Dead Packets

17/09/2010

VPN client-to-site – Policy mode

Filed under: juniper — drak @ 8:29 PM

Irei fazer uma série especial de VPNs, não explicarei conceitos apenas publicarei templates para vários tipos de VPNs em várias tecnologias, espero que ajude alguém.

Abaixo segue um procedimento completo de criação de VPN client-to-site por policy, onde a rede local é 192.168.20.0/24 e a rede do pool (que o host remoto recebe ao se conectar) é 192.168.10.0/24.

A template abaixo foi projetado para ser utilizada apenas selecionando os valores do começo que estão como variáveis e trocando seus valores por toda a configuração.

USER IKE 	= IKE_USER
USER VPN 	= vpn@customer.com
GRUPO IKE 	= grp_IKE_USER
POOL NAME 	= POOL_VPN
IP POOL BEG	= 192.168.10.1
IP POOL END	= 192.168.10.254
USER AUTH 	= joao@customer.com
USER PASS 	= P@ssw0rd
GRUPO AUTH 	= grp_AUTH_CLIENT
GATEWAY		= GW_DIAL_CUST
INTERFACE	= ethernet1/1
PRESHARE	= pr3sh4redkey
PROPOSAL P1	= pre-g2-3des-sha
VPN NAME	= VPN_DIAL_CUST

set user "IKE_USER" uid 1
set user "IKE_USER" ike-id u-fqdn "vpn@customer.com" share-limit 10
set user "IKE_USER" type ike
set user "IKE_USER" "enable"

set user-group "grp_IKE_USER" id 1
set user-group "grp_IKE_USER" user "IKE_USER"

set ippool "POOL_VPN" 192.168.10.1 192.168.10.254

set xauth default auth server "Local" chap

set user "joao@customer.com" uid 2
set user "joao@customer.com" type auth xauth
set user "joao@customer.com" remote ippool "POOL_VPN"
set user "joao@customer.com" password "P@ssw0rd"
set user "joao@customer.com" "enable"

set user-group "grp_AUTH_CLIENT" id 2
set user-group "grp_AUTH_CLIENT" user "joao@customer.com"

set ike gateway "GW_DIAL_CUST" dialup "grp_IKE_USER" Aggr outgoing-interface "ethernet1/1" preshare "pr3sh4redkey" proposal "pre-g2-3des-sha"
set ike gateway "GW_DIAL_CUST" nat-traversal udp-checksum
set ike gateway "GW_DIAL_CUST" nat-traversal keepalive-frequency 5
set ike gateway "GW_DIAL_CUST" xauth server "Local" user-group "grp_AUTH_CLIENT"
unset ike gateway "GW_DIAL_CUST" xauth do-edipi-auth

set vpn "VPN_DIAL_CUST" gateway "GW_DIAL_CUST" replay tunnel idletime 0 proposal "g2-esp-3des-sha"
set vpn "VPN_DIAL_CUST" proxy-id local-ip 0.0.0.0/0 remote-ip 255.255.255.255/32 "any"

set address "Trust" "192.168.120.22/32" 192.168.120.22 255.255.255.255

set policy from "Untrust" to "Trust" "Dial-Up VPN" "192.168.120.22/32" ANY tunnel vpn "VPN_DIAL_CUST" log

Referências
Juniper Forum
Configuring or Troubleshooting a Juniper Firewall VPN – NetScreen devices

Anúncios

Deixe um comentário »

Nenhum comentário ainda.

RSS feed for comments on this post. TrackBack URI

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Blog no WordPress.com.

%d blogueiros gostam disto: