですが、宅内のDNSサーバを設定していますが、必須の設定項目ではないと思われます。


set security ike policy IKE-VPN mode aggressive
set security ike policy IKE-VPN proposal-set standard
set security ike policy IKE-VPN pre-shared-key ascii-text "$9$VxbYo5T3pu1jHQnCuEhvWLxNb"
set security ike gateway VPN-GW ike-policy IKE-VPN
set security ike gateway VPN-GW dynamic hostname SRX100H
set security ike gateway VPN-GW dynamic connections-limit 2
set security ike gateway VPN-GW dynamic ike-user-type group-ike-id
set security ike gateway VPN-GW external-interface pp0.0
set security ike gateway VPN-GW xauth access-profile VPN-ACCESS
set security ipsec policy IPSEC-VPN proposal-set standard
set security ipsec vpn VPN ike gateway VPN-GW
set security ipsec vpn VPN ike ipsec-policy IPSEC-VPN
 
set security dynamic-vpn access-profile VPN-ACCESS
set security dynamic-vpn clients all remote-protected-resources 192.168.40.0/24
set security dynamic-vpn clients all remote-exceptions 0.0.0.0/0
set security dynamic-vpn clients all ipsec-vpn VPN
set security dynamic-vpn clients all user test
 
set security nat proxy-arp interface vlan.40 address 192.168.60.1/32 to 192.168.60.10/32
 
set security policies from-zone WAN to-zone DMZ policy ID050 match source-address any
set security policies from-zone WAN to-zone DMZ policy ID050 match destination-address any
set security policies from-zone WAN to-zone DMZ policy ID050 match application any
set security policies from-zone WAN to-zone DMZ policy ID050 then permit tunnel ipsec-vpn VPN
set security policies from-zone WAN to-zone DMZ policy ID050 then log session-init
set security policies from-zone WAN to-zone DMZ policy ID050 then log session-close
 
set security zones security-zone WAN interfaces pp0.0 host-inbound-traffic system-services ping
set security zones security-zone WAN interfaces pp0.0 host-inbound-traffic system-services ike
set security zones security-zone WAN interfaces pp0.0 host-inbound-traffic system-services https
set security zones security-zone WAN interfaces pp0.0 host-inbound-traffic system-services ssh
 
set access profile VPN-ACCESS client test firewall-user password "$9$jQiqf0OReK8n/BEyKx7YgoJGi"
set access profile VPN-ACCESS address-assignment pool VPN-POOL
set access address-assignment pool VPN-POOL family inet network 192.168.60.0/24
set access address-assignment pool VPN-POOL family inet range POOL-RANGE low 192.168.60.1
set access address-assignment pool VPN-POOL family inet range POOL-RANGE high 192.168.60.10
set access address-assignment pool VPN-POOL family inet xauth-attributes primary-dns 192.168.40.2/32
set access firewall-authentication web-authentication default-profile VPN-ACCESS
 


VPN接続時のVPNクライアントの状態

VPN接続に必要な Junos Pulse はSRXにHTTPSでアクセスするとダウンロード出来ます。JunosPulseをインストールしたら設定したユーザとパスワードを入力すれば、VPN接続できます。

以下は、Junos Pulse でSRXとVPN接続した際のVPNクライアントのインターフェースとルーティング情報です。ディフォルトルートはそのままで、宅内ネットワークで許可したセグメント(192.168.40.0/24)だけがルーティングテーブルに乗ってきてます。DNSは実インターフェースと仮想インターフェースと両方見えますが、宅内のサーバを参照していました。

 
>ipconfig /all
Ethernet adapter Juniper Network Agent Virtual Adapter:
 
        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet - パケット スケジューラ ミニポート
        Physical Address. . . . . . . . . : 0F-33-45-FF-FF-80
        Dhcp Enabled. . . . . . . . . . . : Yes
        IP Address. . . . . . . . . . . . : 192.168.11.31
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.11.1
        DNS Servers . . . . . . . . . . . : 192.168.11.1
 
        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Juniper Networks Virtual Adapter - パケット スケジューラ ミニポート
        Physical Address. . . . . . . . . : 02-05-85-7F-EB-80
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.60.10
        Subnet Mask . . . . . . . . . . . : 255.255.255.255
        Default Gateway . . . . . . . . . :
        DNS Servers . . . . . . . . . . . : 192.168.40.2
        
 
>route print
================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x170003 ...00 1e 33 29 e3 32 ...... Broadcom NetXtreme Gigabit Ethernet - パケット スケジューラ ミニポート
0x170004 ...c0 f8 da 63 c5 8e ...... Atheros AR5B97 Wireless Network Adapter - パケット スケジューラ ミニポート
0x170005 ...02 05 85 7f eb 80 ...... Juniper Networks Virtual Adapter - パケットスケジューラ ミニポート
================================================
================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     192.168.11.1   192.168.11.31       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
     192.168.11.0    255.255.255.0    192.168.11.31   192.168.11.31       20
    192.168.11.31  255.255.255.255        127.0.0.1       127.0.0.1       20
   192.168.11.255  255.255.255.255    192.168.11.31   192.168.11.31       20
     192.168.40.0    255.255.255.0    192.168.60.10   192.168.60.10       1
    192.168.60.10  255.255.255.255        127.0.0.1       127.0.0.1       10
   192.168.60.255  255.255.255.255    192.168.60.10   192.168.60.10       10
        224.0.0.0        240.0.0.0    192.168.11.31   192.168.11.31       20
        224.0.0.0        240.0.0.0    192.168.60.10   192.168.60.10       10
  255.255.255.255  255.255.255.255    192.168.11.31          170003       1
  255.255.255.255  255.255.255.255    192.168.11.31   192.168.11.31       1
  255.255.255.255  255.255.255.255    192.168.60.10   192.168.60.10       1
Default Gateway:      192.168.11.1
===============================================
Persistent Routes:
  None
 

 

関連記事

人気記事のランキング

トラックバックURL

このエントリーのトラックバックURL:
http://or2.to/mt/mt-tb-mt.cgi/117

コメントする