hướng dẫn cấu hình vpn site to site trên thiết bị tường lửa của juniper

Thực hiện cấu hình

Cấu hình ROUTE

HEAD
set routing-options static route 17.16.1.0/24 next-hop st0.0

BRANCH
set routing-options static route 10.1.1.0/24 next-hop st0.0
Cấu hình tunnel interface 

HEAD
root@HEAD# set interfaces st0.0 family inet address 192.168.0.1/30

Branch
root@BRANCH# set interfaces st0.0 family inet address 192.168.0.2/30

Cấu hình ZONES INTERFACES ( config trên cả 2)

set security zones security-zone VPN host-inbound-traffic system-services all
set security zones security-zone VPN host-inbound-traffic protocols all
set security zones security-zone VPN interfaces st0.0
Cấu hình POLICY INTERFACES ( config trên cả 2 )

set security policies default-policy permit-all

Cấu hình IKE proposal và IKE policy ( config trên cả 2 )

set security ike proposal OUR-IKE-PROPOSAL authentication-method pre-shared-keys
set security ike proposal OUR-IKE-PROPOSAL dh-group group5
set security ike proposal OUR-IKE-PROPOSAL authentication-algorithm sha-256
set security ike proposal OUR-IKE-PROPOSAL encryption-algorithm 3des-cbc
set security ike proposal OUR-IKE-PROPOSAL lifetime-seconds 86400

set security ike policy OUR-IKE-POLICY mode main
set security ike policy OUR-IKE-POLICY proposals OUR-IKE-PROPOSAL
set security ike policy OUR-IKE-POLICY pre-shared-key ascii-text 123@123a

Cấu hình SECURITY

HEAD
set security ike gateway OUR-IKE-GATEWAY ike-policy OUR-IKE-POLICY
set security ike gateway OUR-IKE-GATEWAY address 2.2.2.2
set security ike gateway OUR-IKE-GATEWAY external-interface ge-0/0/0.0

BRANCH
set security ike gateway OUR-IKE-GATEWAY ike-policy OUR-IKE-POLICY
set security ike gateway OUR-IKE-GATEWAY address 1.1.1.2
set security ike gateway OUR-IKE-GATEWAY external-interface ge-0/0/0.0

Proposal (trên cả 2):
set security ipsec proposal OUR-IPSEC-PROPOSAL protocol esp
set security ipsec proposal OUR-IPSEC-PROPOSAL authentication-algorithm hmac-sha1-96
set security ipsec proposal OUR-IPSEC-PROPOSAL encryption-algorithm 3des-cbc
set security ipsec proposal OUR-IPSEC-PROPOSAL lifetime-seconds 28800

Policy (trên cả 2):
set security ipsec policy OUR-IPSEC-POLICY proposals OUR-IPSEC-PROPOSAL
set security ipsec vpn OUR-VPN bind-interface st0.0
set security ipsec vpn OUR-VPN ike gateway OUR-IKE-GATEWAY
set security ipsec vpn OUR-VPN ike ipsec-policy OUR-IPSEC-POLICY
set security ipsec vpn OUR-VPN establish-tunnels immediately

Kiểm tra lại kết quả

Kiểm tra lại kết quả bằng việc sử dụng lệnh PING C:\>ping 172.16.1.10 để kiểm tra hoặc có thể show bằng các câu lệnh :

show security ike security-associations
show security ipsec security-associations

Lời Kết

Trên đây là hướng dẫn cấu hình IPSec VPN dựa trên định tuyến Site-to-Site trên Juniper SRX. Nếu có bất cứ khó khăn nào trong việc cấu hình có thể để lại bình luận dưới phần comment để được hỗ trợ hoặc có thể liên hệ trực tiếp với chúng tôi để được hỗ trợ.