рд▓рдХреНрд╖реНрдп
рдЖрдкрдХреЛ рджреЛ рдЙрдкрдХрд░рдгреЛрдВ рдХреЗ рдмреАрдЪ рд╡реАрдкреАрдПрди рд╕реБрд░рдВрдЧ рдХреЛ рд╡реНрдпрд╡рд╕реНрдерд┐рдд рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ, рдЬреИрд╕реЗ рдХрд┐ рдорд┐рдХрд░реЛрдЯрд┐рдХ рдФрд░ рдЬреБрдирд┐рдкрд░ рдПрд╕рдЖрд░рдПрдХреНрд╕ рд▓рд╛рдЗрдиред
рд╣рдорд╛рд░реЗ рдкрд╛рд╕ рдХреНрдпрд╛ рд╣реИ?
рдорд┐рдХрд░реЛрдЯрд┐рдХреНрд╕ рдореЗрдВ рд╕реЗ, рдЙрдиреНрд╣реЛрдВрдиреЗ рдорд┐рдХрд░реЛрдЯрд┐рдХ рд╡реЗрдмрд╕рд╛рдЗрдЯ рдкрд░ рдПрдХ рд╡рд┐рдХреА рдХреЛ рдЪреБрдирд╛, рдПрдХ рдореЙрдбрд▓ рдЬреЛ IPSec рд╣рд╛рд░реНрдбрд╡реЗрдпрд░ рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдХрд╛ рд╕рдорд░реНрдерди рдХрд░ рд╕рдХрддрд╛ рд╣реИ, рд╣рдорд╛рд░реА рд░рд╛рдп рдореЗрдВ рдпрд╣ рдХрд╛рдлреА рдХреЙрдореНрдкреИрдХреНрдЯ рдФрд░ рд╕рд╕реНрддреА рд╣реИ, рдЬрд┐рд╕рдХрд╛ рдирд╛рдо рд╣реИ рдорд┐рдХрд░реЛрдЯрд┐рдХ рдПрдЪрдИрдПрдХреНрд╕рдПрд╕ред
USB рдореЙрдбреЗрдо рдХреЛ рдирд┐рдХрдЯрддрдо рдореЛрдмрд╛рдЗрд▓ рдСрдкрд░реЗрдЯрд░ рдореЗрдВ рдЦрд░реАрджрд╛ рдЧрдпрд╛ рдерд╛, рдореЙрдбрд▓ рд╣реБрдЖрд╡реЗрдИ E3370 рдерд╛ред рд╣рдордиреЗ рдСрдкрд░реЗрдЯрд░ рдХреЛ рд╣рдЯрд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдХреЛрдИ рдХрд╛рд░реНрд░рд╡рд╛рдИ рдирд╣реАрдВ рдХреАред рд╕рдм рдХреБрдЫ рд╕реНрдЯрд╛рдл рджреНрд╡рд╛рд░рд╛ рд╕рдВрдЪрд╛рд▓рд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рдФрд░ рдСрдкрд░реЗрдЯрд░ рджреНрд╡рд╛рд░рд╛ рд╕реНрд╡рдпрдВ рдХреЛ рдлреНрд▓реИрд╢ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред
рдХреЛрд░ рдореЗрдВ рдПрдХ рдХреЗрдВрджреНрд░реАрдп рдЬреБрдирд┐рдкрд░ SRX240H рд░рд╛рдЙрдЯрд░ рд╣реИред
рдХреНрдпрд╛ рд╕рдлрд▓ рд╣реБрдЖ
рдПрдХ рдХрд╛рд░реНрдп рдпреЛрдЬрдирд╛ рдХреЛ рд▓рд╛рдЧреВ рдХрд░рдирд╛ рд╕рдВрднрд╡ рдерд╛, рдЬреЛ рдПрдХ рдореЛрдмрд╛рдЗрд▓ рдСрдкрд░реЗрдЯрд░ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ, рдПрдХ рд╕реНрдерд┐рд░ рдкрддреЗ рдХреЗ рдмрд┐рдирд╛, рдПрдХ IPsec рдХрдиреЗрдХреНрд╢рди рдмрдирд╛рдиреЗ рдХреЗ рд▓рд┐рдП рд╕рдВрднрд╡ рд╣реИ, рдЬрд┐рд╕рдореЗрдВ GRE рдЯрдирд▓ рдХреЛ рдореЙрдбреЗрдо рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд▓рдкреЗрдЯрд╛ рдЧрдпрд╛ рд╣реЛред
рдЗрд╕ рдХрдиреЗрдХреНрд╢рди рдпреЛрдЬрдирд╛ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рдФрд░ рдмреАрд▓рд╛рдЗрди рдФрд░ рдореЗрдЧрд╛рдлреЛрди рдпреВрдПрд╕рдмреА рдореЛрдбреЗрдо рдкрд░ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИред
рд╡рд┐рдиреНрдпрд╛рд╕ рдЗрд╕ рдкреНрд░рдХрд╛рд░ рд╣реИ:
рдХреЛрд░ рдиреЗ рдЬреБрдирд┐рдкрд░ SRX240H рд╕реНрдерд╛рдкрд┐рдд рдХрд┐рдпрд╛
рд╕реНрдерд╛рдиреАрдп рдкрддрд╛: 192.168.1.1/24
рдмрд╛рд╣рд░реА рдкрддрд╛: 1.1.1.1/30
GW: 1.1.1.2
рджреВрд░рд╕реНрде рдмрд┐рдВрджреБ
рдорд┐рдХрд░реЛрдЯрд┐рдХ рд╣реЗрдХреНрд╕ рдПрд╕
рд╕реНрдерд╛рдиреАрдп рдкрддрд╛: 192.168.152.1/24
рдмрд╛рд╣рд░реА рдкрддрд╛: рдЧрддрд┐рд╢реАрд▓
рдХрд╛рдо рдХреЛ рд╕рдордЭрдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ рдЫреЛрдЯрд╛ рдЪрд┐рддреНрд░:
