︿
Top

550M - Site to Site VPN 實作筆記

by Weithenn on 星期三, 8月 01, 2012

前言

本文為實作 Juniper SSG 550M UTM Site to Site VPN 設定方式,以及想要新建 Site to Site VPN 設定之前,要怎麼把先前的設定砍乾淨


下列為 Site to Site VPN 的設定流程:
  • 首先,登入二端 Juniper SSG 設備,並且備份二邊設備的設定檔,避免設定失敗又無法復進而影響原本運作。
  • 確認相關的 WAN、LAN Interface 及 Zone 名稱。
  • 建立遠端的 LAN IP 位址路徑為【Policy > Policy Elements > Addresses > List】。
  • 建立遠端的 LAN IP 群組 (多段 IP 位址) 路徑為 【Policy > Policy Elements > Addresses > Groups】, 將剛才建立的 IP List 加入此 Group 內。
  • 使用精靈模式建立 Site to Site VPN Tunnel ,切換路徑為 【Wizards > Route-based VPN】。
  • 建立完成後,到 Interface 去看 tunnel 介面狀態成功為 Ready (等待連接中...)。



本地端環境及網路資訊 (Taiwan)

此次的實作環境中本地端為 Taiwan,以下是 本地端 設備的網路資訊:
  • WAN (Untrust): 61.60.59.58 (ethernet0/0)
  • LAN (Trust): 192.168.1.0/24 (ethernet0/1)

此實作採用 CLI 模式操作,請依序鍵入如下指令進行設定: (若採用 GUI 則依照精靈互動式填入相關資訊即可!!)
set address "Untrust" "192.168.50.0/24" 192.168.50.0 255.255.255.0
set group address "Untrust" "Malaysia_LAN"
set group address "Untrust" "Malaysia_LAN" add "192.168.50.0/24"
set address "Trust" "192.168.1.0/24" 192.168.1.0 255.255.224.0
set group address "Trust" "Taiwan_LAN"
set group address "Trust" "Taiwan_LAN" add "192.168.1.0/24"
set interface tunnel.2 zone Untrust
set interface tunnel.2 ip unnumbered interface ethernet0/0
set ike gateway "Gateway for Malaysia_LAN" ip 71.70.69.68 outgoing-interface ethernet0/0 preshare "weithenn1234" sec-level standard
set vpn "VPN for Malaysia_LAN" gateway "Gateway for Malaysia_LAN" replay sec-level standard
set vpn "VPN for Malaysia_LAN" bind interface tunnel.2
set vrouter trust-vr route 192.168.50.0/24 interface tunnel.2
set policy top from "Trust" to "Untrust" "Taiwan_LAN" "Malaysia_LAN" "ANY" Permit log
set policy top from "Untrust" to "Trust" "Malaysia_LAN" "Taiwan_LAN" "ANY" Permit log



遠端環境及網路資訊 (Malaysia)

此次的實作環境中本地端為 Malaysia,以下是 遠端 設備的網路資訊:
  • WAN (Untrust): 71.70.69.68/28 (ethernet0/3)
  • LAN (Trust): 192.168.50.0/24 (ethernet0/0)

此實作採用 CLI 模式操作,請依序鍵入如下指令進行設定: (若採用 GUI 則依照精靈互動式填入相關資訊即可!!)
set address "Untrust" "192.168.1.0/24" 192.168.1.0 255.255.224.0
set group address "Untrust" "Taiwan_LAN"
set group address "Untrust" "Taiwan_LAN" add "192.168.1.0/24"
set address "Trust" "192.168.50.0/24" 192.168.50.0 255.255.255.0
set group address "Trust" "Malaysia_LAN"
set group address "Trust" "Malaysia_LAN" add "192.168.50.0/24"
set interface tunnel.2 zone "Untrust"
set interface tunnel.2 ip unnumbered interface ethernet0/3
set ike gateway "Gateway for Taiwan_LAN" address 61.60.59.58 outgoing-interface ethernet0/3 preshare "weithenn1234" sec-level standard
set vpn "VPN for Taiwan_LAN" gateway "Gateway for Taiwan_LAN" replay sec-level standard
set vpn "VPN for Taiwan_LAN" bind interface tunnel.2
set vrouter trust-vr route 192.168.1.0/24 interface tunnel.2
set policy top from "Trust" to "Untrust" "Malaysia_LAN" "Taiwan_LAN" "ANY" Permit log
set policy top from "Untrust" to "Trust" "Taiwan_LAN" "Malaysia_LAN" "ANY" Permit log



如何砍掉重練?

因為有些原因讓你想要把建立好的 VPN Tunnel 砍掉重練的話,您可以依照如下步驟透過精靈模式,把先前建立的設定全部砍掉重練,若未依照下列的步驟刪除的話而想直接移除時,您應該會得到下列錯誤訊息:
 this vpn has tunnel interface binding. please remove the binding first

1. 移除 AutoKey IKE

首先要將 Tunnel Interface 改掉如此才不會被綁住 (使用中) 也才能順利移除,請切換至【VPNs】 >> 【AutoKey IKE】 >> 選擇該 VPN Tunnel 名稱【Edit】 >> 【Advanced】 >> Bind to 選擇到【None 】 之後即可順利移除。

2. 移除 AutoKey Gateway

上述步驟成功後此選項才有 Remove 選項可選,請切換至【VPNs】 >> 【AutoKey Advanced】 >> 【Gateway】 >> 【Remove】。

3. 移除相關 Policy

將精靈模式所建立的 Policy 刪除 (後續移除 IP List 時才不會被咬住),請切換至【Policy】 >> 【Policies】 >> 選擇該 VPN Tunnel 相關 Policy >> 【Remove】。

4. 移除 VPN Tunnel Interface

請切換至【Network】 >> 【Interfaces】 >> 選擇該 VPN Tunnel 介面,例如【tunnel.2】 >> 【Remove】。

5. 移除相關 IP List、Group

請切換至【Policy】 >> 【Policy Elements】 >> 【Address】 >> 【List、Groups】移除相關的 IP List、Group。



VPN Tunnel Link Off?

當建立好二端 VPN Tunnel 連接後 SA 狀態為 Inactive,待二邊互相通訊後即變成 Active 但另一個狀態 Link 始終為 Off? 原因可能是您未開啟 VPN Monitor 功能所造成的,請依如下步驟即可啟動該功能。
 【VPNs】 >> 【AutoKey IKE】 >> 選擇該 VPN Tunnel 名稱【Edit】 >> 【Advanced】 >> 勾選【VPN Monitor】項目即可



參考




Me FAQ

Q. 如何調整 VPN Tunnel 的 Metric 值?

Ans:
因為在建立 Site to Site VPN Tunnel 時沒有指定 Metric,但後來有需要調整此值的需求 (例如 調整二個 VPN Tunnel 的優先順序),但在 GUI 操作介面上是無法更改的,難道要把 VPN Tunnel 砍掉重練? 不用那麼麻煩!! 運用以下指令便可以達到調整 Metric 值的需求。請先 telnet 至 Juniper 設備,然後依序鍵入如下指令即可:
# set vrouter trust-vr                                   //切換到該 Zone 下
# unset route 192.168.1.0/24 interface tunnel.2          //取消該 VPN Tunnel Interface
# set route 192.168.1.0/24 interface tunnel.2 metric 11  //設定該 VPN Tunnel Interface 並指定 Metric 值
文章標籤: