我一直试图在Juniper SRX1400上build立客户端VPN,但没有取得太大的成功。 我从Juniper和其他地方find的所有文档,除了我想要做的简单事情以外,还做了很多其他(困难和奇妙的)事情。 我们已经有了一个运行在CISCO PIX硬件上的VPN,我们需要rest,我们非常想复制这个function,即:1)客户端向SRX1400的外部接口发出请求,2)客户端得到authentication, 3)如果成功,则客户端被分配所有常见的DHCP东西,并成为networking的一部分。 这个DHCP分配的networking拥有什么样的权限,当然可以使用通常的路由/过滤方法进行configuration。
对于这种事,我是否从SRX那里得到太多的要求? 我应该丢弃SRX的VPN,并恢复到我也有一段时间回来的OpenVPN解决scheme,并惊讶于configuration,function和function的简易性?
您正在寻找的function在瞻博networking中被称为Dynamic VPN ,您所指的型号(SRX1400)是数据中心级别上的首款高端型号,不支持Dynamic VPN。
从来没有你可以使用Sh a VPN客户端女巫是免费的。
这里是一个示例configuration使用侏儒10.4上的sh </s>
## Last changed: 2011-01-17 21:14:39 MST version 10.4R1.9; system { login { user admin { uid 2002; class super-user; } } services { ssh; telnet; web-management { http; } } syslog { user * { any emergency; } file messages { any notice; authorization info; } file traffic-log { any any; match RT_FLOW; } } } interfaces { ge-0/0/0 { unit 0 { family inet { address 10.4.4.1/24; } } } ge-0/0/1 { unit 0 { family inet { address 4.4.4.1/24; } } } fe-0/0/7 { unit 0 { family inet { address 192.168.180.39/24; } } } } security { ike { proposal RemoteVPNPolicy1 { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm md5; encryption-algorithm 3des-cbc; lifetime-seconds 86400; } policy RemoteVPNIKE { mode aggressive; proposals RemoteVPNPolicy1; pre-shared-key ascii-text "$9$ywMeMXVwgUjq7-jqmfn6revW7-"; # SECRET-DATA } policy t400-ike-policy { mode aggressive; proposals RemoteVPNPolicy1; pre-shared-key ascii-text "$9$IcPhyKX7V4aUM8aUjH5TRhSrM8"; # SECRET-DATA } inactive: gateway RemoteVPN { ike-policy RemoteVPNIKE; dynamic user-at-hostname "[email protected]"; external-interface ge-0/0/1.0; } gateway t400-ike-gw { ike-policy t400-ike-policy; dynamic { user-at-hostname "[email protected]"; connections-limit 50; ike-user-type shared-ike-id; } external-interface ge-0/0/1.0; xauth access-profile t400-access; } } ipsec { proposal RemoteVPNIPSec { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm 3des-cbc; } policy RemoteVPNIPSec { proposals RemoteVPNIPSec; } policy t400-ipsec-policy { proposals RemoteVPNIPSec; } inactive: vpn RemoteVPN { ike { gateway RemoteVPN; ipsec-policy RemoteVPNIPSec; } establish-tunnels on-traffic; } vpn t400-vpn { ike { gateway t400-ike-gw; ipsec-policy t400-ipsec-policy; } } } zones { security-zone corp { interfaces { fe-0/0/7.0 { host-inbound-traffic { system-services { all; } } } } } security-zone trust { address-book { address hq-net-10-4-4 10.4.4.0/24; } interfaces { ge-0/0/0.0 { host-inbound-traffic { system-services { all; } } } } } security-zone untrust { interfaces { ge-0/0/1.0 { host-inbound-traffic { system-services { all; } } } } } } policies { from-zone untrust to-zone trust { policy RemoteVPN { match { source-address any; destination-address hq-net-10-4-4; application any; } then { permit { tunnel { ipsec-vpn t400-vpn; } } log { session-init; session-close; } count; } } } } } access { address-pool t400-pool { address-range low 192.168.40.200 high 192.168.40.250 mask 55.255.255.0; primary-dns 10.4.4.75; } profile t400-access { authentication-order password; client joe { firewall-user { password "$9$K9QWX-YgJHqfVwqfTzCAvWLxVw"; ## SECRET-DATA } } address-assignment { pool t400-assign-pool; } } address-assignment { pool t400-assign-pool { family inet { network 192.168.40.0/24; range t400-range { low 192.168.40.101; high 192.168.40.149; } xauth-attributes { primary-dns 10.4.4.85/32; } } } } }