рдЬреБрдирд┐рдкрд░ SRX240 рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди:
JUNOS рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ рд░рд┐рд▓реАрдЬрд╝ рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ рд╕рдВрд╕реНрдХрд░рдг [12.1X46-D82]
рдЬреБрдирд┐рдкрд░ рд╡рд┐рдиреНрдпрд╛рд╕interfaces { ge-0/0/0 { description Internet-1; unit 0 { family inet { address 1.1.1.1/30; } } } gr-0/0/0 { unit 1 { description GRE-Tunnel; tunnel { source 172.31.152.2; destination 172.31.152.1; } family inet; vlan { unit 0 { family inet { address 192.168.1.1/24; } } st0 { unit 5 { description "Area - 192.168.152.0/24"; family inet { mtu 1400; } } routing-options { static { route 0.0.0.0/0 next-hop 1.1.1.2; route 192.168.152.0/24 next-hop gr-0/0/0.1; route 172.31.152.0/30 next-hop st0.5; } router-id 192.168.1.1; } security { ike { traceoptions { file vpn.log size 256k files 5; flag all; } policy ike-gretunnel { mode aggressive; description area-192.168.152.0; proposal-set standard; pre-shared-key ascii-text "mysecret"; ## SECRET-DATA } gateway gw-gretunnel { ike-policy ike-gretunnel; dynamic inet 172.31.152.1; external-interface ge-0/0/0.0; version v2-only; } ipsec { } policy vpn-policy0 { perfect-forward-secrecy { keys group2; } proposal-set standard; } vpn vpn-gretunnel { bind-interface st0.5; df-bit copy; vpn-monitor { optimized; source-interface st0.5; destination-ip 172.31.152.1; } ike { gateway gw-gretunnel; no-anti-replay; ipsec-policy vpn-policy0; install-interval 10; } establish-tunnels immediately; } } policies { from-zone vpn to-zone vpn { policy st-vpn-vpn { match { source-address any; destination-address any; application any; } then { permit; log { session-init; session-close; } count; } } } from-zone trust to-zone vpn { policy st-trust-to-vpn { match { source-address any; destination-address any; application any; } then { permit; log { session-init; session-close; } count; } } } from-zone vpn to-zone trust { policy st-vpn-to-trust { match { source-address any; destination-address any; application any; } then { permit; log { session-init; session-close; } count; } } } zones { security-zone trust { vlan.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } security-zone vpn { interfaces { st0.5 { host-inbound-traffic { protocols { ospf; } } } gr-0/0/0.1 { host-inbound-traffic { system-services { all; } protocols { all; } } } security-zone untrust { interfaces { ge-0/0/0.0 { host-inbound-traffic { system-services { ping; ssh; ike; } } } } } vlans { vlan-local { vlan-id 5; l3-interface vlan.1; }
рдорд┐рдХрд░реЛрдЯрд┐рдХ рд╣реЗрдХреНрд╕ рдПрд╕ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди:
рд░рд╛рдЙрдЯрд░рдУрдПрд╕ рд╕реЙрдлреНрдЯрд╡реЗрдпрд░ рд╕рдВрд╕реНрдХрд░рдг [рем.рекрек.рей]
