腾讯云

文章/答案/技术大牛

发布

社区首页 >问答首页 >基于IPsec的Juniper SRX100与Fortigate 100 D之间的GRE

问基于IPsec的Juniper SRX100与Fortigate 100 D之间的GRE
EN

Network Engineering用户

提问于 2016-02-29 19:41:16

回答 3查看 5.7K关注 0票数 2

我需要帮助配置Fortigate和Juniper设备之间的VPN设置(GRE )。

我的拓扑如下：

我需要做的是在设备之间创建一个基于路由的IPSec隧道来封装另一个隧道(GRE隧道)。我有类似的设置之间的Juniper和思科2921，它工作得很好，但我有真正的困难设置这一个，因为我没有必要的专业知识与任何一个。

不知道是不是应该这样，但是.

我希望IPSec隧道介于203.0.113.1和203.0.113.2之间；
我希望GRE隧道从回环接口启动，并与远程端点的回环(10.255.255.1和10.255.255.2)通信，我有通过IPSec隧道(st0.0和ipsec接口)到达的路由；
我希望GRE接口分别具有IP地址192.168.0.1和192.168.0.2 (并且在这些地址之间运行OSPF，配置不包括在内)。

Juniper侧

接口配置：

interface fe-0/0/0 {
    unit 0 {
        family inet {
            address 203.0.113.1/24;
        }
    }
}

interface lo0 {
    unit 0 {
        family inet {
            address 10.255.255.1/32;
        }
    }
}

interface st0
    unit 0 {
        family inet;
    }
}

interface gr-0/0/0 {
    unit 0 {
        clear-dont-fragment-bit;
        tunnel {
            source 10.255.255.1;
            destination 10.255.255.2;
            allow-fragmentation;
        }
        family inet {
            mtu 1400;
            address 192.168.0.1/30;
        }
    }
}

IKE配置(编辑安全ike):

proposal ike-prop {
    authentication-method pre-shared-keys;
    dh-group group5;
    authentication-algorithm sha1;
    encryption-algorithm aes-256-cbc;
    lifetime-seconds 28800;
}
policy ike-policy {
    mode main;
    proposals test-ike-prop;
    pre-shared-key ascii-text "test999";
}
gateway ike-gw {
    ike-policy test-ike-policy;
    address 203.0.113.2;
    dead-peer-detection;
    nat-keepalive 10;
    local-identity inet 203.0.113.1;
    remote-identity inet 203.0.113.2;
    external-interface fe-0/0/0.0;
    version v1-only;
}

IPSec配置(编辑安全ipsec):

proposal test-ipsec-prop {
    protocol esp;
    authentication-algorithm hmac-sha1-96;
    encryption-algorithm aes-256-cbc;
    lifetime-seconds 3600;
}

policy ipsec-policy {
    perfect-forward-secrecy {
        keys group5;
    }
    proposals ipsec-prop;
}

vpn ipsec-vpn {
    bind-interface st0.0;
    df-bit clear;
    ike {
        gateway ike-gw;
        proxy-identity {
            local 10.255.255.1/32;
            remote 10.255.255.2/32;
            service junos-gre;
        }
        ipsec-policy ipsec-policy;
    }
    establish-tunnels immediately;
}

路由配置：

routing-options {
    static {
        route 10.255.255.2/32 next-hop st0.0;
        #Default route exists, but not included
    }
}

防火墙配置：

但是，不包括防火墙配置，允许所有通信量如下：

从GRE到IPSec接口
从IPSec到GRE接口
从Wan1到IPSec接口
从IPSec到Wan1接口
从回程返回到IPSec接口
从IPsec到回溯接口
从GRE到保护网络
从保护网络到GRE

Fortigate侧

接口配置：

config system settings
    set allow-subnet-overlap enable
end

config system interface
    edit "wan1"
        set vdom "root"
        set ip 203.0.113.2 255.255.255.0
        set allowaccess ping
        set type physical
        set weight 1
        set alias "WAN"
    next
    edit "ipsec"
        set vdom "root"
        set ip 203.0.113.2 255.255.255.255
        set type tunnel
        set remote-ip 203.0.113.1
        set interface "wan1"
    next
    edit "gre"
        set vdom "root"
        set ip 192.168.0.2 255.255.255.255
        set allowaccess ping ssh
        set type tunnel
        set remote-ip 192.168.0.1
        set mtu 1400
        set interface "ipsec"
    next
end

config system gre-tunnel
    edit "gre"
        set interface "ipsec"
        set local-gw 203.0.113.2
        set remote-gw 203.0.113.1
    next
end

