Juniper (SSG)에 클라이언트 VPN (shrew)을 사용하여 연결
1.shrew 다운로드
다운로드는 이쪽의 링크로부터. 옛날에는 MAC판도 있었지만, 현재는 Windows와 Linux판만이 되어 있었습니다.
htps //w w. sh레 w. 네 t/두w 응아 d/
2.VPN 구성
외부에서 사무실의 서버에 액세스 할 수 있으면 좋으므로 간단한 구성입니다.
아니
용도
Private Segment
게이트웨이
주석
1
VPN 연결 IPPool
172.16.1.100 - 200/24
172.16.1.1
User용
2
사무실 네트워크
172.16.2.0/24
172.16.2.1
office용
3.SSG측 설정
SSG에 필요한 설정을 발췌한 투입 config는 다음과 같습니다.
//IPPoolアドレスの属性
set address "Trust" "vpn-pool" 172.16.1.0 255.255.255.0
//VPN用トンネル設定//トンネルはI/Fのbgroup0を利用
set interface "tunnel.2" zone "Trust"
set interface tunnel.2 ip unnumbered interface bgroup0
//IPPoolアドレスの範囲設定
set ippool "hogepool" 172.16.1.100 172.16.1.100
//ユーザー設定
set user "hoge" uid 1
set user "hoge" ike-id u-fqdn "[email protected]" share-limit 1 //ユーザーの同時アクセス数制限
set user "hoge" type ike xauth //xauth認証
set user "hoge" remote ippool "hogepool" //PoolIPの指定
set user "hoge" remote ipaddr "172.16.1.100"
set user "hoge" password "hoge" //パスワード設定
unset user "hoge" type auth
set user "hoge" "enable"
//フェーズ1,2設定
set ike gateway "vpnGW" dialup "hoge" Aggr outgoing-interface "ethernet0/0" preshare "hogehoge" proposal "pre-g2-3des-sha"
unset ike gateway "vpnGW" nat-traversal udp-checksum
set ike gateway "vpnGW" nat-traversal keepalive-frequency 5
set ike gateway "vpnGW" xauth server "Local" user "hoge"
unset ike gateway "vpnGW" xauth do-edipi-auth
//VPNgateway設定
set vpn "vpn" gateway "vpnGW" no-replay tunnel idletime 0 proposal "nopfs-esp-3des-sha"
set vpn "vpn" monitor
set vpn "vpn" id bind interface tunnel.2
//ルーティング設定
set route 172.16.1.0/24 interface tunnel.2
4.shrew측 설정
클라이언트 설정 파일은 다음과 같습니다.
n:version:4
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:0
n:network-notify-enable:1
n:client-dns-used:0
n:client-dns-auto:1
n:client-dns-suffix-auto:1
n:client-splitdns-used:1
n:client-splitdns-auto:1a
n:client-wins-used:0
n:client-wins-auto:1
n:phase1-dhgroup:2
n:phase1-life-secs:86400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:1
n:policy-list-auto:0
s:network-host:xxx.xxx.xxx.xxx //FWのGlobalIPを指定
s:client-auto-mode:push
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk-xauth
s:ident-client-type:ufqdn
s:ident-server-type:any
s:ident-client-data:[email protected] //認証用FQDN
b:auth-mutual-psk:hogehoge //preshared keyのパスワード
s:phase1-exchange:aggressive
s:phase1-cipher:auto
s:phase1-hash:auto
s:phase2-transform:auto
s:phase2-hmac:auto
s:ipcomp-transform:disabled
n:phase2-pfsgroup:-1
s:policy-level:auto
s:policy-list-include:1.0.0.0 / 255.255.255.0
위 파일의 매개변수를 변경한 후 가져오십시오.
보충
왜냐하면 Phase1에서 인증 에러가 나오는 경우가 있습니다.
vpntest01-> get log event
get log event
Total event entries = 1024
Date Time Module Level Type Description
Rejected an IKE packet on ethernet0/0
from xxx.xxx.xxx.xxx:47781 to
xxx.xxx.xxx.xxx:500 with cookies
3e35c70729dfedef and 0000000000000000
because an initial Phase 1 packet
arrived from an unrecognized peer
gateway.
이 때 파일을 가져온 후 FW의 1,2 단계 설정의 presharedkey 암호를 클라이언트 VPNAccessManager에서 클라이언트 측 설정 파일로 덮어 씁니다.
절차
connetcion name으로 대상 VPN 선택 → Modify → Authntication → Credentials → Presharedkey 비밀번호 재정의 → Save
끝에
VPN의 설정 가능한 파라미터가 많이 있으므로, 여러가지 설정을 할 수 있습니다. 이쪽은 어디까지나 간단하게 접속하기 위한 베이스 설정이 되기 때문에, 용도에 따라서 설정해 주실 수 있으면(자) 생각합니다. 그럼 좋은 VPN 생활을!
Reference
이 문제에 관하여(Juniper (SSG)에 클라이언트 VPN (shrew)을 사용하여 연결), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/hnakatogawa/items/5a832b4ccf3ca03a90f9텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)