IBM Cloud Docs
Verbindung zu einem Juniper vSRX-Peer herstellen

Verbindung zu einem Juniper vSRX-Peer herstellen

Mit IBM Cloud VPN for VPC können Sie Ihre VPC über einen VPN-Tunnel sicher mit einem lokalen Netz zu verbinden. Dieser Abschnitt enthält eine Anleitung dazu, wie Sie Ihr Juniper-VPN-Gateway für die Verbindung zu VPN for VPC konfigurieren.

Wenn Juniper vSRX die Aktivierung von PFS (Perfect Forward Secrecy) in Phase 2 erfordert, müssen Sie eine angepasste IPsec-Richtlinie erstellen, um die Standardrichtlinie für das VPN in Ihrer VPC zu ersetzen. Weitere Informationen finden Sie unter Angepasste IPsec-Richtlinie für Juniper vSRX erstellen.

Diese Anweisungen basieren auf Juniper vSRX, JUNOS Software Release [23.2R1-S1 Standard 23.2.1.1].

Machen Sie sich mit den Einschränkungen für VPN-Gateways vertraut, bevor Sie eine Verbindung zu Ihrem lokalen Peer herstellen.

Wenn das Juniper-VPN eine Verbindungsanforderung von VPN for VPC empfängt, werden von Juniper die IPsec Phase 1-Parameter verwendet, um eine sichere Verbindung herzustellen und das VPN for VPC-Gateway zu authentifizieren. Wenn die Sicherheitsrichtlinie die Verbindung zulässt, richtet das Juniper-VPN den Tunnel unter Verwendung der IPsec Phase 2-Parameter ein und wendet die IPsec-Sicherheitsrichtlinie an. Schlüsselmanagement, Authentifizierung und Sicherheitsservices werden über das IKE-Protokoll dynamisch vereinbart.

Zur Unterstützung dieser Funktionen müssen Sie die folgenden Schritte auf der Juniper vSRX-Einheit ausführen:

  • Definieren Sie die Phase 1-Parameter, die das Juniper vSRX-VPN zum Authentifizieren des fernen Peers und zum Einrichten einer sicheren Verbindung benötigt.
  • Definieren Sie die Phase 2-Parameter, die das Juniper vSRX-VPN zum Erstellen eines VPN-Tunnels mit VPN for VPC benötigt.

Allgemeine Konfigurationsschritte sind wie folgt.

  1. Wählen Sie in Phase 1 IKEv2 aus.
  2. Legen Sie den richtlinienbasierten Modus fest.
  3. Aktivieren Sie DH-group 19 im Vorschlag für Phase 1.
  4. Legen Sie lifetime = 36000 im Vorschlag für Phase 1 fest.
  5. Aktivieren Sie PFS im Vorschlag für Phase 2.
  6. Legen Sie lifetime = 10800 im Vorschlag für Phase 2 fest.
  7. Geben Sie die Informationen für den Peer und das Teilnetz im Vorschlag für Phase 2 ein.
  8. Lassen Sie UDP 500-Datenverkehr an der externen Schnittstelle zu.

Richtlinienbasierte Konfiguration für Juniper vSRX

Im folgenden Beispiel wird das Einrichten der Sicherheit veranschaulicht.

  1. Konfigurieren Sie einen IKE-Vorschlag für ein richtlinienbasiertes VPN.

    set security ike proposal ibm-vpc-ike-proposal authentication-method pre-shared-keys
set security ike proposal ibm-vpc-ike-proposal dh-group group19
set security ike proposal ibm-vpc-ike-proposal authentication-algorithm sha-256
set security ike proposal ibm-vpc-ike-proposal encryption-algorithm aes-256-cbc
set security ike proposal ibm-vpc-ike-proposal lifetime-seconds 86400
set security ike policy ibm-vpc-ike-policy mode main
set security ike policy ibm-vpc-ike-policy proposals ibm-vpc-ike-proposal
set security ike policy ibm-vpc-ike-policy pre-shared-key ascii-text <your-psk>

  2. Konfigurieren Sie ein IKE-Gateway für ein richtlinienbasiertes VPN-Gateway.

    set security ike gateway ibm-vpc-policy-vpn-gateway ike-policy ibm-vpc-ike-policy
set security ike gateway ibm-vpc-policy-vpn-gateway address <VPN for VPC Gateway Public IP>
set security ike gateway ibm-vpc-policy-vpn-gateway dead-peer-detection interval 2
set security ike gateway ibm-vpc-policy-vpn-gateway dead-peer-detection threshold 3
set security ike gateway ibm-vpc-policy-vpn-gateway local-identity inet <vSRX Public IP>
set security ike gateway ibm-vpc-policy-vpn-gateway external-interface ae1.0
set security ike gateway ibm-vpc-policy-vpn-gateway version v2-only