IKE配置：

config vpn ipsec phase1-interface
    edit "ike"
        set interface "wan1"
        set proposal aes256-sha1
        set peertype one
        set mode aggressive
        set localid "203.0.113.2"
        set remote-gw 203.0.113.1
        set peerid "203.0.113.1"
        set psksecret test999
    next
end

IPSec配置：

config vpn ipsec phase2-interface
    edit "ipsec"
        set dst-addr-type ip
        set keepalive enable
        set phase1name "ike"
        set proposal aes256-sha1
        set protocol 47
        set src-addr-type ip
        set dst-start-ip 203.0.113.1
        set keylifeseconds 3600
        set src-start-ip 203.0.113.2
    next
end

路由配置：

config router static
    edit 2
        set device ipsec
        set dst 10.255.255.1 255.255.255.255
    next
end

防火墙配置：

但是，不包括防火墙配置，允许所有通信量如下：

从GRE到IPSec接口
从IPSec到GRE接口
从Wan1到IPSec接口
从IPSec到Wan1接口
从回程返回到IPSec接口
从IPsec到回溯接口
从GRE到保护网络
从保护网络到GRE

请告诉我这种设置是否有效，这里有什么问题吗？我使用本地/远程标识，可以让IPSec出现，显示在安全关联表中，但是，永远无法获得GRE接口并具有可点击的远程地址。我也不能通过IPSec隧道回传遥控器。

如果有任何调试/输出需要故障排除，只需张贴注释。谢谢!

也许你有什么好的资源来安排这件事？无法在Fortinet/Juniper网站上找到任何有助于在这两个供应商之间安装的信息。你绝对可以找到一个与思科建立。

注意:使用的地址不是公共的，而是分配给在示例代码中使用的：https://www.rfc-editor.org/rfc/rfc5735

ipsec

fortigate

gre

juniper

回答 3

Network Engineering用户

发布于 2017-09-29 22:40:03

恕我直言，不。站起IPSec连接。然后，如果您需要在IPSec对等点后面的其他端点之间创建一个GRE隧道，比如从一对计算机或其他地方创建，只需在这些设备上配置GRE隧道即可。

您不希望或不需要在IPSec设备本身上创建额外的GRE隧道(因为您已经有了一个隧道-- IPSec隧道)。

票数 1

Network Engineering用户

发布于 2017-09-29 17:44:43

Juniper不能在一个接口中终止IPSEC和GRE，其中fortigate具有称为子网重叠的特性，这在SRX中是不存在的。

唯一的方法是分别在fortigate和SRX设备上创建一个回环，并进行尝试。这方面的文章不多(很难找到)。

我已经给出了一个线索。

很乐意帮忙..。

致以敬意，

拉吉夫R

票数 0

Network Engineering用户

发布于 2017-10-08 12:57:04

IPSEC不支持多播，因此RIP、OSPF和EIGRP是不可能的。如果要求排除了这一点，那么IPSEC就足够了。

票数 0

页面原文内容由Network Engineering提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://networkengineering.stackexchange.com/questions/28293

复制

相似问题

问基于IPsec的Juniper SRX100与Fortigate 100 D之间的GRE
EN

Juniper侧

接口配置：

IKE配置(编辑安全ike):

IPSec配置(编辑安全ipsec):

路由配置：

防火墙配置：

Fortigate侧

接口配置：

IKE配置：

IPSec配置：

路由配置：

防火墙配置：

回答 3

Network Engineering用户

Network Engineering用户

Network Engineering用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问基于IPsec的Juniper SRX100与Fortigate 100 D之间的GREEN

Juniper侧

接口配置：

IKE配置(编辑安全ike):

IPSec配置(编辑安全ipsec):

路由配置：

防火墙配置：

Fortigate侧

接口配置：

IKE配置：

IPSec配置：

路由配置：

防火墙配置：

回答 3

Network Engineering用户

Network Engineering用户

Network Engineering用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问基于IPsec的Juniper SRX100与Fortigate 100 D之间的GRE
EN