Win XP SP3 Japanese Ed. NCP IPSec client Hub L3 SW SRX100 Policy base VPN fe-0/0/0 vlan.0 Win 2003 SVR /

Similar documents
IPSEC-VPN IPsec(Security Architecture for Internet Protocol) IP SA(Security Association, ) SA IKE IKE 1 1 ISAKMP SA( ) IKE 2 2 IPSec SA( 1 ) IPs

Dynamic VPN Dynamic VPN IPSec VPN PC SRX IPSec VPN SRX PC IPSec 2 Copyright 2010 Juniper Networks, Inc.

Juniper Networks Corporate PowerPoint Template

設定例集_Rev.8.03, Rev.9.00, Rev.10.01対応

SCREENOS NAT ScreenOS J-Series(JUNOS9.5 ) NAT ScreenOS J-Series(JUNOS9.5 ) NAT : Destination NAT Zone NAT Pool DIP IF NAT Pool Egress IF Loopback Grou

Juniper Networks Corporate PowerPoint Template

SRX License

橡sirahasi.PDF

Microsoft PowerPoint - Amazon VPCとのVPN接続.pptx

IPSEC(Si-RGX)

Juniper SRX と Microsoft Azure 仮想ネットワークとのサイト間 VPN 接続の構成 Juniper Networks K.K 年 3 月

iPhone/iPad/Android(TM) とベリサイン アイデンティティプロテクション(VIP)エンタープライズゲートウェイとの組み合わせによるL2TP+IPsecのワンタイムパスワード設定例

Cisco® ASA シリーズルーター向けDigiCert® 統合ガイド

技術情報:Si-R/Si-R brinシリーズ設定例 「Oracle Cloud Infrastructure Classic」との接続

FW Migration Guide(ipsec2)

Si-R180 ご利用にあたって

Configuring VPN from Proventia M Series Appliance to Cisco PIX 515E

SRT/RTX/RT設定例集

SRX IDP Full IDP Stateful Inspection 8 Detection mechanisms including Stateful Signatures and Protocol Anomalies Reassemble, normalize, eliminate ambi

FW Migration Guide(ipsec1)

FW Migration Guide (Single)

Si-R/Si-R brin シリーズ設定例

LAN

クラウド接続 「Windows Azure」との接続

ScreenOS 5.0 ScreenOS 5.0 Deep Inspection VLAN NetScreen-25/-50/-204/-208 HA NetScreen-25 HA Lite NetScreen-25 NetScreen-50) ALG(Application Layer Gat

帯域を測ってみよう (適応型QoS/QoS連携/帯域検出機能)

FUJITSU Network Si-R Si-Rシリーズ Si-R240B ご利用にあたって

SRXシリーズおよびJシリーズのネットワークアドレス変換

インターネットVPN_IPoE_IPv6_fqdn

2 BIG-IP 800 LTM v HF2 V LTM L L L IP GUI VLAN.

SGX808 IPsec機能

Soliton Net’Attest EPS + AR router series L2TP+IPsec RADIUS 設定例

Microsoft Azure AR4050S, AR3050S, AR2050V 接続設定例

PowerPoint プレゼンテーション

Lync Server 2010 Lync Server Topology Builder BIG-IP LTM Topology Builder IP Lync 2010 BIG IP BIG-IP VE Virtual Edition BIG-IP SSL/TLS BIG-IP Edge Web

IPSEC(Si-RG)

株式会社スタッフ アンド ブレーン Rev 1.0 ZyWALL USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 回線終端装置 (ONU) WA

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 iphone を利用した L2TP over IPSec VPN 接続 について 構成例 iphone を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 USG 回線

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 USG 回線終端装置

IOS ゾーン ベースのポリシー ファイアウォールを使用した IOS ルータでの AnyConnect VPN クライアントの設定例

AMFマルチテナントソリューション

IP.dvi

FUJITSU Network Si-R Si-RシリーズSi-R220C ご利用にあたって

SRX300 Line of Services Gateways for the Branch

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

Teradici Corporation # Canada Way, Burnaby, BC V5G 4X8 Canada p f Teradici Corporation Teradi

Microsoft Word - VPNConnectionInstruction-rev1.3.docx

設定手順

AMF Cloud ソリューション

Aventail EX-2500/1600/750 STv(Ver.8.9) Sep 2007 c 2007 SonicWALL,Inc. All rights reserved.

