Du route-based VPN sur Juniper SRX

Du route-based VPN sur Juniper SRX

Je sais cela va sembler technique pour certains, complètement inutile pour d’autre mais j’espère aussi pratique pour ceux comme moi qui ont à installer un VPN sur des Firewall Juniper SRX !

Pour ma part l’installation s’est faite sur du Juniper SRX210, le routeur de l’autre côté du tunnel est un Zywall5.

En fait on distingue deux types de VPN chez Juniper.

  • Le route-based qui va permettre de « router » le trafic à destination du réseau de l’autre côté du tunnel par une interface qui est attachée au tunnel.
  • Le policy-based qui va « matcher » le trafic à destination du réseau de l’autre côté du tunnel dans une policy qui sera chargé de faire le lien par le VPN.

Pour ma part j’ai opté pour le route-based.

Maintenant mettons nous en situation !

route-based_vpn
Cliquer pour agrandir

Voyons comment cela va se passer.
On commence par créer une zone dédiée au VPN.

set security zones security-zone vpn

On créer ensuite une entrée dans le carnet d’adresse de cette zone.

set security zones security-zone vpn address-book address remote-net 192.168.1.0/24

On créer l’interface qui va servir à router le trafic.

set interfaces st0 unit 0 family inet address 1.1.1.1/32

On créer la route pour le trafic à destination de 192.168.1.0/24 via st0.0.

set routing-options static route 192.168.1.0/24 next-hop st0.0

On affecte l’interface à la zone vpn.

set security zones security-zone vpn interface st0.0

Maintenant le VPN, on commence par la phase 1.
edit security ike
set policy ike mode main proposals standard pre-shared-key ascii-text IKEKEY
set gateway gw ike-policy ike address 10.0.0.2 no-nat-traversal local-identity inet 10.0.0.1
set gateway gw external-interface fe-0/0/0

Maintenant la phase 2.
top
edit security ipsec
set vpn to_z5 bind-interface st0.0
set vpn to-z5 ike gateway gw
set vpn to-z5 ike proxy-identity local 172.17.50.0/24 remote 192.168.1.0/24 service any
set vpn to-z5 ike ipsec-policy vpn-policy
set vpn to-z5 establish-tunnels immediately

Enfin la règle de firewall.
top
set security policies from-zone Trust to-zone vpn policy to_z5 match source-address local-net destination-address remote-net application any
set security policies from-zone Trust to-zone vpn policy to_z5 then permit
set security policies from-zone vpn to-zone Trust policy from_z5 match source-address remote-net destination-address local-net application any
set security policies from-zone vpn to-zone Trust policy from_z5 then permit
edit security policies from-zone Trust to-zone vpn
insert policy to_z5 before policy default
top
commit

0 Partages

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.