背景:公司办公区的网关防火使用的是飞塔防火墙,公司IDC机房使用的juniper SSG550M防火墙,现在想在办公网和机房生产网中间创建一条ipsec vpn用于公司用户访问机房网络,公司网段为192.168.0.0/20,机房网段为10.10.0.0/21。


IPSEC介绍:ipsec-vpn也分路由模式和策略模式。我们这里分别介绍策略模式和路由模式。

俩者有哪些不同的地方呢?对俩者ipsec-vpn的实现原理过程解释:

①基于策略的IPsec ×××:通过防火墙策略将数据丢进×××隧道

②基于路由的IPsec ×××: 在防火墙上建立虚拟接口tunnel接口,设置到对端的数据丢进这个tunne接口中,再有IPsec ×××进行加密

俩者ipsec-vpn的区别:

基于策略的IPsce ×××可以再网关部署和透明部署的防火墙上建立,基于策略的IPsecvpn建立后,在×××隧道中仅能传输单播数据;

基于接口的IPsec ×××只能在网关模式下施工部署,不可以在透明模式下部署,相对于策略模式IPsec vpn优点在于:基于路由IPsecvpn可在×××隧道中传组播应用,如动态路由等协议。


策略模式×××配置步骤

一、飞塔防火墙配置

IKE第一阶段配置,基础配置也没有什么好讲的,上来配置好名称,对端公网ip地址,选择接口,模式,认证方式,秘钥等。

高级选项中有些选项是必须与对端一致的。重点需要注意以下几项:

  1. 阶段1中的加密算法和认证算法必须配置两端的防火墙一致。

  2. DH组必须一致(IKE DH (Diffie-Hellman) 组,秘钥交换算法。DH group 1 (768-bit)、DH group 2 (1024-bit)、DH group 5 (1536-bit))

  3. 秘钥周期必须一致

  4. NAT穿越开启(如果使用NAT的话,一定要开启这个功能)

以下选项也建议开启:

  1. DBD状态监测开启


juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_juniper

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_fortigate_02

IKE第二阶段配置,阶段2的加密算法和认证算法也必须和对端保持一致,DH组和秘钥周期也要配置一致。这里重点说一下快速模式选择器:

有关流量的匹配规则是在防火墙策略里配置的,为什么还需要在ipsec第二阶段里在定义一次网段信息呢??

原因是,可以配置多个阶段2对应一个阶段1。

①再有多个阶段2存在的情况下,用来识别和引导流量到合适的阶段2中

   》允许对不同的LAN设置不同颗粒的的SA,安全级别不同

   》×××流量如果不匹配选择器将被丢弃

②在点对点的vpn中,两端选择器的配置必须正好相反

   》其中一段的源IP必须是另一端的目的IP

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_juniper_03

配置防火墙策略:配置本地子网到对端子网的放行策略,策略动作选择ipsec vpn隧道(注:一定要把策略顺序放置好,最好是放在策略最上方)

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_fortigate_04

二、juniper防火墙配置

第一步:Web-UI管理界面中配置×××S→AutoKey Advanced→Gateway→New

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_fortigate_05

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_juniper_06

第二步:定义×××网关名称、定义“对端×××设备公网IP”为本地×××设备的网关地址,如下图所示:(IKE版本可选)

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_fortigate_07

第三步:在××× Gateway的高级(Advanced)部分,定义预共享密钥、定义相关的×××隧道协商加密算法、选择×××的发起模式,DPD检测最好勾选,模式选择野蛮模式 ,公网出口等。outgoing interface 选择公网出接口,如下图所示:

其中加密算法必须和对端的保持一致才行,加密中的g2代表是DH2。其中的加密认证等算法可以在P1 Proposal中定义。

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_juniper_08

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_fortigate_09

第四步:接着配置×××的AutoKey IKE:×××S→AutoKey IKE→New,如下图

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_fortigate_10

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_fortigate_11

第五步:设置××× name、Remote Gateway,如下图所示

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_juniper_12

第六步:在AutoKey IKE的高级(Advanced)部分定义了×××的加密算法(Security Level)

SencurityLevel:User Defined→Custom→Phase 2 Proposal→可以根据个人需要选择自定义(两端设备保持一致即可),配置proxy-ID,定义本地子网和远端子网,可选【如果同款型号或者同产商,这里无需添加proxyID】若跨产商,这里就填写,如下图所示:

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_juniper_13

注意:

    ××× Monitor:×××通道状态监测,不勾选的话×××s→Monitor Status不会显示已建立的×××通道。

    Optimized:×××通道健康检查,不勾选的话×××s→Monitor Status的Link栏位始终会显示为down状态(这个对策略模式没有影响,vpn正常使用;但如果使用的是路由模式vpn,则会影响tunnel接口的状态,tunnel接口在up大概一分钟后,就会down掉)。


第七步:建立××× Policy,trust-untrust、untrust-trust双向策略新建对应兴趣流量,勾选modify matching...选项可以同时生成反向的策略信息。另外需要调整vpn的策略顺序,最好将他们放在最上边。如下图所示


juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_fortigate_14

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_fortigate_15


第八步:在 ×××s > Monitor Status 界面下可以看到×××的状态(可以看到Link链路显示的状态是Down状态,但vpn的确是建立好了,并且可以互通,只当是个bug吧),如下图展示:

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_juniper_16

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_fortigate_17



--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------


路由模式×××配置步骤


环境:鲁谷机房防火墙为juniper 550(软件版本:6.2.0r5.0),内网网段为:10.10.0.0/21

Ucloud机房防火墙为fortigate 90D(软件版本:v5.0,build0228 ),内网网段:10.8.0.0/16

 

拓扑图:

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_fortigate_18

 

说明:因为fortigate 90D防火墙不支持策略模式的IPSec×××,所以需要配置路由模式

 

fortigate90D防火墙配置步骤:

 

一、创建第一阶段vpn策略:

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_juniper_19

 

二、创建第二阶段vpn策略:

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_fortigate_20

三、一二步骤完成后,会自动创建一个隧道接口

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_fortigate_21

四、创建地址对象

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_juniper_22

 

五、手动创建放行策略

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_juniper_23

 

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_juniper_24

 

六、手动创建路由

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_juniper_25

 

juniper 550防火墙配置步骤:

 

一、创建第一阶段vpn策略


 juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_juniper_26

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_fortigate_27

 

二、创建tunnel接口

Zone(VR):这个区域可以自行选择,选择哪个区域都可以,要与下方选择的Interface在相同zone内。如果是选择Trust区域,则不需要在配置策略了(因为在juniper中,默认同区域是可以互通的,可以更改默认设置)。

Interface:选择所选区域内存在的任何一个正常的接口。

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_fortigate_28

 

三、创建IKE

××× Monitor:×××通道状态监测,不勾选的话×××s→Monitor Status不会显示已建立的×××通道。

Optimized:×××通道健康检查,不勾选的话×××s→Monitor Status的Link栏位始终会显示为down状态(这个对策略模式没有影响,vpn正常使用;但如果使用的是路由模式vpn,则会影响tunnel接口的状态,tunnel接口在up大概一分钟后,就会down掉)。

 

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_fortigate_29

 juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_fortigate_30

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_juniper_31

 


四、创建路由

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN_juniper_32