  3. Konfigurieren Sie einen IPsec-Vorschlag für ein richtlinienbasiertes VPN.

    set security ipsec proposal ibm-vpc-ipsec-proposal protocol esp
set security ipsec proposal ibm-vpc-ipsec-proposal authentication-algorithm hmac-sha-256-128
set security ipsec proposal ibm-vpc-ipsec-proposal encryption-algorithm aes-256-cbc
set security ipsec proposal ibm-vpc-ipsec-proposal lifetime-seconds 3600
set security ipsec policy ibm-vpc-ipsec-policy perfect-forward-secrecy keys group19
set security ipsec policy ibm-vpc-ipsec-policy proposals ibm-vpc-ipsec-proposal

  4. Konfigurieren Sie eine VTI- und VPN-Verbindung zu einem richtlinienbasierten VPN-Gateway.

    set interfaces st0 unit 2 description Tunnel-to-IBM-VPC-POLICY-VPN-GATEWAY
set interfaces st0 unit 2 family inet

set security ipsec vpn ibm-vpc-policy-vpn-gateway-vpn bind-interface st0.2
set security ipsec vpn ibm-vpc-policy-vpn-gateway-vpn ike gateway ibm-vpc-policy-vpn-gateway
set security ipsec vpn ibm-vpc-policy-vpn-gateway-vpn ike ipsec-policy ibm-vpc-ipsec-policy
set security ipsec vpn ibm-vpc-policy-vpn-gateway-vpn traffic-selector pair1 local-ip <on-premise-subnet>
set security ipsec vpn ibm-vpc-policy-vpn-gateway-vpn traffic-selector pair1 remote-ip <vpc-subnet>
set security ipsec vpn ibm-vpc-policy-vpn-gateway-vpn establish-tunnels immediately

  5. Konfigurieren Sie eine Firewall auf der Steuerebene, um IKE/IPsec-Protokolldatenverkehr zuzulassen.

    set firewall filter PROTECT-IN term IPSec-IKE from source-address <VPN for VPC Gateway Public IP>/32
set firewall filter PROTECT-IN term IPSec-IKE from protocol udp
set firewall filter PROTECT-IN term IPSec-IKE from port 500
set firewall filter PROTECT-IN term IPSec-IKE then accept
set firewall filter PROTECT-IN term IPSec-ESP from source-address <VPN for VPC Gateway Public IP>/32
set firewall filter PROTECT-IN term IPSec-ESP from protocol esp
set firewall filter PROTECT-IN term IPSec-ESP then accept
set firewall filter PROTECT-IN term IPSec-4500 from source-address <VPN for VPC Gateway Public IP>/32
set firewall filter PROTECT-IN term IPSec-4500 from protocol udp
set firewall filter PROTECT-IN term IPSec-4500 from port 4500
set firewall filter PROTECT-IN term IPSec-4500 then accept

  6. Konfigurieren Sie eine Firewall auf der Datenebene, um Datenverkehr zwischen lokaler VPC und IBM VPC zuzulassen.

    set security zones security-zone vpn-zone interfaces st0.2
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn match source-address any
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn match destination-address any
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn match application any
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn then permit
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private match source-address any
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private match destination-address any
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private match application any
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private then permit

  7. Konfigurieren Sie das TCP-MSS-Clamping für vSRX, um unnötige Fragmentierung zu vermeiden.

    set security flow tcp-mss ipsec-vpn mss 1360

  8. Nachdem die Konfigurationsdatei ausgeführt wurde, können Sie den Verbindungsstatus über die Befehlszeilenschnittstelle mithilfe des folgenden Befehls überprüfen:

    run show security ipsec security-associations

Angepasste IPsec-Richtlinie für Juniper vSRX erstellen

Standardmäßig inaktiviert VPN for VPC PFS in Phase 2. Wenn Juniper vSRX erfordert, dass PFS in Phase 2 aktiviert ist, müssen Sie eine angepasste IPsec-Richtlinie erstellen, um die Standardrichtlinie für das VPN in Ihrer VPC zu ersetzen.

Gehen Sie wie folgt vor, um eine angepasste IPsec-Richtlinie in VPN for VPC zu verwenden:

  1. Wählen Sie auf der Seite VPN for VPC in der IBM Cloud-Konsoledie Indexzunge IPsec-Richtlinien aus.

  2. Klicken Sie auf Neue IPsec-Richtlinie und geben Sie die folgenden Werte an:

    • Wählen Sie für das Feld Authentifizierung die Option sha256 aus.
    • Wählen Sie für das Feld Verschlüsselung die Option aes256 aus.
    • Wählen Sie die Option PFS aus.
    • Wählen Sie für das Feld DH-Gruppe den Wert 19 aus.
    • Geben Sie für das Feld Schlüssellebenslebensdauer den Wert 3600 an.

