Aktuell bereite ich ein paar kleine Netscreens vor, um als Cluster eine Location per VPN an unsere Zentrale anbinden zu koennen. Vielleicht koennte es ja fuer jemanden interessant sein zu sehen, wie das im Detail ausschaut.
Konfigurieren des ersten Clustermembers
Setzen des Hostnamens.
set hostname Erster
Die Zone „Untrust“ aus dem VR „trust-vr“ entfernen und in „untrust-vr“ bringen. Dafuer muss erst das Interface ethernet0/6 aus der Zone „Untrust“ herausgenommen werden. Das mache ich deshalb, damit ich spaeter nicht mit einer Hostroute arbeiten brauche. Die Alternative waere sonst, die Zone „Untrust“ im „trust-vr“ zu belassen und spaeter eine Hostroute (set route 192.168.50.1/32 interface ethernet0/0 gateway 192.168.100.1) auf den Tunnelendpunkt zu setzen.
unset interface eth0/0 zone
set zone Untrust vrouter untrust-vr
Die brgoup0 aufloesen, da sie nicht gebraucht wird.
unset interface bgroup0 port eth0/2
unset interface bgroup0 port eth0/3
unset interface bgroup0 port eth0/4
unset interface bgroup0 port eth0/5
unset interface bgroup0 port eth0/6
unset interface bgroup0 ip
unset interface bgroup0 zone
Das externe Interface in die Zone „Untrust“ bringen, eine IP-Adresse fuer das Interface setzen und in der vroute „untrust-vr“ eine Defaultroute setzen, die dann natuerlich auch fuer das ethernet0/0 zieht.
set interface eth0/0 zone untrust
set interface eth0/0 ip 192.168.100.10/24
set vroute untrust-vr
set route 0.0.0.0/0 interface ethernet0/0 gateway 192.168.100.1
exit
Das interne Interface in die Zone „Trust“ bringen, eine IP-Adresse setzen und die Managementmoeglichkeiten setzen.
set interface eth0/1 zone Trust
set interface eth0/1 ip 192.168.200.1/24
set interface eth0/1 manage
set interface eth0/1 manage ping
Eine neue Zone „VPN“ und ein Tunnelinterface „tunnel.1“ erstellen. Dort dann eine Defaultroute setzen.
set zone name VPN
set interface „tunnel.1“ zone „VPN“
set interface tunnel.1 ip unnumbered interface ethernet0/1
set route 0.0.0.0/0 interface tunnel.1
Phase1-Konfiguration des benoetigten VPN erstellen.
set ike gateway „Zentrale-FW“ address 192.168.50.1 Main outgoing-interface „ethernet0/0“ preshare „0123456789abcdefghijklmnopqrstuvwxyz“ proposal „pre-g2-3des-sha“
Phase2-Konfiguration des benoetigten VPN erstellen.
set vpn „Zentrale“ gateway „fw4“ no-replay tunnel idletime 0 proposal „g2-esp-3des-sha“
set vpn „Zentrale“ monitor source-interface ethernet0/1 destination-ip 192.168.50.1 rekey
set vpn „Zentrale“ id 1 bind interface tunnel.1
Ein paar Policies fuer den Zugriff einrichten.
unset policy id 1
set policy from „Trust“ to „VPN“ „Any“ „Any“ „Any“ permit log
set policy id 1
set log session-init
exit
set policy from „VPN“ to „Trust“ „Any“ „Any“ „Any“ permit log
set policy id 2
set log session-init
exit
Vorbereitung fuer NSRP (Cluster).
set zone name HA
set interface ethernet0/6 zone HA
NSRP konfigurieren und aktivieren.
set nsrp cluster id 7
set nsrp vsd-group id 0 preempt
set nsrp vsd-group id 0 priority 100
set nsrp interface ethernet0/6
save
Konfigurieren des zweiten Clustermembers
Setzen des Hostnamens.
set hostname Zweiter
Eine Zone „HA“ erstellen, das Interface ethernet0/6 aus der „bgroup0“ nehmen und anschliessend in die Zone „HA“ bringen.
set zone name HA
unset interface bgroup0 port eth0/6
unset interface ethernet0/6 zone
set interface ethernet0/6 zone HA
NSRP konfigurieren.
set nsrp cluster id 7
set nsrp vsd-group id 0 priority 110
set nsrp interface ethernet0/6
Zum Abschluss noch die Konfiguration vom Master holen.
exec nsrp sync global-config save
Wie so oft gibt es auch hier noch diverse Dinge die man zusaetzlich konfigurieren koennte. Das faengt beim Hinzufuegen eines neuen Users an (set admin user „$NAME“ password „$PASSWORD“ privilege „all“), geht ueber eine moegliche Authentifizierung per Key (siehe hierzu auch Login per Key an Netscreen) bis hin zur Feinkonfiguration des NSRP (set nsrp encrypt password $PASSWORD, set nsrp auth password $PASSWORD, set nsrp vsd-group id 0 monitor interface $INTERFACE).
Wenn der Tunnel nicht aufgebaut wird, hilft ein Blick ins Log (get log event). Eine Meldung wie „Rejected an IKE packet on ethernet1 from n.n.n.n:500 to n.n.n.n:500 with cookies 0123456789123456 and 0123456789123456 because there were no acceptable Phase 1 proposals.“ zeigt ja schon recht klar was geht, bzw. nicht geht 😉 Weitere beliebte Fehlerquelle ist eine falsch gesetzte oder fehlende Route (get route ip). Wenn alles nichts hilft, kann auch ein „debug flow basic“ hilfreich sein.