設定例集

YMS-VPN1_User_Manual

MR1000 コマンド設定事例集

RouteMagic Controller RMC-MP200 / MP Version

dovpn-set-v100

CPE9V1.0&AP615V2.0-C01说明书-电子档

スライド 1

契約№2020-XXXX

ホワイトクラウド ASPIRE IPsec VPN 接続構成ガイド ASA5515 を用いた接続構成例 ソフトバンク株式会社

Agenda IPv4 over IPv6 MAP MAP IPv4 over IPv6 MAP packet MAP Protocol MAP domain MAP domain ASAMAP ASAMAP 2

VNSTProductDes3.0-1_jp.pdf

N A/006A インテリジェントスイッチ

2011 NTT Information Sharing Platform Laboratories

FUJITSU Network Si-R Si-R Gシリーズ トラブルシューティング

fusion.PDF

IPCOMとWindows AzureのIPsec接続について

RouteMagic Controller( RMC ) 3.6 RMC RouteMagic RouteMagic Controller RouteMagic Controller MP1200 / MP200 Version 3.6 RouteMagic Controller Version 3

リング型IPカメラ監視ソリューション(マルチキャスト編)

ISE 2.1 および AnyConnect 4.3 ポスチャ USB チェックの設定

DICOM UG_JPN_P book

AirMac ネットワーク構成の手引き

FUJITSU Network SR-M コマンド設定事例集

ヤマハルーターのCLI:Command Line Interface

BIG‑IP Access Policy Manager | F5 Datasheet

AirMac ネットワーク for Windows

RT300i/RT140x/RT105i 取扱説明書

GA-1190J

,,, J-SOX ISMS PCIDSS,, IM/VoIP/VoD Copyright 2008 Juniper Networks, Inc. 2

BRANCH SRX <2010Q3 > 2 Copyright 2010 Juniper Networks, Inc.

Cisco Umbrella Branch Cisco Umbrella Branch Cisco ISR Umbrella Branch

RT300/140/105シリーズ 取扱説明書

SR-S224PS1 セキュアスイッチ ご利用にあたって

RouteMagic Controller RMC-MP200 / MP Version

RTX830 取扱説明書

リング型IPカメラ監視ソリューション

FirePass Edge Client TM Edge Client LAN Edge Client 7.0 Edge Client Edge Client Edge Client Edge Client Edge Client Edge Client LAN Edge Client VPN Wi

ASA および Cisco IOS グループ ロック機能と AAA 属性および WebVPN の設定例

i

アライドテレシスコア スイッチ AT-SBx908 シリーズで実現する AMF-SBx908 ソリューション Solution No 主な目的 ネットワークの一元管理 共有化をしたい 既存ネットワークを再構築せずに 簡単に導入したい ネットワーク管理 運用にかかるコストを削減

橡2-TrafficEngineering(revise).PDF

2008, 2009 TOSHIBA TEC CORPORATION All rights reserved

ヤマハ ルーター ファイアウォール機能~説明資料~

WEB.dvi

Cisco Aironet 1130AG アクセス ポイント クイック スタート ガイド

Document

NetAttest EPS設定例

untitled

Inter-IX IX/-IX 10/21/2003 JAPAN2003 2

Transcription:

SRX dial-up VPN (NCP )

Win XP SP3 Japanese Ed. NCP IPSec client Hub L3 SW SRX100 Policy base VPN fe-0/0/0 vlan.0 Win 2003 SVR.216 172.27.24.0/24.254.254.1.1.100 100.100.100.0/24 192.168.1.0/24 Test devices SRX100 JUNOS 10.2 Client Windows XP SP3 Japanese Edition NCP client Ver.9.20 Build 33 Windows 7 Ultimate Japanese Edition NCP client Ver.9.20 Build 33 2 Copyright 2010 Juniper Networks, Inc. www.juniper.net

