IBM Cloud Docs
Connexion d'un homologue Juniper vSRX

Connexion d'un homologue Juniper vSRX

Vous pouvez utiliser IBM Cloud VPN for VPC pour connecter en toute sécurité votre VPC à un réseau sur site via un tunnel VPN. Cette rubrique explique comment configurer votre passerelle VPN Juniper pour la connexion à VPN for VPC.

Si Juniper vSRX exige que Perfect Forward Secrecy (PFS) soit activé dans la phase 2, vous devez créer une politique IPsec personnalisée pour remplacer la politique par défaut pour le VPN dans votre VPC. Pour plus d'informations, voir Création d'une stratégie IPsec personnalisée pour Juniper vSRX.

Ces instructions sont basées sur la version du logiciel Juniper vSRX, JUNOS [23.2R1-S1 Standard 23.2.1.1].

Lisez les problèmes connus pour les passerelles VPN avant de continuer à vous connecter à votre homologue sur site.

Lorsque le VPN Juniper reçoit une demande de connexion depuis VPN for VPC, Juniper utilise les paramètres IPsec de phase 1 pour établir une connexion sécurisée et authentifier la passerelle VPN for VPC. Ensuite, si la stratégie de sécurité autorise la connexion, le VPN Juniper établit le tunnel en utilisant les paramètres IPsec de phase 2 et applique la stratégie de sécurité IPsec. Les services de gestion de clés, d'authentification et de sécurité sont négociés de manière dynamique via le protocole IKE.

Pour prendre en charge ces fonctions, vous devez effectuer les actions suivantes sur l'unité Juniper vSRX :

  • La définition des paramètres de phase 1 requis par le VPN Juniper vSRX nécessite d'authentifier l'homologue distant et d'établir une connexion sécurisée.
  • La définition des paramètres de phase 2 requis par le VPN Juniper vSRX nécessite de créer un tunnel VPN avec VPN for VPC.

Les étapes de configuration générales sont les suivantes :

  1. Choisissez IKEv2 dans la phase 1.
  2. Configurez un mode basé sur des stratégies.
  3. Permettre le site DH-group 19 dans la proposition de la phase 1.
  4. Définissez lifetime = 36000 dans la proposition de phase 1.
  5. Activez PFS dans la proposition de phase 2.
  6. Définissez lifetime = 10800 dans la proposition de phase 2.
  7. Entrez vos informations d'homologue et de sous-réseau dans la proposition de phase 2.
  8. Autorisez le trafic UDP 500 sur l'interface externe.

Configuration basée sur les stratégies pour Juniper vSRX

Voici un exemple de configuration de la sécurité.

  1. Configurez une proposition IKE pour un VPN basé sur des stratégies.

    set security ike proposal ibm-vpc-ike-proposal authentication-method pre-shared-keys
set security ike proposal ibm-vpc-ike-proposal dh-group group19
set security ike proposal ibm-vpc-ike-proposal authentication-algorithm sha-256
set security ike proposal ibm-vpc-ike-proposal encryption-algorithm aes-256-cbc
set security ike proposal ibm-vpc-ike-proposal lifetime-seconds 86400
set security ike policy ibm-vpc-ike-policy mode main
set security ike policy ibm-vpc-ike-policy proposals ibm-vpc-ike-proposal
set security ike policy ibm-vpc-ike-policy pre-shared-key ascii-text <your-psk>

  2. Configurez une passerelle IKE sur une passerelle VPN basée sur des stratégies.

    set security ike gateway ibm-vpc-policy-vpn-gateway ike-policy ibm-vpc-ike-policy
set security ike gateway ibm-vpc-policy-vpn-gateway address <VPN for VPC Gateway Public IP>
set security ike gateway ibm-vpc-policy-vpn-gateway dead-peer-detection interval 2
set security ike gateway ibm-vpc-policy-vpn-gateway dead-peer-detection threshold 3
set security ike gateway ibm-vpc-policy-vpn-gateway local-identity inet <vSRX Public IP>
set security ike gateway ibm-vpc-policy-vpn-gateway external-interface ae1.0
set security ike gateway ibm-vpc-policy-vpn-gateway version v2-only

