เจเฉเจเจพ
เจฆเฉ เจกเจฟเจตเจพเจเจธเจพเจ เจฆเฉ เจตเจฟเจเจเจพเจฐ เจเฉฑเจ VPN เจธเฉเจฐเฉฐเจ เจจเฉเฉฐ เจธเฉฐเจเจ เจฟเจค เจเจฐเจจเจพ เจเจผเจฐเฉเจฐเฉ เจนเฉ, เจเจฟเจตเฉเจ เจเจฟ SRX เจฒเจพเจเจจ เจฆเฉ เจฎเจฟเจเจฐเฉเจเจฟเจ เจ เจคเฉ เจเฉเจจเฉเจชเจฐเฅค
เจธเจพเจกเฉ เจเฉเจฒ เจเฉ เจนเฉ
เจฎเจฟเจเจฐเฉเจเจฟเจเจธ เจตเจฟเฉฑเจเฉเจ, เจ เจธเฉเจ เจตเฉเจฌเจธเจพเจเจ 'เจคเฉ เจเฉฑเจ เจฎเจฟเจเจฐเฉเจเจฟเจ เจตเจฟเจเฉ เจฆเฉ เจเฉเจฃ เจเฉเจคเฉ, เจเฉฑเจ เจฎเจพเจกเจฒ เจเฉ IPSec เจนเจพเจฐเจกเจตเฉเจ เจฐ เจเจจเจเฉเจฐเจฟเจชเจธเจผเจจ เจฆเจพ เจธเจฎเจฐเจฅเจจ เจเจฐ เจธเจเจฆเจพ เจนเฉ, เจธเจพเจกเฉ เจฐเจพเจ เจตเจฟเฉฑเจ, เจเจน เจเจพเจซเจผเฉ เจธเฉฐเจเฉเจช เจ เจคเฉ เจธเจธเจคเจพ เจจเจฟเจเจฒเจฟเจ, เจ เจฐเจฅเจพเจค Mikrotik hEXS.
USB เจฎเฉเจกเจฎ เจจเฉเฉฐ เจจเจเจผเจฆเฉเจเฉ เจฎเฉเจฌเจพเจเจฒ เจเจชเจฐเฉเจเจฐ เจคเฉเจ เจเจฐเฉเจฆเจฟเจ เจเจฟเจ เจธเฉ, เจฎเจพเจกเจฒ Huawei E3370 เจธเฉเฅค เจ เจธเฉเจ เจเจชเจฐเฉเจเจฐ เจคเฉเจ เจกเฉเจเจชเจฒ เจเจฐเจจ เจฒเจ เจเฉเจ เจเจพเจฐเจตเจพเจ เจจเจนเฉเจ เจเฉเจคเฉเฅค เจนเจฐ เจเฉเจเจผ เจฎเจฟเจเจฐเฉ เจนเฉ เจ เจคเฉ เจเจชเจฐเฉเจเจฐ เจฆเฉเจเจฐเจพ เจธเจฟเจฒเจพเจ เจเฉเจคเฉ เจเจพเจเจฆเฉ เจนเฉเฅค
เจเฉเจฐ เจตเจฟเฉฑเจ เจเฉฑเจ เจเฉเจจเฉเจชเจฐ SRX240H เจเฉเจเจฆเจฐเฉ เจฐเจพเจเจเจฐ เจนเฉเฅค
เจเฉ เจนเฉเจเจ
เจเฉฑเจ เจเจพเจฐเจ เจฏเฉเจเจจเจพ เจจเฉเฉฐ เจฒเจพเจเฉ เจเจฐเจจเจพ เจธเฉฐเจญเจต เจธเฉ เจเฉ เจเฉฑเจ เจธเจฅเจฟเจฐ เจชเจคเฉ เจฆเฉ เจฌเจฟเจจเจพเจ, เจเฉฑเจ IPsec เจเจจเฉเจเจธเจผเจจ เจฌเจฃเจพเจเจฃ เจฒเจ เจเฉฑเจ เจฎเจพเจกเจฎ เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจเฉ เจเจฟเจธ เจตเจฟเฉฑเจ GRE เจธเฉเจฐเฉฐเจ เจจเฉเฉฐ เจฒเจชเฉเจเจฟเจ เจเจฟเจ เจนเฉ, เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจจ เจฆเฉ เจเจเจพเจเจผเจค เจฆเจฟเฉฐเจฆเจพ เจนเฉเฅค
เจเจน เจเฉเจจเฉเจเจธเจผเจจ เจธเจเฉเจฎ เจตเจฐเจคเฉ เจเจพเจเจฆเฉ เจนเฉ เจ เจคเฉ เจฌเฉเจฒเจพเจเจจ เจ เจคเฉ เจฎเฉเจเจพเจซเฉเจจ USB เจฎเจพเจกเจฎเจพเจ 'เจคเฉ เจเฉฐเจฎ เจเจฐเจฆเฉ เจนเฉเฅค
เจธเฉฐเจฐเจเจจเจพ เจนเฉเจ เจฒเจฟเจเฉ เจ เจจเฉเจธเจพเจฐ เจนเฉ:
เจเฉเจจเฉเจชเจฐ SRX240H เจเจฐเจจเจฒ เจตเจฟเฉฑเจ เจธเจฅเจพเจชเจฟเจค เจเฉเจคเจพ เจเจฟเจ
เจธเจฅเจพเจจเจ เจชเจคเจพ: 192.168.1.1/24
เจฌเจพเจนเจฐเฉ เจชเจคเจพ: 1.1.1.1/30
GW: 1.1.1.2
เจฐเจฟเจฎเฉเจ เจฌเจฟเฉฐเจฆเฉ
เจฎเจพเจเจเจฐเฉเจเจฟเจ เจนเฉเจเจธ เจเฉฑเจธ
เจธเจฅเจพเจจเจ เจชเจคเจพ: 192.168.152.1/24
เจฌเจพเจนเจฐเฉ เจชเจคเจพ: เจเจคเฉเจธเจผเฉเจฒ
เจเฉฐเจฎ เจจเฉเฉฐ เจธเจฎเจเจฃ เจฒเจ เจเฉฑเจ เจเฉเจเจพ เจเจฟเฉฑเจคเจฐ:
เจเฉเจจเฉเจชเจฐ SRX240 เจธเฉฐเจฐเจเจจเจพ:
เจเฉเจจเฉเจธ เจธเจพเจซเจเจตเฉเจ เจฐ เจฐเฉเจฒเฉเจเจผ เจธเฉฐเจธเจเจฐเจฃ [12.1X46-D82]
เจเฉเจจเฉเจชเจฐ เจธเฉฐเจฐเจเจจเจพ
