Du route-based VPN sur Juniper SRX
Je sais cela va sembler technique pour certains, complètement inutile pour d’autre mais j’espère aussi pratique pour ceux comme moi qui ont à installer un VPN sur des Firewall Juniper SRX !
Pour ma part l’installation s’est faite sur du Juniper SRX210, le routeur de l’autre côté du tunnel est un Zywall5.
En fait on distingue deux types de VPN chez Juniper.
- Le route-based qui va permettre de « router » le trafic à destination du réseau de l’autre côté du tunnel par une interface qui est attachée au tunnel.
- Le policy-based qui va « matcher » le trafic à destination du réseau de l’autre côté du tunnel dans une policy qui sera chargé de faire le lien par le VPN.
Pour ma part j’ai opté pour le route-based.
Maintenant mettons nous en situation !

Voyons comment cela va se passer.
On commence par créer une zone dédiée au VPN.
set security zones security-zone vpn
On créer ensuite une entrée dans le carnet d’adresse de cette zone.
set security zones security-zone vpn address-book address remote-net 192.168.1.0/24
On créer l’interface qui va servir à router le trafic.
set interfaces st0 unit 0 family inet address 1.1.1.1/32
On créer la route pour le trafic à destination de 192.168.1.0/24 via st0.0.
set routing-options static route 192.168.1.0/24 next-hop st0.0
On affecte l’interface à la zone vpn.
set security zones security-zone vpn interface st0.0
Maintenant le VPN, on commence par la phase 1.
edit security ike
set policy ike mode main proposals standard pre-shared-key ascii-text IKEKEY
set gateway gw ike-policy ike address 10.0.0.2 no-nat-traversal local-identity inet 10.0.0.1
set gateway gw external-interface fe-0/0/0
Maintenant la phase 2.
top
edit security ipsec
set vpn to_z5 bind-interface st0.0
set vpn to-z5 ike gateway gw
set vpn to-z5 ike proxy-identity local 172.17.50.0/24 remote 192.168.1.0/24 service any
set vpn to-z5 ike ipsec-policy vpn-policy
set vpn to-z5 establish-tunnels immediately
Enfin la règle de firewall.
top
set security policies from-zone Trust to-zone vpn policy to_z5 match source-address local-net destination-address remote-net application any
set security policies from-zone Trust to-zone vpn policy to_z5 then permit
set security policies from-zone vpn to-zone Trust policy from_z5 match source-address remote-net destination-address local-net application any
set security policies from-zone vpn to-zone Trust policy from_z5 then permit
edit security policies from-zone Trust to-zone vpn
insert policy to_z5 before policy default
top
commit