  3. Configurez une proposition IPsec pour un VPN basé sur des stratégies.

    set security ipsec proposal ibm-vpc-ipsec-proposal protocol esp
set security ipsec proposal ibm-vpc-ipsec-proposal authentication-algorithm hmac-sha-256-128
set security ipsec proposal ibm-vpc-ipsec-proposal encryption-algorithm aes-256-cbc
set security ipsec proposal ibm-vpc-ipsec-proposal lifetime-seconds 3600
set security ipsec policy ibm-vpc-ipsec-policy perfect-forward-secrecy keys group19
set security ipsec policy ibm-vpc-ipsec-policy proposals ibm-vpc-ipsec-proposal

  4. Configurez une connexion VTI et VPN à une passerelle VPN basée sur des stratégies.

    set interfaces st0 unit 2 description Tunnel-to-IBM-VPC-POLICY-VPN-GATEWAY
set interfaces st0 unit 2 family inet

set security ipsec vpn ibm-vpc-policy-vpn-gateway-vpn bind-interface st0.2
set security ipsec vpn ibm-vpc-policy-vpn-gateway-vpn ike gateway ibm-vpc-policy-vpn-gateway
set security ipsec vpn ibm-vpc-policy-vpn-gateway-vpn ike ipsec-policy ibm-vpc-ipsec-policy
set security ipsec vpn ibm-vpc-policy-vpn-gateway-vpn traffic-selector pair1 local-ip <on-premise-subnet>
set security ipsec vpn ibm-vpc-policy-vpn-gateway-vpn traffic-selector pair1 remote-ip <vpc-subnet>
set security ipsec vpn ibm-vpc-policy-vpn-gateway-vpn establish-tunnels immediately

  5. Configurez un pare-feu de plan de contrôle pour autoriser le trafic du protocole IKE/IPsec.

    set firewall filter PROTECT-IN term IPSec-IKE from source-address <VPN for VPC Gateway Public IP>/32
set firewall filter PROTECT-IN term IPSec-IKE from protocol udp
set firewall filter PROTECT-IN term IPSec-IKE from port 500
set firewall filter PROTECT-IN term IPSec-IKE then accept
set firewall filter PROTECT-IN term IPSec-ESP from source-address <VPN for VPC Gateway Public IP>/32
set firewall filter PROTECT-IN term IPSec-ESP from protocol esp
set firewall filter PROTECT-IN term IPSec-ESP then accept
set firewall filter PROTECT-IN term IPSec-4500 from source-address <VPN for VPC Gateway Public IP>/32
set firewall filter PROTECT-IN term IPSec-4500 from protocol udp
set firewall filter PROTECT-IN term IPSec-4500 from port 4500
set firewall filter PROTECT-IN term IPSec-4500 then accept

  6. Configurez un pare-feu de plan de données pour permettre le trafic entre les réseaux sur site et IBM VPC.

    set security zones security-zone vpn-zone interfaces st0.2
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn match source-address any
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn match destination-address any
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn match application any
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn then permit
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private match source-address any
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private match destination-address any
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private match application any
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private then permit

  7. Configurez l'ajustement TCP MSS sur vSRX afin d'éviter une fragmentation inutile.

    set security flow tcp-mss ipsec-vpn mss 1360

  8. Une fois l'exécution du fichier de configuration terminée, vous pouvez vérifier le statut de la connexion depuis l'interface de ligne de commande, avec la commande suivante :

    run show security ipsec security-associations

Création d'une stratégie IPsec personnalisée pour Juniper vSRX

Par défaut, VPN for VPC désactive PFS dans la phase 2. Si Juniper vSRX exige que PFS soit activé dans la phase 2, vous devez créer une politique IPsec personnalisée pour remplacer la politique par défaut pour le VPN dans votre VPC.

Pour utiliser une stratégie IPsec personnalisée dans VPN for VPC, procédez comme suit :

  1. Sur la page VPN for VPC de la console IBM Cloud, sélectionnez l'onglet IPsec policies.

  2. Cliquez sur Nouvelle stratégie IPsec et spécifiez les valeurs suivantes :

    • Pour la zone Authentification, sélectionnez sha256.
    • Pour la zone Chiffrement, sélectionnez aes256.
    • Sélectionnez l'option PFS.
    • Pour la zone Groupe DH, sélectionnez 19.
    • Dans la zone Durée de vie de la clé, indiquez 3600.

  3. Quand vous créez la connexion VPN dans votre VPC, sélectionnez cette stratégie IPsec personnalisée.

Configuration basée sur des routes pour Juniper vSRX

La configuration ci-après montre comment configurer deux tunnels basés sur des routes entre le VPN Juniper vSRX VPN for VPC en utilisant une préférence pondérée pour les deux tunnels.