interfaces {
ge-0/0/0 {
description Internet-1;
unit 0 {
family inet {
address 1.1.1.1/30;
}
}
}
gr-0/0/0 {
unit 1 {
description GRE-Tunnel;
tunnel {
source 172.31.152.2;
destination 172.31.152.1;
}
family inet;
vlan {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
st0 {
unit 5 {
description "Area - 192.168.152.0/24";
family inet {
mtu 1400;
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.1.2;
route 192.168.152.0/24 next-hop gr-0/0/0.1;
route 172.31.152.0/30 next-hop st0.5;
}
router-id 192.168.1.1;
}
security {
ike {
traceoptions {
file vpn.log size 256k files 5;
flag all;
}
policy ike-gretunnel {
mode aggressive;
description area-192.168.152.0;
proposal-set standard;
pre-shared-key ascii-text "mysecret"; ## SECRET-DATA
}
gateway gw-gretunnel {
ike-policy ike-gretunnel;
dynamic inet 172.31.152.1;
external-interface ge-0/0/0.0;
version v2-only;
}
ipsec {
}
policy vpn-policy0 {
perfect-forward-secrecy {
keys group2;
}
proposal-set standard;
}
vpn vpn-gretunnel {
bind-interface st0.5;
df-bit copy;
vpn-monitor {
optimized;
source-interface st0.5;
destination-ip 172.31.152.1;
}
ike {
gateway gw-gretunnel;
no-anti-replay;
ipsec-policy vpn-policy0;
install-interval 10;
}
establish-tunnels immediately;
}
}
policies {
from-zone vpn to-zone vpn {
policy st-vpn-vpn {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
count;
}
}
}
from-zone trust to-zone vpn {
policy st-trust-to-vpn {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
count;
}
}
}
from-zone vpn to-zone trust {
policy st-vpn-to-trust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
count;
}
}
}
zones {
security-zone trust {
vlan.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
security-zone vpn {
interfaces {
st0.5 {
host-inbound-traffic {
protocols {
ospf;
}
}
}
gr-0/0/0.1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
security-zone untrust {
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
ping;
ssh;
ike;
}
}
}
}
}
vlans {
vlan-local {
vlan-id 5;
l3-interface vlan.1;
}Mikrotik hEX S เจธเฉฐเจฐเจเจจเจพ:
RouterOS เจธเจพเจซเจเจตเฉเจ เจฐ เจธเฉฐเจธเจเจฐเจฃ [6.44.3]
เจฎเจพเจเจเจฐเฉเจเจฟเจ เจธเฉฐเจฐเจเจจเจพ
/ip address
add address=172.31.152.1/24 comment=GRE-Tunnel interface=gre-srx network=172.31.152.0
add address=192.168.152.1/24 comment=Local-Area interface=bridge network=192.168.152.0
/interface gre
add comment=GRE-Tunnel-SRX-HQ !keepalive local-address=172.31.152.1 name=gre-srx remote-address=172.31.152.2
