Υλοποίηση VPN μεταξύ Microsoft Forefront TMG 2010 και Juniper SRX 210H
Αγαπητοί συνάδελφοι της κοινότητας μέσα από την αναζήτηση για δημοσίευση θεματογραφίας εξαιρετικού ενδιαφέροντος η οποία αφορά τον Microsoft Forefront TMG 2010 και την πληθώρα των δυνατοτήτων, παρουσιάζω παρακάτω τον τρόπο υλοποίησης και πιστοποίησης της διαλειτουργικότητας μεταξύ του Juniper SRX 210H και του security gateway Microsoft Forefront TMG 2010, με άλλα λόγια σκοπός μας είναι η δημιουργία ενός secure tunnel. Συγγραφέας του συγκεκριμένου άρθρου είναι o Axel Dittmann. Μετά από την δημιουργία/ρύθμιση του route-based VPN στο Juniper SRX, προχωρούμε εν συνεχεία διαμέσου του VPN-Wizard στον Microsoft Firewall. Λαμβάνοντας υπόψην ότι θα πρέπει να γίνουν ορισμένες αλλαγές (modifications) στα Microsoft standard
IKE και IPSec Proposals τα οποία παρέχονται διαμέσου του wizard,
τα πάντα λειτούργησαν άψογα με αποτέλεσμα το ping από το ένα site στο άλλο λειτούργησε άψογα. Το setup είναι το παρακάτω :
Όπως γίνεται άμεσα αντιληπτό με μία γρήγορη ματιά στις παρακάτω εικόνες από τον VPN-Wizard η εγκατάσταση είναι σχετικά απλή μιας και οι συγκεκριμένες εικόνες μικούν από μόνες τους :
Τώρα θα ασχοληθούμε με το πιο ενδιαφέρον μέρος της δημιουργίας του συγκεκριμένου VPN. Ανοίγουμε προς επεξεργασία το πρόσφατα δημιουργημένο VPN
remote sites και επικεντρώνουμε το ενδιαφέρον μας στα default proposal settings:
(Δεξί κλικ στο remote site, Επιλογή του <Connection> και του <IPSec Settings …>)
Προχωρούμε σε αλλαγές των settings έτσι ώστε να είμαστε συμβατοί με το σύστημα της Juniper. Απλά για να είμαστε σίγουροι ότι το σύστημα SRX είναι σε θέση να χρησιμοποιεί σωστά και να επικοινωνεί με τα συγκεκριμένα proposals --- Στο σημείο αυτό η ασφάλεια του υποκατασκευή δικτύου δεν είναι το ζητούμενο:
Συνεπώς χρησιμοποιούμε στο Phase 1: Εncryption = 3DES, Αuthentication = SHA1, DH-Group = group2 and lifetime 28800
Στο Phase 2: Εncryption = 3DES, Αuthentication = SHA1, no pfs, rekey every 3600 seconds.
Αμέσως μετά την εφαρμογή του νέου configuration το tunnel δεν στάθηκε δυνατόν να ξεκινήσει. Με προσεκτική παρατήρηση βρίσκουμε το παρακάτω μήνυμα μέσα στα SRX log:
172.16.100.180:500
(Responder) <-> 172.16.100.183:500 { 8f4cd363 13dcf3af - 9f6ff605
4d145fab [0] / 0x90b59c54 } Info; Received notify err = No proposal
chosen (14) to isakmp sa, delete it
Εκ πρώτης όψεως το μήνυμα είναι λίγο παράξενο, αλλά με μια γρήγορη ματιά κάνοντας χρήση ενός packet analyzer μας δίνει την απάντηση:
Ο Microsoft Forefront TMG 2010 μας παρέχει τα παλαιά credentials τα οποία εμπεριέχονται στην default value. Οι αλλαγές αυτές δεν έχουν καμία επίδραση στο VPN. Έτσι λοιπόν αυτό το οποίο πρέπει να κάνουμε στο σημείο αυτό είναι να επανεκκινήσουμε (restart) τα Forefront TMG services γεγονός το οποίο έχει σαν αποτέλεσμα την παροχή των σωστών credentials:
Τελικά το VPN tunnel ανέβηκε :
Όσον αφορά τον Juniper SRX VPN (route bases) το απαιτούμενι configuration είναι το εξής παρακάτω:
IKE policy:
[edit security ike]
root# show
proposal ikeproptmg {
description toTMG;
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
lifetime-seconds 28800;
}
policy ikepoltmg {
mode main;
description PolicyToTMG;
proposals ikeproptmg;
pre-shared-key ascii-text
"$9$Sivlv8-VYZUHX7UHqmF3SreKXNZGjf5zGU/Cu0IR";
##
SECRET-DATA
}
gateway ikegatewaytmg {
ike-policy ikepoltmg;
address 172.16.100.183;
external-interface ge-0/0/0;
}
IPSec Policy:
[edit security ipsec]
root# show
proposal ipsecproptmg {
description IPSEC_to_TMG;
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
policy ipsecpoltmg {
description PolicyToTMG;
proposals ipsecproptmg;
}
vpn vpntmg {
bind-interface st0.0;
ike {
gateway ikegatewaytmg;
proxy-identity {
local 192.168.113.0/24;
remote 192.168.13.0/24;
service any;
}
ipsec-policy ipsecpoltmg;
}
establish-tunnels on-traffic;
}
Και το αποτέλεσμα:
root> show security ike sa
Index Remote Address State Initiator cookie Responder cookie Mode
12 172.16.100.183 UP 039708c225e6394e e13125bff2db04af Main
root> show security ipsec sa
Total active tunnels: 1
ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys
<131073 172.16.100.183 500 ESP:3des/sha1 f2f8ab03 3562/ unlim - 0
>131073 172.16.100.183 500 ESP:3des/sha1 6cc8f853 3562/ unlim - 0
Το ping λειτούργησε σωστά φέρνοντας την σωστή απάντηση και συνεπώς το tunnel βρίσκεται σε λειτουργία.
Ελπίζω ότι θα βρείτε ιδιαιτέρως χρήσιμο το συγκεκριμένο άρθρο.
0 Comments
Recommended Comments
There are no comments to display.