Zwischen zwei Netzen soll ein VPN eingerichtet werden. Das Netz der Firma B ist sehr groß (255.255.0.0) und der Administrator der Firma A möchte dieses 16 Bit Netz in seiner Konfiguration nicht berückichtigen, damit es später keine Überschneidungen mit anderen Kunden gibt.
Der Zugriff vom dem Netz B auf das Netz A soll hinter der IP des VPN Gateways des B Netzes maskiert werden.
Wir wird so etwas auf einem Juniper SSG Firewall umgesetzt ?
- Beide VPN Phasen korrekt einrichten
- Ein Tunnel Interface einrichten, das Interface in eine separate Zone legen
- Die Proxy-ID auf beiden Seiten korrekt einrichten
- Eine Policy anlegen, die den Zugriff vom Netz B auf das Netz A erlaubt.
- In dieser Policy wird die Source NAT aktiviert, so dass alle Pakete vom Netz B zum Netz A mit der IP des Trust Interface des VPN gateways dim Netz B verschickt werden.
Hier noch der Auszug aus dem „debug flow“.
EF-SSG-1(M)-> get db stream
****** 4133903.0: <Trust/ethernet0/0> packet received [60]******
ipid = 30072(7578), @2d4ac110
packet passed sanity check.
flow_decap_vector IPv4 process
ethernet0/0:10.136.100.2/2889->192.168.14.193/1,1(8/0)<Root>
no session found
flow_first_sanity_check: in <ethernet0/0>, out <N/A>
chose interface ethernet0/0 as incoming nat if.
flow_first_routing: in <ethernet0/0>, out <N/A>
search route to (ethernet0/0, 10.136.100.2->192.168.14.193) in vr trust-vr for vsd-0/flag-0/ifp-null
cached route 775 for 192.168.14.193
[ Dest] 775.route 192.168.14.193->192.168.14.193, to tunnel.62
routed (x_dst_ip 192.168.14.193) from ethernet0/0 (ethernet0/0 in 0) to tunnel.62
policy search from zone 2-> zone 114
policy_flow_search policy search nat_crt from zone 2-> zone 114
RPC Mapping Table search returned 0 matched service(s) for (vsys Root, ip 192.168.14.193, port 16914, proto 1)
No SW RPC rule match, search HW rule
swrs_search_ip: policy matched id/idx/action = 581/0/0x9
Permitted by policy 581
dip id = 2, 10.136.100.2/2889->10.136.61.100/13629
NHTB entry search not found: vpn none tif tunnel.62 nexthop 192.168.14.193
matched proxy-id <10.136.61.0/24, 192.168.14.192/29, 0, 0> with tunnel-id <0x000000f4>
matched tunnel-id <0x000000f4>
choose interface tunnel.62 as outgoing phy if
check nsrp pak fwd: in_tun=0xffffffff, VSD 0 for out ifp tunnel.62
vsd 0 is active
no loop on ifp tunnel.62.
session application type 0, name None, nas_id 0, timeout 60sec
service lookup identified service 0.
flow_first_final_check: in <ethernet0/0>, out <tunnel.62>
existing vector list 25-b4b851c.
Session (id:247885) created for first pak 25
flow_first_install_session======>
handle cleartext reverse route
search route to (tunnel.62, 192.168.14.193->10.136.100.2) in vr trust-vr for vsd-0/flag-3000/ifp-ethernet0/0
cached route 0 for 10.136.100.2
add route 1722 for 10.136.100.2 to route cache table
[ Dest] 1722.route 10.136.100.2->10.136.61.1, to ethernet0/0
route to 10.136.61.1
cached arp entry with MAC 000000000000 for 10.136.61.1
add arp entry with MAC 0204963596c5 for 10.136.61.1 to cache table
arp entry found for 10.136.61.1
ifp2 ethernet0/0, out_ifp ethernet0/0, flag 00800801, tunnel ffffffff, rc 1
flow got session.
flow session id 247885
flow_main_body_vector in ifp ethernet0/0 out ifp tunnel.62
flow vector index 0x25, vector addr 0xb4b851c, orig vector 0xb4b851c
vsd 0 is active
post addr xlation: 10.136.61.100->192.168.14.193.
skipping pre-frag
going into tunnel 400000f4.
flow_encrypt: pipeline.
chip info: PIO. Tunnel id 000000f4
(vn2) doing ESP encryption and size =64
ESP-tunnel packet, set dscp to 0(tos 0)
ipsec encrypt prepare engine done