/ip ipsec policy group
add name=srx-gre
/ip ipsec profile
add dh-group=modp1024 dpd-interval=10s name=profile1
/ip ipsec peer
add address=1.1.1.1/32 comment=GRE-SRX exchange-mode=aggressive local-address=172.31.152.1 name=peer2 profile=profile1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc,3des
add enc-algorithms=aes-128-cbc,3des name=proposal1
/ip route
add distance=10 dst-address=192.168.0.0/16 gateway=gre-srx
/ip ipsec identity
add comment=IPSec-GRE my-id=address:172.31.152.1 peer=peer2 policy-template-group=srx-gre secret=mysecret
/ip ipsec policy
set 0 disabled=yes
add dst-address=0.0.0.0/0 proposal=proposal1 sa-dst-address=1.1.1.1 sa-src-address=172.31.152.1 src-address=172.31.152.0/30 tunnel=yes
/ip address
add address=172.31.152.1/24 comment=GRE-Tunnel interface=gre-srx network=172.31.152.0
add address=192.168.152.1/24 comment=Local-Area interface=bridge network=192.168.152.0
เจจเจคเฉเจเจพ:
เจเฉเจจเฉเจชเจฐ SRX เจธเจพเจเจก
netscreen@srx240> ping 192.168.152.1
PING 192.168.152.1 (192.168.152.1): 56 data bytes
64 bytes from 192.168.152.1: icmp_seq=0 ttl=64 time=29.290 ms
64 bytes from 192.168.152.1: icmp_seq=1 ttl=64 time=28.126 ms
64 bytes from 192.168.152.1: icmp_seq=2 ttl=64 time=26.775 ms
64 bytes from 192.168.152.1: icmp_seq=3 ttl=64 time=25.401 ms
^C
--- 192.168.152.1 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max/stddev = 25.401/27.398/29.290/1.457 msเจฎเจฟเจเจฐเฉเจเจฟเจ เจชเจพเจธเฉ เจคเฉเจ
net[admin@GW-LTE-] > ping 192.168.1.1
SEQ HOST SIZE TTL TIME STATUS
0 192.168.1.1 56 64 34ms
1 192.168.1.1 56 64 40ms
2 192.168.1.1 56 64 37ms
3 192.168.1.1 56 64 40ms
4 192.168.1.1 56 64 51ms
sent=5 received=5 packet-loss=0% min-rtt=34ms avg-rtt=40ms max-rtt=51ms เจธเจฟเฉฑเจเจพ
เจเฉฐเจฎ เจเฉเจคเฉ เจเจพเจฃ เจคเฉเจ เจฌเจพเจ เจฆ, เจธเจพเจจเฉเฉฐ เจเฉฑเจ เจธเจฅเจฟเจฐ VPN เจธเฉเจฐเฉฐเจ เจชเฉเจฐเจพเจชเจค เจนเฉเจ, เจฐเจฟเจฎเฉเจ เจจเฉเจเจตเจฐเจ เจคเฉเจ เจธเจพเจกเฉ เจเฉเจฒ เจชเฉเจฐเฉ เจจเฉเจเจตเจฐเจ เจคเฉฑเจ เจชเจนเฉเฉฐเจ เจนเฉ เจเฉ เจเจฟ เจเฉเจจเฉเจชเจฐ เจฆเฉ เจชเจฟเฉฑเจเฉ เจธเจฅเจฟเจค เจนเฉ, เจ เจคเฉ, เจเจธเจฆเฉ เจ เจจเฉเจธเจพเจฐ, เจตเจพเจชเจธ.
เจฎเฉเจ เจเจธ เจธเจเฉเจฎ เจตเจฟเฉฑเจ IKE2 เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจจ เจฆเฉ เจธเจฟเจซเจพเจฐเจธเจผ เจจเจนเฉเจ เจเจฐเจฆเจพ เจนเจพเจ, เจ
เจเจฟเจนเฉ เจธเจฅเจฟเจคเฉ เจธเฉ เจเจฟ เจเฉฑเจ เจเจพเจ เจเจฟเจธเฉ เจนเฉเจฐ เจกเจฟเจตเจพเจเจธ เจจเฉเฉฐ เจฐเฉเจฌเฉเจ เจเจฐเจจ เจคเฉเจ เจฌเจพเจ
เจฆ, IPSec เจจเจนเฉเจ เจตเจงเจฆเจพ.
เจธเจฐเฉเจค: www.habr.com