PRESHARED-KEY SRX IKE 1 IKE 2 VPN Xauth IKE 1 Aggressive Preshared-key DH group 2 AES128bit SHA1 IKE 2 ESP AES128bit SHA1 PFS DH-group2 Xauth Radius 3 Copyright 2010 Juniper Networks, Inc. www.juniper.net

SRX - IKE 1 2 - (PRESHARED-KEY) ike { proposal pre-g2-aes128-sha { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; policy NCP_ike_policy { mode aggressive; proposals pre-g2-aes128-sha; pre-shared-key ascii-text "$9$jbkmT69pRhrz3hrev7Nik."; ## SECRET-DATA gateway NCP_p1 { ike-policy NCP_ike_policy; dynamic { user-at-hostname "user01@juniper.local"; dead-peer-detection; external-interface fe-0/0/0.0; xauth access-profile radius-auth; ipsec { proposal g2-esp-aes128-sha { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-128-cbc; policy NCP_ipsec_policy { perfect-forward-secrecy { keys group2; proposals g2-esp-aes128-sha; vpn NCP_p2 { ike { gateway NCP_p1; ipsec-policy NCP_ipsec_policy; 4 Copyright 2010 Juniper Networks, Inc. www.juniper.net

SRX XAUTH - (PRESHARED-KEY) policies { from-zone untrust to-zone trust { policy NCP_IPSec { match { source-address any; destination-address any; application any; then { permit { tunnel { ipsec-vpn NCP_p2; log { session-init; access { profile radius-auth { authentication-order radius; radius-server { 172.27.24.201 { secret "$9$V.sgJikP36AGD6Ap0hcbs2"; ## SECRET-DATA source-address 100.100.100.1; 5 Copyright 2010 Juniper Networks, Inc. www.juniper.net

SRX (PRESHARED-KEY) [edit] root@srx100-vpn# show display set no-more set version 10.2B3.3 set system host-name SRX100-vpn set system time-zone Asia/Tokyo set system root-authentication encrypted-password "$1$xDjciVll$zJ38YGxJgNRtlsS77Wdko1" set system name-server 172.27.24.201 "$1$AVWl7szn$EtuXUTHqnLgb1JKK1j/Ob1" set system services ssh set system services telnet set system services web-management http interface vlan.0 set system services web-management https system-generated-certificate set system services web-management https interface vlan.0 set interfaces interface-range interfaces-trust member fe-0/0/1 set interfaces interface-range interfaces-trust member fe-0/0/2 set interfaces interface-range interfaces-trust member fe-0/0/3 set interfaces interface-range interfaces-trust member fe-0/0/4 set interfaces interface-range interfaces-trust member fe-0/0/5 set interfaces interface-range interfaces-trust member fe-0/0/6 set interfaces interface-range interfaces-trust member fe-0/0/7 set interfaces interface-range interfaces-trust unit 0 family ethernet-switching vlan members vlan-trust set interfaces fe-0/0/0 unit 0 family inet address 100.100.100.1/24 set interfaces vlan unit 0 family inet address 192.168.1.1/24 set routing-options static route 0.0.0.0/0 next-hop 100.100.100.254 set protocols stp set security ike proposal pre-g2-aes128-sha authentication-method pre-shared-keys set security ike proposal pre-g2-aes128-sha dh-group group2 set security ike proposal pre-g2-aes128-sha authentication-algorithm sha1 set security ike proposal pre-g2-aes128-sha encryption-algorithm aes-128-cbc set security ike policy NCP_ike_policy mode aggressive set security ike policy NCP_ike_policy proposals pre-g2-aes128-sha set security ike policy NCP_ike_policy pre-shared-key ascii-text "$9$jbkmT69pRhrz3hrev7Nik." 6 Copyright 2010 Juniper Networks, Inc. www.juniper.net

