第2步:建立 Juniper IPSec 站到站通道

Jamf Connect 說明文件
Solution
Application
Jamf Connect
Content Type
技術說明文件
Utilities & Services
ft:locale
zh-TW
  1. 在 Juniper J-Web 主控台上,選取側邊功能表中的 VPN,再選取 "IPSec VPN"
  2. 按一下 Create VPN (建立 VPN)
  3. 按一下 Site to Site (站到站) 建立新的站到站通道。
  4. 按如下方式定義新通道:
    1. 選擇名稱,例如Jamf_Private_Access
    2. (Optional) 輸入 說明
    3. Routing Mode (路由模式) 設為 "Traffic Selector (Auto Route Insertion) (流量選取器 (自動路由插入))"
      Note:

      這是建議的設定,但您的網路架構可能意味著您需要使用不同的設定。

    4. Authentication method (認證方法) 設為 "Pre-Shared Key (預共用金鑰)"
    5. Auto-create firewall policy (自動建立防火牆原則) 設為 "Yes (是)"
      Note:

      這是建議的設定,但您的路由配置可能意味著您需要使用不同的設定。

  5. 開啟 Remote Gateway (遠端閘道) 配置區段並進行配置,如下所示:
    1. IKE Identity (IKE 身分識別) 設為 "Host name (主機名稱)"
    2. Host name (主機名稱) 設為 "wpa.wandera.com"
    3. External IP Address (外部 IP 位址) 中,輸入在設定閘道時,於 Jamf Security Cloud 中提供的 Jamf 外部 IP 的逗號分隔清單。
    4. Protected Networks (受保護網路) 中,選取 Jamf Security Cloud 中的 Encryption Domain (加密網域) 欄位所指定的 "Jamf Security Side (Jamf Security 端)" 子網路。

      如果網路的 Available (可用) 表格尚未指定 Jamf Security Cloud 端子網路,請按一下 Add (新增) 以輸入它。

    5. 按一下 完成
    6. 確認變更。
  6. 開啟 Local Gateway (本機閘道) 配置設定,並進行如下配置:
    1. Local Identity (本機身分識別) 設為 "Host name (主機名稱)"
    2. Host Name (主機名稱) 設為針對 Jamf Security Cloud 中的 Customer IKE Domain (客戶 IKE 網域) 所定義的值。
    3. 對於 External interface (外部介面),選取指派給 IP 位址的外部介面,該位址是在 Jamf Security Cloud 針對 Customer Primary IP Address (客戶主要 IP 位址) 所定義。
    4. 選取要使用的通道介面,或視需要新增/編輯一個介面。
    5. Pre-shared key (預共用金鑰) 中,貼上在 Jamf Security Cloud 中產生的預共用金鑰,然後選取 "ASCII" 格式。
    6. 對於 Protected Networks (受保護網路),使用 按鈕來選取在 Jamf Security Cloud 中,於加密網域的客戶端配置中定義的網路。
    7. 按一下 Add (新增) 以定義 Available (可用) 清單中缺少的任何子網路。
    8. 按一下 完成
  7. 按一下頁面底部的 IKE and IPsec Settings (IKE 和 IPsec 設定) 功能表。
    1. 確認此處的設定與您在 Jamf Security Cloud 中設定互連時所建立的設定相同。
    2. IKE Settings (IKE 設定) 下,設定通道的詳細配置,如果您套用建議設定以外的設定,請視需要進行調整:
      • IKE 版本

        V2

      • 加密算法

        AES-GCM 256 位元

      • DH 群組

        群組 19

      • 生命週期 (秒)

        28800

      • 失效節點偵測

        (開啟)

      • DPO 模式

        最佳化

      • DPO 間隔

        10

      • DPO 閾值

        5.

      • IKEv2 重新認證

        0

      • IKEv2 分割

        (開啟)

      • NAT-T

        (開啟)

    3. IPsec Settings (IPsec 設定) 下,設定通道的詳細配置,如果您套用建議設定以外的設定,請視需要進行調整:
      • 通訊協定

        ESP

      • 加密算法

        AES-CBC 256 位元

      • 認證算法

        HMAC-SHA-256-128

      • 完整轉寄密碼

        群組 19

      • 建立通道

      • 反重放

        (開啟)

      • DF 位元

        清除

      • 複製外 DSCP

        (開啟)

      • 生命週期 (秒)

        28800

  8. 檢閱配置,然後按一下 Commit (認可) 發佈新配置。