IBM Cloud Docs
Conexión de un igual de Juniper vSRX

Conexión de un igual de Juniper vSRX

Puede utilizar IBM Cloud VPN for VPC para conectar de forma segura el VPC a una red local a través de un túnel VPN. En este tema encontrará una orientación sobre cómo configurar la pasarela VPN de Juniper para conectarse con VPN for VPC.

Si Juniper vSRX requiere la activación de Perfect Forward Secrecy (PFS) en la fase 2, deberá crear una política IPsec personalizada para sustituir la política predeterminada para la VPN en su VPC. Para obtener más información, consulte Creación de una política de IPsec personalizada en VPN para Juniper vSRX.

Estas instrucciones se basan en Juniper vSRX, JUNOS Software Release [23.2R1-S1 Standard 23.2.1.1].

Lea Problemas conocidos de las pasarelas VPN antes de seguir conectándose a su homólogo local.

Cuando una VPN de Juniper recibe una solicitud de conexión de VPN for VPC, Juniper utiliza los parámetros de fase 1 de IPsec para establecer una conexión segura y autenticarse en la pasarela VPN for VPC. A continuación, si la política de seguridad permite la conexión, la VPN de Juniper establece el túnel utilizando los parámetros de fase 2 de IPsec y aplica la política de seguridad de IPsec. Los servicios de seguridad, autenticación y gestión de claves se negocian dinámicamente mediante el protocolo IKE.

Para dar soporte a estas funciones, debe hacer lo siguiente en la unidad Juniper vSRX:

  • Defina los parámetros de fase 1 que la VPN de Juniper vSRX necesita para autenticar el igual remoto y establecer una conexión segura.
  • Defina los parámetros de fase 2 que la VPN de Juniper vSRX necesita para crear un túnel VPN con VPN for VPC.

Los pasos generales de configuración son los siguientes.

  1. Elige IKEv2 en la Fase 1.
  2. Configure la modalidad basada en política.
  3. Habilitar DH-group 19 en la propuesta de la Fase 1.
  4. Establezca lifetime = 36000 en la propuesta de fase 1.
  5. Habilite PFS en la propuesta de fase 2.
  6. Establezca lifetime = 10800 en la propuesta de fase 2.
  7. Especifique la información de la subred y el igual en la propuesta de fase 2.
  8. Permita el tráfico UDP 500 en la interfaz externa.

Configuración basada en políticas para Juniper vSRX

A continuación, se muestra un ejemplo sobre cómo configurar la seguridad.

  1. Configure una propuesta IKE para una VPN basada en políticas.

    set security ike proposal ibm-vpc-ike-proposal authentication-method pre-shared-keys
set security ike proposal ibm-vpc-ike-proposal dh-group group19
set security ike proposal ibm-vpc-ike-proposal authentication-algorithm sha-256
set security ike proposal ibm-vpc-ike-proposal encryption-algorithm aes-256-cbc
set security ike proposal ibm-vpc-ike-proposal lifetime-seconds 86400
set security ike policy ibm-vpc-ike-policy mode main
set security ike policy ibm-vpc-ike-policy proposals ibm-vpc-ike-proposal
set security ike policy ibm-vpc-ike-policy pre-shared-key ascii-text <your-psk>

  2. Configure una pasarela IKE a una pasarela VPN basada en políticas.

    set security ike gateway ibm-vpc-policy-vpn-gateway ike-policy ibm-vpc-ike-policy
set security ike gateway ibm-vpc-policy-vpn-gateway address <VPN for VPC Gateway Public IP>
set security ike gateway ibm-vpc-policy-vpn-gateway dead-peer-detection interval 2
set security ike gateway ibm-vpc-policy-vpn-gateway dead-peer-detection threshold 3
set security ike gateway ibm-vpc-policy-vpn-gateway local-identity inet <vSRX Public IP>
set security ike gateway ibm-vpc-policy-vpn-gateway external-interface ae1.0
set security ike gateway ibm-vpc-policy-vpn-gateway version v2-only