SRX (PRESHARED-KEY) set security ike gateway NCP_p1 ike-policy NCP_ike_policy set security ike gateway NCP_p1 dynamic user-athostname "user01@juniper.local" set security ike gateway NCP_p1 dead-peer-detection set security ike gateway NCP_p1 external-interface fe- 0/0/0.0 set security ike gateway NCP_p1 xauth access-profile radius-auth set security ipsec proposal g2-esp-aes128-sha protocol esp set security ipsec proposal g2-esp-aes128-sha authentication-algorithm hmac-sha1-96 set security ipsec proposal g2-esp-aes128-sha encryptionalgorithm aes-128-cbc set security ipsec policy NCP_ipsec_policy perfectforward-secrecy keys group2 set security ipsec policy NCP_ipsec_policy proposals g2- esp-aes128-sha set security ipsec vpn NCP_p2 ike gateway NCP_p1 set security ipsec vpn NCP_p2 ike ipsec-policy set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces vlan.0 set security zones security-zone untrust address-book address 172.27.24.216 32.0.0.0/32 set security zones security-zone untrust screen untrustscreen set security zones security-zone untrust host-inboundtraffic system-services all set security zones security-zone untrust host-inboundtraffic system-services ike set security zones security-zone untrust interfaces fe- 0/0/0.0 7 Copyright 2010 Juniper Networks, Inc. www.juniper.net set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit set security policies from-zone untrust to-zone trust policy NCP_IPSec match source-address any set security policies from-zone untrust to-zone trust policy NCP_IPSec match destination-address any set security policies from-zone untrust to-zone trust policy NCP_IPSec match application any set security policies from-zone untrust to-zone trust policy NCP_IPSec then permit tunnel ipsec-vpn NCP_p2 set security policies from-zone untrust to-zone trust policy NCP_IPSec then log session-init set access profile radius-auth authentication-order radius set access profile radius-auth radius-server 172.27.24.201 secret "$9$V.sgJikP36AGD6Ap0hcbs2" set access profile radius-auth radius-server 172.27.24.201 source-address 100.100.100.1 set vlans vlan-trust vlan-id 2 set vlans vlan-trust l3-interface vlan.0

IPSEC (NCP) Profile name ( ) Communication Medium LAN Default Profile after System Reboot 8 Copyright 2010 Juniper Networks, Inc. www.juniper.net

IPSEC (NCP) Connection Mode 9 Copyright 2010 Juniper Networks, Inc. www.juniper.net

IPSEC (NCP) Gateway (Tunnel Endpoint) SRX IP IKE Policy IKE P1 IPSec Policy IKE P2 Exch Mode Main/Aggressive mode PFS Group DH Policy Lifetime P1/P2 Policy Editor P1/P2 10 Copyright 2010 Juniper Networks, Inc. www.juniper.net

IPSEC (NCP) IPsec Compression IPsec compression Disable DPD (Dead Peer Detection) DPD UDP Encapsulation 11 Copyright 2010 Juniper Networks, Inc. www.juniper.net

IPSEC (NCP) Local Identity (IKE) IKE ID ID Preshared Key Extend Authentication (XAUTH) Xauth ID 12 Copyright 2010 Juniper Networks, Inc. www.juniper.net

IPSEC (NCP) Assignment of the Private IP Address IP modeconfig IKE config mode DNS/WINS servers DNS 13 Copyright 2010 Juniper Networks, Inc. www.juniper.net

IPSEC (NCP) Connection Established 14 Copyright 2010 Juniper Networks, Inc. www.juniper.net

XAUTH ( ) access { profile Local-auth { authentication-order password; client ipsec01 { firewall-user { password "$9$7MdwgGDkTz6oJz69A1INdb"; ## SECRET-DATA User 15 Copyright 2010 Juniper Networks, Inc. www.juniper.net

BACKUP SLIDE using certificate

1. CA 2. 3. 4. CA 5. # set security pki ca-profile private-ca ca-identity "COLORS CLASS 1 CA! CA > request security pki ca-certificate load filename rubyca.pem ca-profile private-ca! CA > request security pki generate-key-pair certificate-id srx100-vpn size 2048! > request security pki generate-certificate-request certificate-id srx100-vpn domain-name srx100- vpn.juniper.local ip-address 100.100.10 0.1 email vpn-admin@juniper.local subjec t CN=srx100- vpn.juniper.local,ou=remotevpn,ou=srx,o="juniper Networks",L=Shinju ku,st=tokyo,c=jp! (CSR) > request security pki local-certificate load certificat e load certificate-id srx100-vpn file name srx100- vpn.pem! 18 Copyright 2010 Juniper Networks, Inc. www.juniper.net

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック