拠点間VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(Juniper SSG)
拠点側VPN装置にJuniper SSGシリーズを使用した場合の設定です。
下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ:VPNコネクション:作成
構成
拠点間VPNゲートウェイを利用し、ニフクラとお客様拠点をIPsec VPN(L3VPN)で接続するためには、以下の項目を事前にご確認ください。
以降の設定手順、確認手順では下記を検証環境、構成例として用います。
検証環境
製品 | Juniper SSGシリーズ |
ソフトウェア | ScreenOS 6.2以上 |
構成例
拠点間VPNゲートウェイのIPアドレス | 198.51.100.123 |
拠点VPN装置のIPアドレス | 203.0.113.234 |
プライベートLAN CIDR | 172.31.1.0/24 |
拠点CIDR | 192.168.1.0/24 |
共有鍵 | 0582877a-3907-4357-8763-d32e9050eb08 |
トンネルインターフェース | tunnel.1 |
WAN側のインターフェース | Ethernet0/0 |
VPN設定ID | 0x1 |
IKE設定名 | ike_niftycloud |
VPN設定名 | vpn_niftycloud |
※上記のトンネルインターフェースやVPN設定IDがすでに使用されている場合は適宜置き換えてください。
設定手順
トンネルインターフェースのゾーンを「Untrust」に設定します。
ssg> set interface tunnel.1 zone Untrust
トンネルインターフェースとWAN側インターフェースの対応付けをします。
ssg> set interface tunnel.1 ip unnumbered interface ethernet0/0
IKEの設定を行います。
※「198.51.100.12」は実際のVPNゲートウエイのIPアドレスに、「0582877a-3907-4357-8763-d32e9050eb08」は実際の共有鍵にそれぞれ置き換えてください。
ssg> set ike gateway ike_niftycloud address 198.51.100.123 main outgoing-interface ethernet0/0 preshare 0582877a-3907-4357-8763-d32e9050eb08 proposal pre-g2-aes128-sha
DPDの設定を行います。
ssg> set ike gateway ike_niftycloud dpd-liveness interval 15 ssg> set ike gateway ike_niftycloud dpd-liveness always-send ssg> set ike gateway ike_niftycloud dpd-liveness retry 6
VPNの設定を行います。
ssg> set vpn vpn_niftycloud gateway ike_niftycloud no-replay tunnel idletime 0 proposal g2-esp-aes128-sha
VPNの設定をトンネルインターフェースとバインドします。
ssg> set vpn vpn_niftycloud id 0x1 bind interface tunnel.1
IPsecトンネルに通すProxy IDの設定をします。
※「192.168.1.0/24」を実際の拠点CIDRの値に、「172.31.1.0/24」を実際のプライベートLAN CIDRの値に、それぞれ置き換えてください。
ssg> set vpn vpn_niftycloud proxy-id local-ip 192.168.1.0/24 remote-ip 172.31.1.0/24 any
プライベートLAN CIDR宛てのパケットがトンネルインターフェースを通るようルーティングの設定を行います。
※「172.31.1.0/24」を実際のプライベートLAN CIDRの値に置き換えてください。
ssg> set route 172.31.1.0/24 interface tunnel.1
saveで設定を保存します。
ssg> save ssg>
確認手順
IKEのSAが正常に確立されているか確認する
get ike cookiesコマンドを実行します。
下記のようにActiveなIKEとして表示されれば正常に確立できています。
ssg> get ike cookies
IKEv1 SA -- Active: 1, Dead: 0, Total 1
80182f/0003, 198.51.100.123:500->203.0.113.234:500, PRESHR/grp2/AES128/SHA, xchg(5) (ike_niftycloud/grp-1/usr-1)
resent-tmr 322 lifetime 28800 lt-recv 28800 nxt_rekey 28481 cert-expire 0
responder, err cnt 0, send dir 1, cond 0x0
nat-traversal map not available
ike heartbeat : disabled
ike heartbeat last rcv time: 0
ike heartbeat last snd time: 0
XAUTH status: 0
DPD seq local 0, peer 0
IKEv2 SA -- Active: 0, Dead: 0, Total 0
ssg>
ESPのSAが正常に確立されているか確認する
get sa activeコマンドを実行します。
下記のように表示されれば正常に確立できています。
ssg> get sa active
Total active sa: 1
total configured sa: 2
HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys
00000002
00000002> 198.51.100.123 500 esp:a128/sha1 353ca642 2556 unlim A/- -1 0
ssg>