La passerelle VPN for VPC doit disposer d'une connexion dans laquelle l'adresse homologue est l'adresse IP publique vSRX.

Voici un exemple de configuration vSRX.

  1. Configurez une proposition IKE pour un VPN basé sur des routes :

    set security ike proposal ibm-vpc-ike-proposal authentication-method pre-shared-keys
set security ike proposal ibm-vpc-ike-proposal dh-group group19
set security ike proposal ibm-vpc-ike-proposal authentication-algorithm sha-256
set security ike proposal ibm-vpc-ike-proposal encryption-algorithm aes-256-cbc
set security ike proposal ibm-vpc-ike-proposal lifetime-seconds 86400
set security ike policy ibm-vpc-ike-policy mode main
set security ike policy ibm-vpc-ike-policy proposals ibm-vpc-ike-proposal
set security ike policy ibm-vpc-ike-policy pre-shared-key ascii-text <your-psk>

  2. Configurez une passerelle IKE sur le tunnel principal :

    set security ike gateway ibm-vpc-gateway-primary ike-policy ibm-vpc-ike-policy
set security ike gateway ibm-vpc-gateway-primary address <VPN for VPC Gateway Small Public IP>
set security ike gateway ibm-vpc-gateway-primary dead-peer-detection interval 2
set security ike gateway ibm-vpc-gateway-primary dead-peer-detection threshold 3
set security ike gateway ibm-vpc-gateway-primary local-identity inet <vSRX Public IP>
set security ike gateway ibm-vpc-gateway-primary external-interface ae1.0
set security ike gateway ibm-vpc-gateway-primary version v2-only

  3. Configurez une proposition IPsec pour un VPN basé sur des routes :

    set security ipsec proposal ibm-vpc-ipsec-proposal protocol esp
set security ipsec proposal ibm-vpc-ipsec-proposal authentication-algorithm hmac-sha-256-128
set security ipsec proposal ibm-vpc-ipsec-proposal encryption-algorithm aes-256-cbc
set security ipsec proposal ibm-vpc-ipsec-proposal lifetime-seconds 3600
set security ipsec policy ibm-vpc-ipsec-policy perfect-forward-secrecy keys group19
set security ipsec policy ibm-vpc-ipsec-policy proposals ibm-vpc-ipsec-proposal

  4. Configurez une connexion VTI et VPN au tunnel VPN principal :

    Créez l'interface de tunnel virtuel et configurez l'adresse locale de liaison (169.254.0.2/30) sur l'interface. Veillez à choisir l'adresse locale de liaison et assurez-vous qu'elle ne se chevauchent pas avec d'autres adresses sur le périphérique. Il existe deux adresses IP disponibles (169.254.0.1 et 169.254.0.2) dans un sous-réseau avec un masque de réseau de 30 bits. La première adresse IP 169.254.0.1 est utilisée comme adresse VTI de la passerelle IBM VPN ; la seconde, 169.254.0.2, est utilisée comme adresse VTI vSRX. Si vous avez plusieurs VTI sur vSRX, vous pouvez choisir un autre sous-réseau local de liaison, tel que 169.254.0.4/30, 169.254.0.8/30, etc.

    Il n'est pas nécessaire de configurer 169.254.0.1 sur la passerelle IBM VPN. Il est référencé uniquement lorsque vous configurez les routes sur vSRX.

    set interfaces st0 unit 2 multipoint
set interfaces st0 unit 2 family inet next-hop-tunnel 169.254.0.1 ipsec-vpn ibm-vpc-gateway-primary-vpn
set interfaces st0 unit 2 family inet address 169.254.0.2/30

set security ipsec vpn ibm-vpc-gateway-primary-vpn bind-interface st0.2
set security ipsec vpn ibm-vpc-gateway-primary-vpn ike gateway ibm-vpc-gateway-primary
set security ipsec vpn ibm-vpc-gateway-primary-vpn ike ipsec-policy ibm-vpc-ipsec-policy
set security ipsec vpn ibm-vpc-gateway-primary-vpn establish-tunnels immediately