  3. Configure una propuesta IPsec para una VPN basada en políticas.

    set security ipsec proposal ibm-vpc-ipsec-proposal protocol esp
set security ipsec proposal ibm-vpc-ipsec-proposal authentication-algorithm hmac-sha-256-128
set security ipsec proposal ibm-vpc-ipsec-proposal encryption-algorithm aes-256-cbc
set security ipsec proposal ibm-vpc-ipsec-proposal lifetime-seconds 3600
set security ipsec policy ibm-vpc-ipsec-policy perfect-forward-secrecy keys group19
set security ipsec policy ibm-vpc-ipsec-policy proposals ibm-vpc-ipsec-proposal

  4. Configure una conexión VTI y VPN con una pasarela VPN basada en políticas.

    set interfaces st0 unit 2 description Tunnel-to-IBM-VPC-POLICY-VPN-GATEWAY
set interfaces st0 unit 2 family inet

set security ipsec vpn ibm-vpc-policy-vpn-gateway-vpn bind-interface st0.2
set security ipsec vpn ibm-vpc-policy-vpn-gateway-vpn ike gateway ibm-vpc-policy-vpn-gateway
set security ipsec vpn ibm-vpc-policy-vpn-gateway-vpn ike ipsec-policy ibm-vpc-ipsec-policy
set security ipsec vpn ibm-vpc-policy-vpn-gateway-vpn traffic-selector pair1 local-ip <on-premise-subnet>
set security ipsec vpn ibm-vpc-policy-vpn-gateway-vpn traffic-selector pair1 remote-ip <vpc-subnet>
set security ipsec vpn ibm-vpc-policy-vpn-gateway-vpn establish-tunnels immediately

  5. Configure un cortafuegos de plano de control para permitir el tráfico de protocolo IKE/IPsec.

    set firewall filter PROTECT-IN term IPSec-IKE from source-address <VPN for VPC Gateway Public IP>/32
set firewall filter PROTECT-IN term IPSec-IKE from protocol udp
set firewall filter PROTECT-IN term IPSec-IKE from port 500
set firewall filter PROTECT-IN term IPSec-IKE then accept
set firewall filter PROTECT-IN term IPSec-ESP from source-address <VPN for VPC Gateway Public IP>/32
set firewall filter PROTECT-IN term IPSec-ESP from protocol esp
set firewall filter PROTECT-IN term IPSec-ESP then accept
set firewall filter PROTECT-IN term IPSec-4500 from source-address <VPN for VPC Gateway Public IP>/32
set firewall filter PROTECT-IN term IPSec-4500 from protocol udp
set firewall filter PROTECT-IN term IPSec-4500 from port 4500
set firewall filter PROTECT-IN term IPSec-4500 then accept

  6. Configure un cortafuegos de plano de datos para permitir el tráfico entre el entorno local e IBM VPC.

    set security zones security-zone vpn-zone interfaces st0.2
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn match source-address any
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn match destination-address any
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn match application any
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn then permit
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private match source-address any
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private match destination-address any
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private match application any
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private then permit

  7. Configure la sujeción MSS de TCP en vSRX para evitar una fragmentación innecesaria.

    set security flow tcp-mss ipsec-vpn mss 1360

  8. Cuando termine la ejecución del archivo de configuración, puede comprobar el estado de la conexión desde la CLI con el mandato siguiente:

    run show security ipsec security-associations

Creación de una política de IPsec personalizada para Juniper vSRX

De forma predeterminada, VPN for VPC inhabilita PFS en la fase 2. Si Juniper vSRX requiere la activación de PFS en la fase 2, deberá crear una política IPsec personalizada para sustituir la política predeterminada para la VPN en su VPC.

Para utilizar una política de IPsec personalizada en VPN for VPC siga estos pasos:

  1. En la página VPN for VPC de la consola IBM Cloud, seleccione la pestaña Políticas IPsec.

  2. Pulse Nueva política de IPsec y especifique los valores siguientes:

    • En el campo Autenticación, seleccione sha256.
    • Para el campo Cifrado, seleccione aes256.
    • Seleccione la opción PFS.
    • En el campo Grupo DH, seleccione 19.
    • En el campo Tiempo de vida de clave, especifique 3600.

  3. Cuando cree la conexión VPN en la VPC, seleccione esta política de IPsec personalizada.

Configuración de una configuración basada en ruta para Juniper vSRX

En la siguiente configuración se muestra cómo configurar dos túneles basados en ruta entre la VPN de Juniper vSRX y VPN for VPC utilizando una preferencia ponderada para dos túneles.

