VPN on SRX 100SU



  • I am having issues setting up a VPN between two Juniper SRX 100SU, as far as I can tell I have set all VPN option correctly however I am still stuck.
    If I post the config could I ask everyone’s opinion on what I did wrong?



  • Are you still experiencing an issue?



  • My config is set as per below:

    Office config:
    
    version 10.3R2.11;
    system {
        host-name Gateway01;
        domain-name AAA;
        time-zone Europe/London;
        root-authentication {
            encrypted-password "AAAZ4qQLc8z$MNeAmQE/7tV6nuZmfN0xp1";
        }
        services {
            ssh;
            telnet;
            xnm-clear-text;
            web-management {
                http {
                    interface vlan.0;
                }
                https {
                    system-generated-certificate;
                    interface vlan.0;
                }
            }
            dhcp {
                propagate-settings fe-0/0/0.0;
            }
        }
        syslog {
            archive size 100k files 3;
            user * {
                any emergency;
            }
            file messages {
                any critical;
                authorization info;
            }
            file interactive-commands {
                interactive-commands error;
            }
        }
        max-configurations-on-flash 5;
        max-configuration-rollbacks 5;
        license {
            autoupdate {
                url https://ae1.juniper.net/junos/key_retrieval;
            }
        }
        ntp {
            server 192.168.123.5;
        }
    }
    interfaces {
        fe-0/0/0 {
            speed 100m;
            link-mode full-duplex;
            unit 0 {
                family inet {
                    address 10.28.79.188/20;
                }
            }
        }
        fe-0/0/1 {
            unit 0 {
                family ethernet-switching {
                    port-mode access;
                    vlan {
                        members vlan-trust;
                    }
                }
            }
        }
        fe-0/0/2 {
            unit 0 {
                family ethernet-switching {
                    vlan {
                        members vlan-trust;
                    }
                }
            }
        }
        fe-0/0/3 {
            unit 0 {
                family ethernet-switching {
                    vlan {
                        members vlan-trust;
                    }
                }
            }
        }
        fe-0/0/4 {
            unit 0 {
                family ethernet-switching {
                    vlan {
                        members vlan-trust;
                    }
                }
            }
        }
        fe-0/0/5 {
            unit 0 {
                family ethernet-switching {
                    vlan {
                        members vlan-trust;
                    }
                }
            }
        }
        fe-0/0/6 {
            unit 0 {
                family ethernet-switching {
                    vlan {
                        members vlan-trust;
                    }
                }
            }
        }
        fe-0/0/7 {
            unit 0 {
                family ethernet-switching {
                    port-mode access;
                    vlan {
                        members vlan-trust;
                    }
                }
            }
        }
        lo0 {
            unit 0 {
                family inet {
                    address 127.0.0.1/32;
                    address 192.168.123.252/32;
                }
            }
        }
        st0 {
            unit 0 {
                family inet {
                    address 10.28.79.187/28;
                }
            }
        }
        vlan {
            unit 0 {
                family inet {
                    address 192.168.122.254/23;
                }
            }
        }
    }
    routing-options {
        static {
            route 0.0.0.0/0 next-hop 10.28.79.190;
            route 192.168.222.0/23 next-hop st0.0;
        }
    }
    protocols {
        stp;
    }
    security {
        ike {
            respond-bad-spi 5;
            proposal ike-prop-cfgr {
                authentication-method pre-shared-keys;
                dh-group group1;
                authentication-algorithm md5;
                encryption-algorithm 3des-cbc;
                lifetime-seconds 10000;
            }
            policy ike-policy-cfgr {
                mode main;
                proposal-set standard;
                pre-shared-key ascii-text "AAA06AyBSrWL7-bYhSb2oJHkuOBRrevMLx-VqmBREcKvik.fF6ApOIhrfTrKv8Vbg4aZDkn6AOIhO187VY4oGUjHfzn6CtuB";
            }
            gateway ike-gate-cfgr {
                ike-policy ike-policy-cfgr;
                address 10.58.39.201;
                dead-peer-detection {
                    always-send;
                    interval 10;
                    threshold 5;
                }
                nat-keepalive 5;
                external-interface fe-0/0/0.0;
            }
        }
        ipsec {
            vpn-monitor-options {
                interval 10;
                threshold 10;
            }
            policy ipsec-policy-cfgr {
                perfect-forward-secrecy {
                    keys group1;
                }
                proposal-set standard;
            }
            vpn ipsec-vpn-cfgr {
                bind-interface st0.0;
                vpn-monitor {
                    optimized;
                }
                ike {
                    gateway ike-gate-cfgr;
                    ipsec-policy ipsec-policy-cfgr;
                }
            }
        }
        nat {
            source {
                rule-set trust-to-untrust {
                    from zone trust;
                    to zone untrust;
                    rule source-nat-rule {
                        match {
                            source-address 0.0.0.0/0;
                        }
                        then {
                            source-nat {
                                interface;
                            }
                        }
                    }
                }
            }
        }
        screen {
            ids-option untrust-screen {
                icmp {
                    ping-death;
                }
                ip {
                    source-route-option;
                    tear-drop;
                }
                tcp {
                    syn-flood {
                        alarm-threshold 1024;
                        attack-threshold 200;
                        source-threshold 1024;
                        destination-threshold 2048;
                        timeout 20;
                    }
                    land;
                }
            }
        }
        zones {
            security-zone trust {
                address-book {
                    address net-cfgr_192-168-122-0--23 192.168.122.0/23;
                }
                host-inbound-traffic {
                    system-services {
                        all;
                    }
                    protocols {
                        all;
                    }
                }
                interfaces {
                    vlan.0;
                    fe-0/0/1.0;
                    fe-0/0/7.0;
                }
            }
            security-zone untrust {
                screen untrust-screen;
                host-inbound-traffic {
                    system-services {
                        ike;
                    }
                }
                interfaces {
                    fe-0/0/0.0 {
                        host-inbound-traffic {
                            system-services {
                                dhcp;
                                tftp;
                                ike;
                            }
                        }
                    }
                }
            }
            security-zone vpn {
                address-book {
                    address net-cfgr_192-168-222-0--23 192.168.222.0/23;
                }
                host-inbound-traffic {
                    system-services {
                        all;
                    }
                    protocols {
                        all;
                    }
                }
                interfaces {
                    st0.0 {
                        host-inbound-traffic {
                            system-services {
                                all;
                            }
                            protocols {
                                all;
                            }
                        }
                    }
                }
            }
        }
        policies {
            from-zone trust to-zone untrust {
                policy trust-to-untrust {
                    match {
                        source-address any;
                        destination-address any;
                        application any;
                    }
                    then {
                        permit;
                    }
                }
            }
            from-zone trust to-zone vpn {
                policy trust-vpn-cfgr {
                    match {
                        source-address net-cfgr_192-168-122-0--23;
                        destination-address net-cfgr_192-168-222-0--23;
                        application any;
                    }
                    then {
                        permit;
                    }
                }
            }
            from-zone vpn to-zone trust {
                policy vpn-trust-cfgr {
                    match {
                        source-address net-cfgr_192-168-222-0--23;
                        destination-address net-cfgr_192-168-122-0--23;
                        application any;
                    }
                    then {
                        permit;
                    }
                }
            }
        }
        utm {
            feature-profile {
                anti-spam {
                    sbl {
                        profile junos-as-defaults {
                            spam-action tag-subject;
                        }
                    }
                }
            }
        }
    }
    applications {
        application RDP {
            protocol tcp;
            source-port 12211;
            destination-port 3389;
            inactivity-timeout 300;
        }
    }
    vlans {
        vlan-trust {
            vlan-id 3;
            l3-interface vlan.0;
        }
    }
    
