Je sais cela va sembler technique pour certains, complètement inutile pour d’autre mais j’espère aussi pratique pour ceux comme moi qui ont à installer un VPN sur des Firewall Juniper SRX ! Pour ma part l’installation s’est faite sur du Juniper SRX210, le routeur de l’autre côté du tunnel est un Zywall5. En fait on distingue deux types de VPN chez Juniper.
- Le route-based qui va permettre de “router” le trafic à destination du réseau de l’autre côté du tunnel par une interface qui est attachée au tunnel.
- Le policy-based qui va “matcher” le trafic à destination du réseau de l’autre côté du tunnel dans une policy qui sera chargé de faire le lien par le VPN.
Pour ma part j’ai opté pour le route-based. Maintenant mettons nous en situation ! [caption id=“attachment_515” align=“aligncenter” width=“300” caption=“Cliquer pour agrandir”]
◎ route-based_vpn[/caption]
Voyons comment cela va se passer. On commence par créer une zone dédiée au VPN. set security zones security-zone vpn On créer ensuite une entrée dans le carnet d’adresse de cette zone. set security zones security-zone vpn address-book address remote-net 192.168.1.0/24 On créer l’interface qui va servir à router le trafic. set interfaces st0 unit 0 family inet address 1.1.1.1/32 On créer la route pour le trafic à destination de 192.168.1.0/24 via st0.0. set routing-options static route 192.168.1.0/24 next-hop st0.0 On affecte l’interface à la zone vpn. set security zones security-zone vpn interface st0.0 Maintenant le VPN, on commence par la phase 1. edit security ike set policy ike mode main proposals standard pre-shared-key ascii-text IKEKEY set gateway gw ike-policy ike address 10.0.0.2 no-nat-traversal local-identity inet 10.0.0.1 set gateway gw external-interface fe-0/0/0 Maintenant la phase 2. top edit security ipsec set vpn to_z5 bind-interface st0.0 set vpn to-z5 ike gateway gw set vpn to-z5 ike proxy-identity local 172.17.50.0/24 remote 192.168.1.0/24 service any set vpn to-z5 ike ipsec-policy vpn-policy set vpn to-z5 establish-tunnels immediately Enfin la règle de firewall. top set security policies from-zone Trust to-zone vpn policy to_z5 match source-address local-net destination-address remote-net application any set security policies from-zone Trust to-zone vpn policy to_z5 then permit set security policies from-zone vpn to-zone Trust policy from_z5 match source-address remote-net destination-address local-net application any set security policies from-zone vpn to-zone Trust policy from_z5 then permit edit security policies from-zone Trust to-zone vpn insert policy to_z5 before policy default top commit