Juniper (SSG)에 클라이언트 VPN (shrew)을 사용하여 연결

SSG5는 PC에서 클라이언트 VPN으로 연결하고 싶다는 요구 사항이 있으며 무료 도구 shrew를 사용하여 연결했습니다. 설정 파라미터가 많아, 여러가지 참았으므로 메모를 남겨 둡니다.

1.shrew 다운로드

다운로드는 이쪽의 링크로부터. 옛날에는 MAC판도 있었지만, 현재는 Windows와 Linux판만이 되어 있었습니다.
htps //w w. sh레 w. 네 t/두w 응아 d/

2.VPN 구성

외부에서 사무실의 서버에 액세스 할 수 있으면 좋으므로 간단한 구성입니다.



아니
용도
Private Segment
게이트웨이
주석


1
VPN 연결 IPPool
172.16.1.100 - 200/24
172.16.1.1
User용

2
사무실 네트워크
172.16.2.0/24
172.16.2.1
office용

3.SSG측 설정

SSG에 필요한 설정을 발췌한 투입 config는 다음과 같습니다.

//IPPoolアドレスの属性
set address "Trust" "vpn-pool" 172.16.1.0 255.255.255.0 

//VPN用トンネル設定//トンネルはI/Fのbgroup0を利用
set interface "tunnel.2" zone "Trust"　　　
set interface tunnel.2 ip unnumbered interface bgroup0　

//IPPoolアドレスの範囲設定
set ippool "hogepool" 172.16.1.100 172.16.1.100　

//ユーザー設定
set user "hoge" uid 1 　
set user "hoge" ike-id u-fqdn "[email protected]" share-limit 1　//ユーザーの同時アクセス数制限
set user "hoge" type ike xauth　//xauth認証
set user "hoge" remote ippool "hogepool" //PoolIPの指定
set user "hoge" remote ipaddr "172.16.1.100"
set user "hoge" password "hoge"　//パスワード設定
unset user "hoge" type auth　
set user "hoge" "enable"

//フェーズ1,2設定
set ike gateway "vpnGW" dialup "hoge" Aggr outgoing-interface "ethernet0/0" preshare "hogehoge" proposal "pre-g2-3des-sha" 
unset ike gateway "vpnGW" nat-traversal udp-checksum
set ike gateway "vpnGW" nat-traversal keepalive-frequency 5
set ike gateway "vpnGW" xauth server "Local" user "hoge"
unset ike gateway "vpnGW" xauth do-edipi-auth

//VPNgateway設定
set vpn "vpn" gateway "vpnGW" no-replay tunnel idletime 0 proposal "nopfs-esp-3des-sha" 
set vpn "vpn" monitor
set vpn "vpn" id bind interface tunnel.2

//ルーティング設定
set route 172.16.1.0/24 interface tunnel.2

4.shrew측 설정

클라이언트 설정 파일은 다음과 같습니다.

n:version:4
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:0
n:network-notify-enable:1
n:client-dns-used:0
n:client-dns-auto:1
n:client-dns-suffix-auto:1
n:client-splitdns-used:1
n:client-splitdns-auto:1a
n:client-wins-used:0
n:client-wins-auto:1
n:phase1-dhgroup:2
n:phase1-life-secs:86400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:1
n:policy-list-auto:0
s:network-host:xxx.xxx.xxx.xxx //FWのGlobalIPを指定
s:client-auto-mode:push
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk-xauth
s:ident-client-type:ufqdn
s:ident-server-type:any
s:ident-client-data:[email protected]　//認証用FQDN
b:auth-mutual-psk:hogehoge　//preshared keyのパスワード
s:phase1-exchange:aggressive
s:phase1-cipher:auto
s:phase1-hash:auto
s:phase2-transform:auto
s:phase2-hmac:auto
s:ipcomp-transform:disabled
n:phase2-pfsgroup:-1
s:policy-level:auto
s:policy-list-include:1.0.0.0 / 255.255.255.0

위 파일의 매개변수를 변경한 후 가져오십시오.

보충

왜냐하면 Phase1에서 인증 에러가 나오는 경우가 있습니다.

vpntest01-> get log event
get log event
Total event entries = 1024
Date       Time     Module Level  Type Description
Rejected an IKE packet on ethernet0/0
                                       from xxx.xxx.xxx.xxx:47781 to
                                       xxx.xxx.xxx.xxx:500 with cookies
                                       3e35c70729dfedef and 0000000000000000
                                       because an initial Phase 1 packet
                                       arrived from an unrecognized peer
                                       gateway.

이 때 파일을 가져온 후 FW의 1,2 단계 설정의 presharedkey 암호를 클라이언트 VPNAccessManager에서 클라이언트 측 설정 파일로 덮어 씁니다.

절차

connetcion name으로 대상 VPN 선택 → Modify → Authntication → Credentials → Presharedkey 비밀번호 재정의 → Save

끝에

VPN의 설정 가능한 파라미터가 많이 있으므로, 여러가지 설정을 할 수 있습니다. 이쪽은 어디까지나 간단하게 접속하기 위한 베이스 설정이 되기 때문에, 용도에 따라서 설정해 주실 수 있으면(자) 생각합니다. 그럼 좋은 VPN 생활을!