  5. Configurez une route vers le tunnel VPN principal :

    set routing-options static route <your-VPC-subnet> next-hop 169.254.0.1

  6. Configurez un pare-feu de plan de contrôle pour autoriser le trafic de protocole IKE/IPsec pour un VPN basé sur des routes :

    set firewall filter PROTECT-IN term IPSec-IKE from source-address <VPN for VPC Gateway Small Public IP>/32
set firewall filter PROTECT-IN term IPSec-IKE from protocol udp
set firewall filter PROTECT-IN term IPSec-IKE from port 500
set firewall filter PROTECT-IN term IPSec-IKE then accept
set firewall filter PROTECT-IN term IPSec-ESP from source-address <VPN for VPC Gateway Small Public IP>/32
set firewall filter PROTECT-IN term IPSec-ESP from protocol esp
set firewall filter PROTECT-IN term IPSec-ESP then accept
set firewall filter PROTECT-IN term IPSec-4500 from source-address <VPN for VPC Gateway Small Public IP>/32
set firewall filter PROTECT-IN term IPSec-4500 from protocol udp
set firewall filter PROTECT-IN term IPSec-4500 from port 4500
set firewall filter PROTECT-IN term IPSec-4500 then accept

  7. Configurez un pare-feu de plan de données pour autoriser le trafic entre les réseaux sur site et IBM VPC pour un VPN basé sur des routes :

    set security zones security-zone vpn-zone interfaces st0.2
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn match source-address any
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn match destination-address any
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn match application any
set security policies from-zone SL-PRIVATE to-zone vpn-zone policy private_to_vpn then permit
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private match source-address any
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private match destination-address any
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private match application any
set security policies from-zone vpn-zone to-zone SL-PRIVATE policy vpn_to_private then permit

  8. Configurez l'ajustement TCP MSS sur vSRX pour éviter une fragmentation inutile pour un VPN basé sur des routes :

    set security flow tcp-mss ipsec-vpn mss 1360

  9. Configurez une passerelle IKE sur le tunnel secondaire :

    set security ike gateway ibm-vpc-gateway-secondary ike-policy ibm-vpc-ike-policy
set security ike gateway ibm-vpc-gateway-secondary address <VPN for VPC Gateway Big Public IP>
set security ike gateway ibm-vpc-gateway-secondary dead-peer-detection interval 2
set security ike gateway ibm-vpc-gateway-secondary dead-peer-detection threshold 3
set security ike gateway ibm-vpc-gateway-secondary local-identity inet <vSRX Public IP>
set security ike gateway ibm-vpc-gateway-secondary external-interface ae1.0
set security ike gateway ibm-vpc-gateway-secondary version v2-only

  10. Configurez une connexion VTI et VPN au tunnel VPN secondaire :

    set interfaces st0 unit 3 multipoint
set interfaces st0 unit 3 family inet next-hop-tunnel 169.254.0.5 ipsec-vpn ibm-vpc-gateway-secondary-vpn
set interfaces st0 unit 3 family inet address 169.254.0.6/30

set security ipsec vpn ibm-vpc-gateway-secondary-vpn bind-interface st0.3

set security ipsec vpn ibm-vpc-gateway-secondary-vpn ike gateway ibm-vpc-gateway-secondary
set security ipsec vpn ibm-vpc-gateway-secondary-vpn ike ipsec-policy ibm-vpc-ipsec-policy
set security ipsec vpn ibm-vpc-gateway-secondary-vpn establish-tunnels immediately

  11. Configurez un pare-feu de plan de contrôle pour autoriser le trafic de protocole IKE/IPsec depuis le tunnel secondaire :

    set firewall filter PROTECT-IN term IPSec-IKE from source-address <VPN for VPC Gateway Big Public IP>/32
set firewall filter PROTECT-IN term IPSec-ESP from source-address <VPN for VPC Gateway Big Public IP>/32
set firewall filter PROTECT-IN term IPSec-4500 from source-address <VPN for VPC Gateway Big Public IP>/32

  12. Ajoutez l'interface VTI dans une zone de sécurité :

    set security zones security-zone vpn-zone interfaces st0.3

  13. Ajoutez une route au tunnel secondaire :

    set routing-options static route <your-VPC-subnet> qualified-next-hop 169.254.0.5 preference 30

Vérification de la configuration

Procédez comme suit pour vérifier la configuration :

  1. Vérifiez que IKE Phase 1 fonctionne pour les deux tunnels : run show security ike sa

  2. Vérifiez que IKE Phase 2 fonctionne pour les deux tunnels : run show security ipsec sa

  3. Afficher la route : run show route <static route>