瞻博网络 SRX 空白代理身份

网络工程 虚拟专用网 网络安全 瞻博网络 回复
2021-07-12 02:43:17

我非常感谢您对以下问题的澄清。

我所看到的

我正在查看两种不同的 SRX210 防火墙,特别是它们的ipsec节。我看到以下内容让我想知道proxy-identity

admin@firewall> show configuration security ipsec vpn <vpn-name>
bind-interface st0.1;
ike {
    gateway <gateway>;
    proxy-identity;
    ipsec-policy <policy-name>;
}

如果我在ike之后打一个问号,则会产生以下内容,这对我理解这一点没有帮助:

admin@firewall# set security ipsec vpn <vpn-name> ike ?
Possible completions:
> proxy-identity       IPSec proxy-id to use in IKE negotiations

问题

如果在 SRX 的配置中proxy-identity之后不输入任何内容,会产生什么影响(如果有)

马克:为了安全起见,所有的名字和身份都被替换了

提前致谢!

2个回答

代理身份默认为您在策略中设置的任何内容(在基于策略的 VPN 的情况下)。在基于路由的 VPN 的情况下,它默认为:

proxy-identity {
   local 0.0.0.0/0;
   remote 0.0.0.0/0;
   service any;
}

Proxy-identity 仅用于协商 VPN 的 IKE 阶段,并且必须镜像 VPN 隧道其他站点上设置的 proxy-identity。一旦隧道建立,它对实际路由或允许流量通过隧道没有影响,这必须通过路由和/或策略来完成。

如果您可以访问 Juniper 路由器,您可以在其中处理 VPN 设置,这很容易验证。

没有代理身份设置

测试默认设置而不提及代理身份。

vpn ike-vpn {
    bind-interface st0.0;
    ike {
        gateway gw-vpn;
        ipsec-policy ipsec-phase2-policy;
    }
}

VPN 建立,使用 0.0.0.0/0 作为本地和远程子网:

root@srx-01> show security ipsec security-associations detail
  ID: 131073 Virtual-system: root, VPN Name: ike-vpn
  Local Gateway: 192.168.159.133, Remote Gateway: 192.168.159.128
  Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
  Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0

真实代理身份设置

作为第二个测试,我添加了真实的代理身份设置以匹配我的远程和本地子网:

vpn ike-vpn {
    bind-interface st0.0;
    ike {
        gateway gw-vpn;
        proxy-identity {
            local 10.2.1.0/24;
            remote 10.1.1.0/24;
        }
        ipsec-policy ipsec-phase2-policy;
    }
}

正如预期的那样,隧道是使用正确的本地和远程子网信息建立的: 

root@srx-01# run show security ipsec security-associations detail
  ID: 131073 Virtual-system: root, VPN Name: ike-vpn
  Local Gateway: 192.168.159.133, Remote Gateway: 192.168.159.128
  Local Identity: ipv4_subnet(any:0,[0..7]=10.2.1.0/24)
  Remote Identity: ipv4_subnet(any:0,[0..7]=10.1.1.0/24)

空白代理身份

现在我将从代理身份节中删除本地和远程子网:

vpn ike-vpn {
    bind-interface st0.0;
    ike {
        gateway gw-vpn;
        proxy-identity;
        ipsec-policy ipsec-phase2-policy;
    }
}

使用 0.0.0.0/0 作为本地和远程子网重新建立隧道。

root@srx-02# run show security ipsec security-associations detail
  ID: 131073 Virtual-system: root, VPN Name: ike-vpn
  Local Gateway: 192.168.159.128, Remote Gateway: 192.168.159.133
  Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
  Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)

换句话说,我的假设是正确的,将节留空意味着路由器使用其默认设置。

我不得不将 Cisco ASA5515 和 SRX220 之间的 P2P VPN 链接迁移到新的 FortiGate 500D 和相同的 SRX220。

SRX VPN 配置为基于路由的模式,但由于它必须与旧 ASA 通信,因此它包含已定义本地和远程子网的代理身份。

起初,我认为我必须将 SRX 更新为 beta 12.1x46 固件,这将允许我为代理身份指定 1 个以上的条目,以便在 1 个以上的子网上传递流量。但是,FortiNet 支持澄清说 FortiGate 不需要代理身份字段,我只是从 SRX 配置中删除了它。

我可以确认 RobinG 的答案是正确的。如果省略 proxy-identity 选项,本地和远程身份将为 0.0.0.0/0。这也是 FortiGate 上的预期行为。感谢您发布此问题,因为它极大地帮助了我迁移 VPN。

其它你可能感兴趣的问题
上一篇Cisco 2960S 和 2960X 系列上的速率限制特定 IP 地址 下一篇如何覆盖传出接口上的 802.1p CoS?