    Remote site config:
    
    version 10.3R2.11;
    system {
        host-name Gateway02;
        time-zone Europe/London;
        root-authentication {
            encrypted-password "AAAZ4qQLc8z$MNeAmQE/7tV6nuZmfN0xp1";
        }
        services {
            ssh;
            xnm-clear-text;
            web-management {
                http {
                    interface vlan.0;
                }
                https {
                    system-generated-certificate;
                    interface vlan.0;
                }
            }
            dhcp {
                pool 192.168.222.0/23 {
                    address-range low 192.168.222.50 high 192.168.222.60;
                }
                propagate-settings fe-0/0/0.0;
            }
        }
        syslog {
            archive size 100k files 3;
            user * {
                any emergency;
            }
            file messages {
                any critical;
                authorization info;
            }
            file interactive-commands {
                interactive-commands error;
            }
        }
        max-configurations-on-flash 5;
        max-configuration-rollbacks 5;
        license {
            autoupdate {
                url https://ae1.juniper.net/junos/key_retrieval;
            }
        }
        ntp {
            server 192.168.123.5;
        }
    }
    interfaces {
        fe-0/0/0 {
            unit 0 {
                family inet {
                    address 10.58.39.201/24;
                }
            }
        }
        fe-0/0/1 {
            unit 0 {
                family ethernet-switching {
                    port-mode access;
                    vlan {
                        members vlan-trust;
                    }
                }
            }
        }
        fe-0/0/2 {
            unit 0 {
                family ethernet-switching {
                    port-mode access;
                    vlan {
                        members vlan-trust;
                    }
                }
            }
        }
        fe-0/0/3 {
            unit 0 {
                family ethernet-switching {
                    port-mode access;
                    vlan {
                        members vlan-trust;
                    }
                }
            }
        }
        fe-0/0/4 {
            unit 0 {
                family ethernet-switching {
                    port-mode access;
                    vlan {
                        members vlan-trust;
                    }
                }
            }
        }
        fe-0/0/5 {
            unit 0 {
                family ethernet-switching {
                    vlan {
                        members vlan-trust;
                    }
                }
            }
        }
        fe-0/0/6 {
            unit 0 {
                family ethernet-switching {
                    vlan {
                        members vlan-trust;
                    }
                }
            }
        }
        fe-0/0/7 {
            unit 0;
        }
        lo0 {
            unit 0 {
                family inet {
                    address 127.0.0.1/32;
                }
            }
        }
        st0 {
            unit 0 {
                family inet {
                    address 10.58.39.201/28;
                }
            }
        }
        vlan {
            unit 0 {
                family inet {
                    address 192.168.222.1/23;
                }
            }
        }
    }
    routing-options {
        static {
            route 0.0.0.0/0 next-hop 10.58.39.254;
            route 192.168.122.0/23 next-hop st0.0;
        }
    }
    protocols {
        stp;
    }
    security {
        ike {
            respond-bad-spi 10;
            policy ike-policy-cfgr {
                mode main;
                proposal-set standard;
                pre-shared-key ascii-text "AAAghojHfTFn9tUj9pO1yr24oZHqmPTzn/lKoZGD.mSreMx-wY4JUHM8H.m5/9u0BIhrN-w4JU4a5F/t0OREcyMXN-bs2o";
            }
            gateway ike-gate-cfgr {
                ike-policy ike-policy-cfgr;
                address 10.28.79.188;
                dead-peer-detection {
                    always-send;
                    threshold 5;
                }
                external-interface fe-0/0/0.0;
            }
        }
        ipsec {
            vpn-monitor-options {
                interval 10;
                threshold 10;
            }
            policy ipsec-policy-cfgr {
                perfect-forward-secrecy {
                    keys group1;
                }
                proposal-set standard;
            }
            vpn ipsec-vpn-cfgr {
                bind-interface st0.0;
                vpn-monitor {
                    optimized;
                }
                ike {
                    gateway ike-gate-cfgr;
                    ipsec-policy ipsec-policy-cfgr;
                }
            }
        }
        nat {
            source {
                rule-set trust-to-untrust {
                    from zone trust;
                    to zone untrust;
                    rule source-nat-rule {
                        match {
                            source-address 0.0.0.0/0;
                        }
                        then {
                            source-nat {
                                interface;
                            }
                        }
                    }
                }
            }
            destination {
                rule-set rdpin {
                    from interface fe-0/0/0.0;
                    rule rdprule1 {
                        match {
                            source-address 10.58.39.201/32;
                            destination-address 192.168.222.20/32;
                            destination-port 3389;
                        }
                        then {
                            destination-nat off;
                        }
                    }
                }
            }
        }
        screen {
            ids-option untrust-screen {
                icmp {
                    ping-death;
                }
                ip {
                    source-route-option;
                    tear-drop;
                }
                tcp {
                    syn-flood {
                        alarm-threshold 1024;
                        attack-threshold 200;
                        source-threshold 1024;
                        destination-threshold 2048;
                        timeout 20;
                    }
                    land;
                }
            }
        }
        zones {
            security-zone trust {
                address-book {
                    address net-cfgr_192-168-222-0--23 192.168.222.0/23;
                }
                host-inbound-traffic {
                    system-services {
                        all;
                    }
                    protocols {
                        all;
                    }
                }
                interfaces {
                    vlan.0;
                    fe-0/0/1.0;
                    fe-0/0/2.0;
                    fe-0/0/4.0;
                    fe-0/0/3.0;
                }
            }
            security-zone untrust {
                screen untrust-screen;
                host-inbound-traffic {
                    system-services {
                        ike;
                    }
                }
                interfaces {
                    fe-0/0/0.0 {
                        host-inbound-traffic {
                            system-services {
                                all;
                            }
                            protocols {
                                all;
                            }
                        }
                    }
                }
            }
            security-zone vpn {
                address-book {
                    address net-cfgr_192-168-122-0--23 192.168.122.0/23;
                }
                host-inbound-traffic {
                    system-services {
                        all;
                    }
                    protocols {
                        all;
                    }
                }
                interfaces {
                    st0.0 {
                        host-inbound-traffic {
                            system-services {
                                all;
                            }
                            protocols {
                                all;
                            }
                        }
                    }
                }
            }
        }
        policies {
            from-zone trust to-zone untrust {
                policy trust-to-untrust {
                    match {
                        source-address any;
                        destination-address any;
                        application any;
                    }
                    then {
                        permit;
                    }
                }
            }
            from-zone trust to-zone vpn {
                policy trust-vpn-cfgr {
                    match {
                        source-address net-cfgr_192-168-222-0--23;
                        destination-address net-cfgr_192-168-122-0--23;
                        application any;
                    }
                    then {
                        permit;
                    }
                }
            }
            from-zone vpn to-zone trust {
                policy vpn-trust-cfgr {
                    match {
                        source-address net-cfgr_192-168-122-0--23;
                        destination-address net-cfgr_192-168-222-0--23;
                        application any;
                    }
                    then {
                        permit;
                    }
                }
            }
        }
    }
    ethernet-switching-options {
        voip;
    }
    vlans {
        vlan-trust {
            vlan-id 3;
            l3-interface vlan.0;
        }
    }
    
    

 

35
Online

38.4k
Users

12.7k
Topics

44.5k
Posts