Αγαπητοί συνάδελφοι της κοινότητας μέσα από την αναζήτηση για δημοσίευση θεματογραφίας εξαιρετικού ενδιαφέροντος η οποία αφορά τον Microsoft Forefront TMG 2010 και την πληθώρα των δυνατοτήτων, παρουσιάζω παρακάτω τον τρόπο υλοποίησης και πιστοποίησης της διαλειτουργικότητας μεταξύ του Juniper SRX 210H και του security gateway Microsoft Forefront TMG 2010, με άλλα λόγια σκοπός μας είναι η δημιουργία ενός secure tunnel. Συγγραφέας του συγκεκριμένου άρθρου είναι o Axel Dittmann. Μετά από την δημιουργία/ρύθμιση του route-based VPN στο Juniper SRX, προχωρούμε εν συνεχεία διαμέσου του VPN-Wizard στον Microsoft Firewall. Λαμβάνοντας υπόψην ότι θα πρέπει να γίνουν ορισμένες αλλαγές (modifications) στα Microsoft standard
IKE και IPSec Proposals τα οποία παρέχονται διαμέσου του wizard, 
τα πάντα λειτούργησαν άψογα με αποτέλεσμα το ping από το ένα site στο άλλο λειτούργησε άψογα. Το setup είναι το παρακάτω :

Όπως γίνεται άμεσα αντιληπτό με μία γρήγορη ματιά στις παρακάτω εικόνες από τον VPN-Wizard η εγκατάσταση είναι σχετικά απλή μιας και οι συγκεκριμένες εικόνες μικούν από μόνες τους :

Βήμα1ο : VPN	Βήμα 2ο: Υλοποίηση remote site VPN	Βήμα 3ο: Εκκίνηση του wizard
Βήμα 4ο : Ονομάζοντας το VPN	Βήμα 5ο: tunnel endpoints	Βήμα 6ο: shared secret
Βήμα 7ο: Τα tunnel endpoints βρίσκονται σε προστατευόμενο δίκτυο – Τα διαγράφουμε	Βήμα 8ο: Εν συνεχεία εισάγουμε τα προστατευόμενα δίκτυα	Βήμα 9ο: Αμέσως εμφανίζεται ένα warning το οποίο μας ενημερώνει ότι ορισμένα πράγματα δεν λειτουργούν
Βήμα 10ο: Δημιουργία network rule	Βήμα 11ο: Δημιουργία access rule	Βήμα 12ο: Ολοκλήρωση

Τώρα θα ασχοληθούμε με το πιο ενδιαφέρον μέρος της δημιουργίας του συγκεκριμένου VPN. Ανοίγουμε προς επεξεργασία το πρόσφατα δημιουργημένο VPN
remote sites και επικεντρώνουμε το ενδιαφέρον μας στα default proposal settings:
(Δεξί κλικ στο remote site, Επιλογή του <Connection> και του <IPSec Settings …>)

Τα default settings του IKE Phase 1	Τα default settings του Phase 2

Προχωρούμε σε αλλαγές των settings έτσι ώστε να είμαστε συμβατοί με το σύστημα της Juniper. Απλά για να είμαστε σίγουροι ότι το σύστημα SRX είναι σε θέση να χρησιμοποιεί σωστά και να επικοινωνεί με τα συγκεκριμένα proposals --- Στο σημείο αυτό η ασφάλεια του υποκατασκευή δικτύου δεν είναι το ζητούμενο:

Συνεπώς χρησιμοποιούμε στο Phase 1: Εncryption = 3DES, Αuthentication = SHA1, DH-Group =  group2 and lifetime 28800
Στο Phase 2: Εncryption = 3DES, Αuthentication = SHA1, no pfs, rekey every 3600 seconds.

Αμέσως μετά την εφαρμογή του νέου configuration το tunnel δεν στάθηκε δυνατόν να ξεκινήσει. Με προσεκτική παρατήρηση βρίσκουμε το παρακάτω μήνυμα μέσα στα SRX log:

172.16.100.180:500
(Responder) <-> 172.16.100.183:500 { 8f4cd363 13dcf3af - 9f6ff605
4d145fab [0] / 0x90b59c54 } Info; Received notify err = No proposal
chosen (14) to isakmp sa, delete it

Εκ πρώτης όψεως το μήνυμα είναι λίγο παράξενο, αλλά με μια γρήγορη ματιά κάνοντας χρήση ενός packet analyzer μας δίνει την απάντηση:

Ο Microsoft Forefront TMG 2010 μας παρέχει τα παλαιά credentials τα οποία εμπεριέχονται στην default value. Οι αλλαγές αυτές δεν έχουν καμία επίδραση στο VPN. Έτσι λοιπόν αυτό το οποίο πρέπει να κάνουμε στο σημείο αυτό είναι να επανεκκινήσουμε (restart) τα Forefront TMG services γεγονός το οποίο έχει σαν αποτέλεσμα την παροχή των σωστών credentials:

Τελικά το VPN tunnel ανέβηκε :

Όσον αφορά τον Juniper SRX VPN (route bases) το απαιτούμενι configuration είναι το εξής παρακάτω:

IKE policy:

[edit security ike]
root# show
proposal ikeproptmg {
    description toTMG;
    authentication-method pre-shared-keys;
    dh-group group2;
    authentication-algorithm sha1;
    encryption-algorithm 3des-cbc;
    lifetime-seconds 28800;
}
policy ikepoltmg {
    mode main;
    description PolicyToTMG;
    proposals ikeproptmg;
   
pre-shared-key ascii-text
"$9$Sivlv8-VYZUHX7UHqmF3SreKXNZGjf5zGU/Cu0IR";
##                                                                                                                                                             
SECRET-DATA
}
gateway ikegatewaytmg {
    ike-policy ikepoltmg;
    address 172.16.100.183;
    external-interface ge-0/0/0;
}

IPSec Policy:

[edit security ipsec]
root# show
proposal ipsecproptmg {
    description IPSEC_to_TMG;
    protocol esp;
    authentication-algorithm hmac-sha1-96;
    encryption-algorithm 3des-cbc;
    lifetime-seconds 3600;
}
policy ipsecpoltmg {
    description PolicyToTMG;
    proposals ipsecproptmg;
}
vpn vpntmg {
    bind-interface st0.0;
    ike {
        gateway ikegatewaytmg;
        proxy-identity {
            local 192.168.113.0/24;
            remote 192.168.13.0/24;
            service any;
        }
        ipsec-policy ipsecpoltmg;
    }
    establish-tunnels on-traffic;
}

Και το αποτέλεσμα:

root> show security ike sa
Index   Remote Address  State  Initiator cookie  Responder cookie  Mode
12      172.16.100.183  UP     039708c225e6394e  e13125bff2db04af  Main

root> show security ipsec sa
  Total active tunnels: 1
  ID    Gateway          Port  Algorithm       SPI      Life:sec/kb  Mon vsys
  <131073 172.16.100.183 500   ESP:3des/sha1   f2f8ab03 3562/ unlim   -   0
  >131073 172.16.100.183 500   ESP:3des/sha1   6cc8f853 3562/ unlim   -   0

Το ping λειτούργησε σωστά φέρνοντας την σωστή απάντηση και συνεπώς το tunnel βρίσκεται σε λειτουργία.

Ελπίζω ότι θα βρείτε ιδιαιτέρως χρήσιμο το συγκεκριμένο άρθρο.