  3. Wählen Sie beim Erstellen der VPN-Verbindung in Ihrer VPC diese angepasste IPsec-Richtlinie aus.

Routenbasierte Konfiguration für Juniper vSRX einrichten

Die folgende Konfiguration zeigt, wie Sie zwei routenbasierte Tunnel zwischen dem Juniper vSRX VPN und der VPN for VPC mithilfe einer gewichteten Vorgabe für zwei Tunnel festlegen.

Das VPN for VPC-Gateway sollte über eine Verbindung verfügen, bei der die Peeradresse die öffentliche IP von vSRX ist.

Das folgende Beispiel veranschaulicht, wie die vSRX-Konfiguration festgelegt wird.

  1. Konfigurieren Sie einen IKE-Vorschlag für ein routenbasiertes VPN:

    set security ike proposal ibm-vpc-ike-proposal authentication-method pre-shared-keys
set security ike proposal ibm-vpc-ike-proposal dh-group group19
set security ike proposal ibm-vpc-ike-proposal authentication-algorithm sha-256
set security ike proposal ibm-vpc-ike-proposal encryption-algorithm aes-256-cbc
set security ike proposal ibm-vpc-ike-proposal lifetime-seconds 86400
set security ike policy ibm-vpc-ike-policy mode main
set security ike policy ibm-vpc-ike-policy proposals ibm-vpc-ike-proposal
set security ike policy ibm-vpc-ike-policy pre-shared-key ascii-text <your-psk>

  2. Konfigurieren Sie ein IKE-Gateway zum primären Tunnel:

    set security ike gateway ibm-vpc-gateway-primary ike-policy ibm-vpc-ike-policy
set security ike gateway ibm-vpc-gateway-primary address <VPN for VPC Gateway Small Public IP>
set security ike gateway ibm-vpc-gateway-primary dead-peer-detection interval 2
set security ike gateway ibm-vpc-gateway-primary dead-peer-detection threshold 3
set security ike gateway ibm-vpc-gateway-primary local-identity inet <vSRX Public IP>
set security ike gateway ibm-vpc-gateway-primary external-interface ae1.0
set security ike gateway ibm-vpc-gateway-primary version v2-only

  3. Konfigurieren Sie einen IPsec-Vorschlag für ein routenbasiertes VPN:

    set security ipsec proposal ibm-vpc-ipsec-proposal protocol esp
set security ipsec proposal ibm-vpc-ipsec-proposal authentication-algorithm hmac-sha-256-128
set security ipsec proposal ibm-vpc-ipsec-proposal encryption-algorithm aes-256-cbc
set security ipsec proposal ibm-vpc-ipsec-proposal lifetime-seconds 3600
set security ipsec policy ibm-vpc-ipsec-policy perfect-forward-secrecy keys group19
set security ipsec policy ibm-vpc-ipsec-policy proposals ibm-vpc-ipsec-proposal

  4. Konfigurieren Sie eine VTI- und VPN-Verbindung zum primären VPN-Tunnel:

    Erstellen Sie die virtuelle Tunnelschnittstelle und konfigurieren Sie die Link-Local-Adresse (169.254.0.2/30) in der Schnittstelle. Achten Sie darauf, die lokale Verbindungsadresse auszuwählen, und stellen Sie sicher, dass sie sich nicht mit anderen Adressen auf dem Gerät überschneidet. Ein Teilnetz mit 30-Bit-Netzmaske enthält zwei verfügbare IP-Adressen (169.254.0.1 und 169.254.0.2). Die erste IP-Adresse (169.254.0.1) wird als VTI-Adresse des IBM VPN-Gateways verwendet, die zweite IP-Adresse (169.254.0.2) wird als VTI-Adresse für vSRX verwendet. Wenn Sie in vSRX über mehr als eine VTI verfügen, können Sie ein anderes Teilnetz für lokale Verbindungen auswählen (z. B. 169.254.0.4/30, 169.254.0.8/30 usw.).

    Sie müssen 169.254.0.1 nicht auf dem IBM VPN-Gateway konfigurieren. Sie wird nur referenziert, wenn Sie die Routen in vSRX konfigurieren.

    set interfaces st0 unit 2 multipoint
set interfaces st0 unit 2 family inet next-hop-tunnel 169.254.0.1 ipsec-vpn ibm-vpc-gateway-primary-vpn
set interfaces st0 unit 2 family inet address 169.254.0.2/30

set security ipsec vpn ibm-vpc-gateway-primary-vpn bind-interface st0.2
set security ipsec vpn ibm-vpc-gateway-primary-vpn ike gateway ibm-vpc-gateway-primary
set security ipsec vpn ibm-vpc-gateway-primary-vpn ike ipsec-policy ibm-vpc-ipsec-policy
set security ipsec vpn ibm-vpc-gateway-primary-vpn establish-tunnels immediately

