Zweck
Sie müssen einen VPN-Tunnel zwischen zwei Geräten organisieren, z. B. der SRX-Leitung von Mikrotik und Juniper.
Was haben wir?
Von den Mikrotiks wählten sie die Wiki Mikrotik-Website, ein Modell, das die IPSec-Hardwareverschlüsselung unterstützen kann. Unserer Meinung nach erwies es sich als recht kompakt und kostengünstig, nämlich Mikrotik hEXS.
Das USB-Modem wurde beim nächstgelegenen Mobilfunkbetreiber gekauft, das Modell war Huawei E3370. Wir haben keine Operationen durchgeführt, um den Bediener zu lösen. Alles wird vom Bediener selbst besetzt und geflasht.
Im Kern befindet sich ein zentraler Juniper SRX240H-Router.
Was ist gelungen?
Es war möglich, ein Arbeitsschema zu implementieren, mit dem über einen Mobilfunkbetreiber ohne statische Adresse eine IPSec-Verbindung hergestellt werden kann, in die der GRE-Tunnel mit einem Modem eingebunden wird.
Dieses Verbindungsschema wird verwendet und funktioniert auf Beeline- und Megafon-USB-Modems.
Die Konfiguration ist wie folgt:
Der Kern installierte Juniper SRX240H
Lokale Adresse: 192.168.1.1/24
Externe Adresse: 1.1.1.1/30
GW: 1.1.1.2
Remote-Punkt
Mikrotik hEX S.
Lokale Adresse: 192.168.152.1/24
Externe Adresse: Dynamisch
Ein kleines Diagramm zum Verständnis der Arbeit:
Juniper SRX240 Konfiguration:
JUNOS Software Release Software Version [12.1X46-D82]
Juniper-Konfigurationinterfaces { ge-0/0/0 { description Internet-1; unit 0 { family inet { address 1.1.1.1/30; } } } gr-0/0/0 { unit 1 { description GRE-Tunnel; tunnel { source 172.31.152.2; destination 172.31.152.1; } family inet; vlan { unit 0 { family inet { address 192.168.1.1/24; } } st0 { unit 5 { description "Area - 192.168.152.0/24"; family inet { mtu 1400; } } routing-options { static { route 0.0.0.0/0 next-hop 1.1.1.2; route 192.168.152.0/24 next-hop gr-0/0/0.1; route 172.31.152.0/30 next-hop st0.5; } router-id 192.168.1.1; } security { ike { traceoptions { file vpn.log size 256k files 5; flag all; } policy ike-gretunnel { mode aggressive; description area-192.168.152.0; proposal-set standard; pre-shared-key ascii-text "mysecret"; ## SECRET-DATA } gateway gw-gretunnel { ike-policy ike-gretunnel; dynamic inet 172.31.152.1; external-interface ge-0/0/0.0; version v2-only; } ipsec { } policy vpn-policy0 { perfect-forward-secrecy { keys group2; } proposal-set standard; } vpn vpn-gretunnel { bind-interface st0.5; df-bit copy; vpn-monitor { optimized; source-interface st0.5; destination-ip 172.31.152.1; } ike { gateway gw-gretunnel; no-anti-replay; ipsec-policy vpn-policy0; install-interval 10; } establish-tunnels immediately; } } policies { from-zone vpn to-zone vpn { policy st-vpn-vpn { match { source-address any; destination-address any; application any; } then { permit; log { session-init; session-close; } count; } } } from-zone trust to-zone vpn { policy st-trust-to-vpn { match { source-address any; destination-address any; application any; } then { permit; log { session-init; session-close; } count; } } } from-zone vpn to-zone trust { policy st-vpn-to-trust { match { source-address any; destination-address any; application any; } then { permit; log { session-init; session-close; } count; } } } zones { security-zone trust { vlan.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } security-zone vpn { interfaces { st0.5 { host-inbound-traffic { protocols { ospf; } } } gr-0/0/0.1 { host-inbound-traffic { system-services { all; } protocols { all; } } } security-zone untrust { interfaces { ge-0/0/0.0 { host-inbound-traffic { system-services { ping; ssh; ike; } } } } } vlans { vlan-local { vlan-id 5; l3-interface vlan.1; }
Mikrotik hEX S Konfiguration:
RouterOS-Softwareversion [6.44.3]
Mikrotik-Konfiguration /ip address add address=172.31.152.1/24 comment=GRE-Tunnel interface=gre-srx network=172.31.152.0 add address=192.168.152.1/24 comment=Local-Area interface=bridge network=192.168.152.0 /interface gre add comment=GRE-Tunnel-SRX-HQ !keepalive local-address=172.31.152.1 name=gre-srx remote-address=172.31.152.2 /ip ipsec policy group add name=srx-gre /ip ipsec profile add dh-group=modp1024 dpd-interval=10s name=profile1 /ip ipsec peer add address=1.1.1.1/32 comment=GRE-SRX exchange-mode=aggressive local-address=172.31.152.1 name=peer2 profile=profile1 /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc,3des add enc-algorithms=aes-128-cbc,3des name=proposal1 /ip route add distance=10 dst-address=192.168.0.0/16 gateway=gre-srx /ip ipsec identity add comment=IPSec-GRE my-id=address:172.31.152.1 peer=peer2 policy-template-group=srx-gre secret=mysecret /ip ipsec policy set 0 disabled=yes add dst-address=0.0.0.0/0 proposal=proposal1 sa-dst-address=1.1.1.1 sa-src-address=172.31.152.1 src-address=172.31.152.0/30 tunnel=yes /ip address add address=172.31.152.1/24 comment=GRE-Tunnel interface=gre-srx network=172.31.152.0 add address=192.168.152.1/24 comment=Local-Area interface=bridge network=192.168.152.0
Ergebnis:
Von Juniper SRX
netscreen@srx240> ping 192.168.152.1 PING 192.168.152.1 (192.168.152.1): 56 data bytes 64 bytes from 192.168.152.1: icmp_seq=0 ttl=64 time=29.290 ms 64 bytes from 192.168.152.1: icmp_seq=1 ttl=64 time=28.126 ms 64 bytes from 192.168.152.1: icmp_seq=2 ttl=64 time=26.775 ms 64 bytes from 192.168.152.1: icmp_seq=3 ttl=64 time=25.401 ms ^C --- 192.168.152.1 ping statistics --- 4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max/stddev = 25.401/27.398/29.290/1.457 ms
Von Mikrotik
net[admin@GW-LTE-] > ping 192.168.1.1 SEQ HOST SIZE TTL TIME STATUS 0 192.168.1.1 56 64 34ms 1 192.168.1.1 56 64 40ms 2 192.168.1.1 56 64 37ms 3 192.168.1.1 56 64 40ms 4 192.168.1.1 56 64 51ms sent=5 received=5 packet-loss=0% min-rtt=34ms avg-rtt=40ms max-rtt=51ms
Schlussfolgerungen
Nach getaner Arbeit erhielt der Mu einen stabilen VPN-Tunnel. Über das entfernte Netzwerk können wir auf das gesamte Netzwerk zugreifen, das sich hinter dem Wacholder befindet, und dementsprechend zurück.
Ich empfehle nicht, IKE2 in diesem Schema zu verwenden. Es trat die Situation auf, dass IPSec nach dem Neustart eines Geräts nicht ansteigt.