La pasarela de VPN for VPC debe tener una conexión en la que la dirección de igual sea la IP pública de vSRX.

Este es un ejemplo para establecer la configuración de vSRX.

  1. Configure una propuesta IKE para una VPN basada en ruta:

    set security ike proposal ibm-vpc-ike-proposal authentication-method pre-shared-keys
set security ike proposal ibm-vpc-ike-proposal dh-group group19
set security ike proposal ibm-vpc-ike-proposal authentication-algorithm sha-256
set security ike proposal ibm-vpc-ike-proposal encryption-algorithm aes-256-cbc
set security ike proposal ibm-vpc-ike-proposal lifetime-seconds 86400
set security ike policy ibm-vpc-ike-policy mode main
set security ike policy ibm-vpc-ike-policy proposals ibm-vpc-ike-proposal
set security ike policy ibm-vpc-ike-policy pre-shared-key ascii-text <your-psk>

  2. Configure una pasarela IKE en el túnel primario:

    set security ike gateway ibm-vpc-gateway-primary ike-policy ibm-vpc-ike-policy
set security ike gateway ibm-vpc-gateway-primary address <VPN for VPC Gateway Small Public IP>
set security ike gateway ibm-vpc-gateway-primary dead-peer-detection interval 2
set security ike gateway ibm-vpc-gateway-primary dead-peer-detection threshold 3
set security ike gateway ibm-vpc-gateway-primary local-identity inet <vSRX Public IP>
set security ike gateway ibm-vpc-gateway-primary external-interface ae1.0
set security ike gateway ibm-vpc-gateway-primary version v2-only

  3. Configure una propuesta de IPsec para una VPN basada en ruta:

    set security ipsec proposal ibm-vpc-ipsec-proposal protocol esp
set security ipsec proposal ibm-vpc-ipsec-proposal authentication-algorithm hmac-sha-256-128
set security ipsec proposal ibm-vpc-ipsec-proposal encryption-algorithm aes-256-cbc
set security ipsec proposal ibm-vpc-ipsec-proposal lifetime-seconds 3600
set security ipsec policy ibm-vpc-ipsec-policy perfect-forward-secrecy keys group19
set security ipsec policy ibm-vpc-ipsec-policy proposals ibm-vpc-ipsec-proposal

  4. Configure una conexión VTI y VPN con el túnel VPN primario:

    Cree la interfaz de túnel virtual y configure la dirección de enlace local (169.254.0.2/30) en la interfaz. Procure elegir la dirección de enlace local y asegúrese de que no se solape con otras direcciones del dispositivo. Hay dos direcciones IP disponibles (169.254.0.1 y 169.254.0.2) en una subred con una máscara de red de 30 bits. La primera dirección IP 169.254.0.1 se utiliza como dirección VTI de pasarela IBM VPN; la segunda, 169.254.0.2, se utiliza como dirección VTI de vSRX. Si tiene más de una VTI en vSRX, puede elegir otra subred local de enlace como, por ejemplo, 169.254.0.4/30, 169.254.0.8/30, etc.

    No es necesario configurar 169.254.0.1 en la pasarela de IBM VPN. Solo se referencia al configurar las rutas en vSRX.

    set interfaces st0 unit 2 multipoint
set interfaces st0 unit 2 family inet next-hop-tunnel 169.254.0.1 ipsec-vpn ibm-vpc-gateway-primary-vpn
set interfaces st0 unit 2 family inet address 169.254.0.2/30

set security ipsec vpn ibm-vpc-gateway-primary-vpn bind-interface st0.2
set security ipsec vpn ibm-vpc-gateway-primary-vpn ike gateway ibm-vpc-gateway-primary
set security ipsec vpn ibm-vpc-gateway-primary-vpn ike ipsec-policy ibm-vpc-ipsec-policy
set security ipsec vpn ibm-vpc-gateway-primary-vpn establish-tunnels immediately

  5. Configure una ruta al túnel VPN primario:

    set routing-options static route <your-VPC-subnet> next-hop 169.254.0.1

  6. Configure un cortafuegos de plano de control para permitir el tráfico de protocolo IKE/IPsec para una VPN basada en ruta:

    set firewall filter PROTECT-IN term IPSec-IKE from source-address <VPN for VPC Gateway Small Public IP>/32
set firewall filter PROTECT-IN term IPSec-IKE from protocol udp
set firewall filter PROTECT-IN term IPSec-IKE from port 500
set firewall filter PROTECT-IN term IPSec-IKE then accept
set firewall filter PROTECT-IN term IPSec-ESP from source-address <VPN for VPC Gateway Small Public IP>/32
set firewall filter PROTECT-IN term IPSec-ESP from protocol esp
set firewall filter PROTECT-IN term IPSec-ESP then accept
set firewall filter PROTECT-IN term IPSec-4500 from source-address <VPN for VPC Gateway Small Public IP>/32
set firewall filter PROTECT-IN term IPSec-4500 from protocol udp
set firewall filter PROTECT-IN term IPSec-4500 from port 4500
set firewall filter PROTECT-IN term IPSec-4500 then accept

  7. Configure un cortafuegos de plano de datos para permitir el tráfico entre el entorno local e IBM VPC para una VPN basada en ruta:

    set security zones security-zone vpn-zone interfaces st0.2
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn match source-address any
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn match destination-address any
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn match application any
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn then permit
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private match source-address any
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private match destination-address any
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private match application any
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private then permit

  8. Configure la sujeción MSS de TCP en vSRX para evitar una fragmentación innecesaria para una VPN basada en ruta:

    set security flow tcp-mss ipsec-vpn mss 1360

  9. Configure una pasarela IKE para el túnel secundario:

    set security ike gateway ibm-vpc-gateway-secondary ike-policy ibm-vpc-ike-policy
set security ike gateway ibm-vpc-gateway-secondary address <VPN for VPC Gateway Big Public IP>
set security ike gateway ibm-vpc-gateway-secondary dead-peer-detection interval 2
set security ike gateway ibm-vpc-gateway-secondary dead-peer-detection threshold 3
set security ike gateway ibm-vpc-gateway-secondary local-identity inet <vSRX Public IP>
set security ike gateway ibm-vpc-gateway-secondary external-interface ae1.0
set security ike gateway ibm-vpc-gateway-secondary version v2-only

  10. Configure una conexión VTI y VPN con el túnel VPN secundario:

    set interfaces st0 unit 3 multipoint
set interfaces st0 unit 3 family inet next-hop-tunnel 169.254.0.5 ipsec-vpn ibm-vpc-gateway-secondary-vpn
set interfaces st0 unit 3 family inet address 169.254.0.6/30

set security ipsec vpn ibm-vpc-gateway-secondary-vpn bind-interface st0.3

set security ipsec vpn ibm-vpc-gateway-secondary-vpn ike gateway ibm-vpc-gateway-secondary
set security ipsec vpn ibm-vpc-gateway-secondary-vpn ike ipsec-policy ibm-vpc-ipsec-policy
set security ipsec vpn ibm-vpc-gateway-secondary-vpn establish-tunnels immediately

  11. Configure un cortafuegos de plano de control para permitir el tráfico de protocolo IKE/IPsec desde el túnel secundario:

    set firewall filter PROTECT-IN term IPSec-IKE from source-address <VPN for VPC Gateway Big Public IP>/32
set firewall filter PROTECT-IN term IPSec-ESP from source-address <VPN for VPC Gateway Big Public IP>/32
set firewall filter PROTECT-IN term IPSec-4500 from source-address <VPN for VPC Gateway Big Public IP>/32

  12. Añada la VTI a una zona de seguridad:

    set security zones security-zone vpn-zone interfaces st0.3

  13. Añada una ruta al túnel secundario:

    set routing-options static route <your-VPC-subnet> qualified-next-hop 169.254.0.5 preference 30

Verificación de la configuración

Siga estos pasos para verificar la configuración:

  1. Compruebe que IKE fase 1 está funcionando en ambos túneles: run show security ike sa

  2. Compruebe que IKE fase 2 está funcionando en ambos túneles: run show security ipsec sa

  3. Muestre la ruta: run show route <static route>