# Setting up a Policy-Based VPN Tunnel

1. Bind interfaces to zones and assign them IP addresses:
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Set the addresses for the end entities beyond the two ends of the VPN tunnel:
set address trust host1 10.1.1.5/32
set address untrust host2 10.2.2.5/32
3. Define the IKE Phase 1 proposal and Phase 2 proposal. If you use the default proposals, you do not need to
define Phase 1 and Phase 2 proposals.
4. Define the remote gateway:
set ike gateway gw1 address 2.2.2.2 main outgoing-interface ethernet3 preshare
netscreen proposal pre-g2-3des-sha
5. Define the VPN tunnel as AutoKey IKE:
set vpn vpn1 gateway gw1 proposal g2-esp-des-md5
6. Set a default route (both the Trust and Untrust zones are in the trust-vr routing domain):
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
7. Set outbound and inbound policies:
set policy from trust to untrust host1 host2 any tunnel vpn vpn1
set policy from untrust to trust host2 host1 any tunnel vpn vpn1
The procedure for setting up a VPN tunnel for a dialup user with IKE also constitutes up to seven steps.
1. Bind interfaces to zones and assign them IP addresses.
2. Define the protected address that you want the dialup user to be able to access through the tunnel. (See the
set address command.)
3. Define the user as an IKE user. (See the set user command.)
4. Define the IKE Phase 1 proposal, Phase 2 proposal, and remote gateway. (Note: If you use the default
proposals, you do not need to define a Phase 1 or Phase 2 proposal.)
5. Define the VPN tunnel as AutoKey IKE. (See the set vpn command.)
6. Set a default route (both the Trust and Untrust zones are in the trust-vr routing domain).
7. Define an incoming policy, with Dial-Up VPN as the source address and the VPN tunnel you configured in
step 5.

저작자 표시 비영리 변경 금지
신고

주중에 이중화 테스트로 인한 야간 작업이 있었다.
L4의 FWLB로 이중화가 되어 있다.
한쪽라인의 파워를 다 내렸다. 방화벽 또한 내렸다.
서비스 이상 여부 테스트 이후 다시 올리는데 문제가 발생했다.
뒤의 전원 스위치를 Off로 해서 내렸는데 다시 ON 하는데 IOS가 올라 오지를 않는다.
Console로 접속했는데 아무 반응도 없다. 뭔가 에러 표시라도 해줘야 뭘 찾기라도 하는데
정말 아무런 반응 없이 커서만 껌뻑 거린다.
전원을 다시 내렸다 올려도 마찬가지다.
Front의 Reset Hole도 몇번을 눌러 봤지만 반응이 없다.
이 새벽에 이일을 어찌 한단 말인가...
전화로 해서 대체 장비 좀 수배 해 달라고 연락 후 고민 고민... 방법이 없다.
마지막으로 전기적 쇼크를 의도적으로 주고자 스위치 ON 상태에서 전원 케이블을 뺏다 꽂았다.
IOS가 올라온다.
참나...
엔지니어지만 이런 경우는 설명도 힘들고 이해하기도 힘들다.
잠시간이었지만 이런 황당한 사건으로 스트레스를 받은건 사실이다.
아 요즘 들어 왜 이리 장애가 빈번한걸까....
저작자 표시
신고