рдорд┐рдХрд░реЛрдЯрд┐рдХ рд╡рд┐рдиреНрдпрд╛рд╕ /ip address add address=172.31.152.1/24 comment=GRE-Tunnel interface=gre-srx network=172.31.152.0 add address=192.168.152.1/24 comment=Local-Area interface=bridge network=192.168.152.0 /interface gre add comment=GRE-Tunnel-SRX-HQ !keepalive local-address=172.31.152.1 name=gre-srx remote-address=172.31.152.2 /ip ipsec policy group add name=srx-gre /ip ipsec profile add dh-group=modp1024 dpd-interval=10s name=profile1 /ip ipsec peer add address=1.1.1.1/32 comment=GRE-SRX exchange-mode=aggressive local-address=172.31.152.1 name=peer2 profile=profile1 /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc,3des add enc-algorithms=aes-128-cbc,3des name=proposal1 /ip route add distance=10 dst-address=192.168.0.0/16 gateway=gre-srx /ip ipsec identity add comment=IPSec-GRE my-id=address:172.31.152.1 peer=peer2 policy-template-group=srx-gre secret=mysecret /ip ipsec policy set 0 disabled=yes add dst-address=0.0.0.0/0 proposal=proposal1 sa-dst-address=1.1.1.1 sa-src-address=172.31.152.1 src-address=172.31.152.0/30 tunnel=yes /ip address add address=172.31.152.1/24 comment=GRE-Tunnel interface=gre-srx network=172.31.152.0 add address=192.168.152.1/24 comment=Local-Area interface=bridge network=192.168.152.0
рдкрд░рд┐рдгрд╛рдо:
рдЬреБрдирд┐рдкрд░ рдПрд╕рдЖрд░рдПрдХреНрд╕ рджреНрд╡рд╛рд░рд╛
netscreen@srx240> ping 192.168.152.1 PING 192.168.152.1 (192.168.152.1): 56 data bytes 64 bytes from 192.168.152.1: icmp_seq=0 ttl=64 time=29.290 ms 64 bytes from 192.168.152.1: icmp_seq=1 ttl=64 time=28.126 ms 64 bytes from 192.168.152.1: icmp_seq=2 ttl=64 time=26.775 ms 64 bytes from 192.168.152.1: icmp_seq=3 ttl=64 time=25.401 ms ^C --- 192.168.152.1 ping statistics --- 4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max/stddev = 25.401/27.398/29.290/1.457 ms
рдорд┐рдХрд░реЛрдЯрд┐рдХ рд╕реЗ
net[admin@GW-LTE-] > ping 192.168.1.1 SEQ HOST SIZE TTL TIME STATUS 0 192.168.1.1 56 64 34ms 1 192.168.1.1 56 64 40ms 2 192.168.1.1 56 64 37ms 3 192.168.1.1 56 64 40ms 4 192.168.1.1 56 64 51ms sent=5 received=5 packet-loss=0% min-rtt=34ms avg-rtt=40ms max-rtt=51ms
рдирд┐рд╖реНрдХрд░реНрд╖
рдХрд┐рдП рдЧрдП рдХрд╛рд░реНрдп рдХреЗ рдмрд╛рдж, рдореНрдпреВ рдХреЛ рдПрдХ рд╕реНрдерд┐рд░ рд╡реАрдкреАрдПрди рдЯрдирд▓ рдкреНрд░рд╛рдкреНрдд рд╣реБрдЖ, рд░рд┐рдореЛрдЯ рдиреЗрдЯрд╡рд░реНрдХ рд╕реЗ рд╣рдо рдЬреБрдирд┐рдкрд░ рдХреЗ рдкреАрдЫреЗ рд╕реНрдерд┐рдд рдкреВрд░реЗ рдиреЗрдЯрд╡рд░реНрдХ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдФрд░ рддрджрдиреБрд╕рд╛рд░ рд╡рд╛рдкрд╕ред
рдореИрдВ рдЗрд╕ рдпреЛрдЬрдирд╛ рдореЗрдВ IKE2 рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреА рдЕрдиреБрд╢рдВрд╕рд╛ рдирд╣реАрдВ рдХрд░рддрд╛, рдПрдХ рд╕реНрдерд┐рддрд┐ рдкреИрджрд╛ рд╣реБрдИ рдХрд┐ рдПрдХ рдбрд┐рд╡рд╛рдЗрд╕ рдХреЛ рд░рд┐рдмреВрдЯ рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж IPSec рдирд╣реАрдВ рдЙрдарддрд╛ рд╣реИред