  5. Konfigurieren Sie eine Route zum primären VPN-Tunnel:

    set routing-options static route <your-VPC-subnet> next-hop 169.254.0.1

  6. Konfigurieren Sie eine Firewall auf der Steuerebene, um IKE/IPsec-Protokolldatenverkehr für ein routenbasiertes VPN zuzulassen:

    set firewall filter PROTECT-IN term IPSec-IKE from source-address <VPN for VPC Gateway Small Public IP>/32
set firewall filter PROTECT-IN term IPSec-IKE from protocol udp
set firewall filter PROTECT-IN term IPSec-IKE from port 500
set firewall filter PROTECT-IN term IPSec-IKE then accept
set firewall filter PROTECT-IN term IPSec-ESP from source-address <VPN for VPC Gateway Small Public IP>/32
set firewall filter PROTECT-IN term IPSec-ESP from protocol esp
set firewall filter PROTECT-IN term IPSec-ESP then accept
set firewall filter PROTECT-IN term IPSec-4500 from source-address <VPN for VPC Gateway Small Public IP>/32
set firewall filter PROTECT-IN term IPSec-4500 from protocol udp
set firewall filter PROTECT-IN term IPSec-4500 from port 4500
set firewall filter PROTECT-IN term IPSec-4500 then accept

  7. Konfigurieren Sie eine Firewall auf der Datenebene, um Datenverkehr zwischen lokaler VPC und IBM VPC für ein routenbasiertes VPN zuzulassen:

    set security zones security-zone vpn-zone interfaces st0.2
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn match source-address any
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn match destination-address any
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn match application any
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn then permit
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private match source-address any
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private match destination-address any
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private match application any
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private then permit

  8. Konfigurieren Sie das TCP-MSS-Clamping für vSRX, um unnötige Fragmentierung für ein routenbasiertes VPN zu vermeiden:

    set security flow tcp-mss ipsec-vpn mss 1360

  9. Konfigurieren Sie ein IKE-Gateway zum sekundären Tunnel:

    set security ike gateway ibm-vpc-gateway-secondary ike-policy ibm-vpc-ike-policy
set security ike gateway ibm-vpc-gateway-secondary address <VPN for VPC Gateway Big Public IP>
set security ike gateway ibm-vpc-gateway-secondary dead-peer-detection interval 2
set security ike gateway ibm-vpc-gateway-secondary dead-peer-detection threshold 3
set security ike gateway ibm-vpc-gateway-secondary local-identity inet <vSRX Public IP>
set security ike gateway ibm-vpc-gateway-secondary external-interface ae1.0
set security ike gateway ibm-vpc-gateway-secondary version v2-only

  10. Konfigurieren Sie eine VTI- und VPN-Verbindung zum sekundären VPN-Tunnel:

    set interfaces st0 unit 3 multipoint
set interfaces st0 unit 3 family inet next-hop-tunnel 169.254.0.5 ipsec-vpn ibm-vpc-gateway-secondary-vpn
set interfaces st0 unit 3 family inet address 169.254.0.6/30

set security ipsec vpn ibm-vpc-gateway-secondary-vpn bind-interface st0.3

set security ipsec vpn ibm-vpc-gateway-secondary-vpn ike gateway ibm-vpc-gateway-secondary
set security ipsec vpn ibm-vpc-gateway-secondary-vpn ike ipsec-policy ibm-vpc-ipsec-policy
set security ipsec vpn ibm-vpc-gateway-secondary-vpn establish-tunnels immediately

  11. Konfigurieren Sie eine Firewall auf der Steuerebene, um IKE/IPsec-Protokolldatenverkehr vom sekundären Tunnel zuzulassen:

    set firewall filter PROTECT-IN term IPSec-IKE from source-address <VPN for VPC Gateway Big Public IP>/32
set firewall filter PROTECT-IN term IPSec-ESP from source-address <VPN for VPC Gateway Big Public IP>/32
set firewall filter PROTECT-IN term IPSec-4500 from source-address <VPN for VPC Gateway Big Public IP>/32

  12. Fügen Sie das VTI zu einer Sicherheitszone hinzu:

    set security zones security-zone vpn-zone interfaces st0.3

  13. Fügen Sie eine Route zum sekundären Tunnel hinzu:

    set routing-options static route <your-VPC-subnet> qualified-next-hop 169.254.0.5 preference 30

Überprüfung der Konfiguration

Führen Sie die folgenden Schritte aus, um die Konfigurationen zu überprüfen:

  1. Überprüfen Sie, ob IKE Phase 1 für beide Tunnel funktioniert: run show security ike sa

  2. Überprüfen Sie, ob IKE Phase 2 für beide Tunnel funktioniert: run show security ipsec sa

  3. Route anzeigen: run show route <static route>