Upload
truongquynh
View
223
Download
0
Embed Size (px)
Citation preview
Juniper Firewall 簡易 VPNセットアップガイド
- 2 -
- 目次 -
1. はじめに ..................................................................................................- 3 -1-1 はじめに .................................................................................................................. - 3 -
1-2 機能概要 .................................................................................................................. - 3 -
1-3 本ガイドでのネットワーク構成図 ............................................................................ - 4 -
2. ポリシーベース VPN 設定ガイド ............................................................- 4 -2-1 本社側 AutoKey Advanced(=フェーズ 1)の設定 .................................................. - 5 -
2-2 本社側 AutoKey IKE(=フェーズ 2)の設定 ............................................................ - 8 -
2-3 本社側 VPN通信用ポリシーの作成 ........................................................................- 11 -
2-4 拠点側 AutoKey Advanced(=フェーズ 1)の設定 ................................................ - 13 -
2-5 拠点側 AutoKey IKE(=フェーズ 2)の設定 .......................................................... - 14 -
2-6 拠点側 VPN通信用ポリシーの作成 ....................................................................... - 15 -
2-7 本社側 ⇔ 拠点側 ネットワーク疎通確認.............................................................. - 16 -
3. ルートベース VPN 設定ガイド .............................................................- 17 -3-1 本社側 Tunnelインターフェイスの作成 ................................................................ - 17 -
3-2 本社側 AutoKey Advanced(=フェーズ 1)の設定 ................................................ - 19 -
3-3 本社側 AutoKey IKE(=フェーズ 2)の設定 .......................................................... - 20 -
3-4 本社側 VPN通信用 StaticRouteの設定................................................................. - 21 -
3-5 本社側 VPN通信用ポリシーの作成 ....................................................................... - 23 -
3-6 拠点側 Tunnelインターフェイスの作成 ................................................................ - 24 -
3-7 拠点側 AutoKey Advanced(=フェーズ 1)の設定 ................................................ - 25 -
3-8 拠点側 AutoKey IKE(=フェーズ 2)の設定 .......................................................... - 26 -
3-9 拠点側 VPN通信用 StaticRouteの設定................................................................. - 27 -
3-10 拠点側 VPN通信用ポリシーの作成 ..................................................................... - 28 -
3-11 本社側 ⇔ 拠点側 ネットワーク疎通確認 ............................................................ - 28 -
4. ポリシーベース/ルートベース VPN設定に関する FAQ .....................- 29 -4-1 VPN設定に関する FAQ ......................................................................................... - 29 -
Juniper Firewall 簡易 VPNセットアップガイド
- 3 -
1. はじめに
1-1 はじめに
Juniper Firewall機器では、VPN(Virtual Private Network)の設定を行うことにより、インターネットのような公開されたWAN(Wide Area Network)全域で、各リモートコンピュータ間を安全に通信する手段を提供することが可能です。 本ガイドでは、その具体的な設定方法を説
明します。
1-2 機能概要
・ VPN 【 Virtual Private Network 】
VPN(Virtual Private Network)は、多数の加入者で帯域共有する公衆回線を、あたかも通信相手の固定された専用回線であるかのように利用できるサービスであり、専用回
線を導入するよりもコストを安く抑えることができます。
企業などの信頼性の要求される通信網を構築するには、拠点間に帯域保障の回線を占
有してきましたが、第三者の侵入や傍聴を防ぐ技術により、帯域共有型の開放された通
信網で安全に通信する手段を実現しようとしたものがVPNであります。
・ ポリシーベース VPN 【 Policy-Based VPN 】
ポリシーベース VPN は、ポリシーステートメントが“トンネル”のアクションで構成されており、そのポリシーに一致するトラフィックがポリシーステートメントで指定
された VPNトンネルを通り抜けることができます。また VPN自体、及びトラフィックをトンネルへと導くポリシーという 2つの主要な構成要素があります。
・ ルートベース VPN 【 Route-Based VPN 】
ルートベース VPNは、VPN構成をトンネルインターフェイスと呼ばれる仮想インターフェイスにバインドし、2つのサイト間にポイントツーポイント接続を作成します。
そしてデータはルーティングテーブルによってトンネルインターフェイスに転送され、
バインドされている VPN構成に基づいて暗号化、及び認証されます。
・ IKE 【 Internet Key Exchange 】
IKE(Internet Key Exchange)は、VPNで実際にパケットをやり取りする際に必要な VPN装置間でのコネクション(SA:Security Assosiation)を確立するための鍵交換プロトコルです。
「鍵」とは、通信する両者が暗号化や認証に利用するデータのことで、IKEを利用すれば、鍵の生成や通信相手との交換、そして安全性確保のために鍵を定期的に更新する
ことまで全て自動化されます。
IKEのセッションは、「フェーズ 1」と「フェーズ 2」の 2段階に分けられます。
■ フェーズ 1 【 Phase 1 】・IKE自身が安全に情報を交換するために、ISAKMP SA(Internet Security
Assosiation and Key Management Protocol SA)を確立します。SAとは、情報の保護に使用されるポリシーと鍵のセットのことです。
■ フェーズ 2 【 Phase 2 】・実際のデータを送受信する SA(IPsec SA)を確立します。フェーズ 1とフェーズ 2が終了して初めて暗号化通信が開始されます。
Juniper Firewall 簡易 VPNセットアップガイド
- 4 -
1-3 本ガイドでのネットワーク構成図
2. ポリシーベース VPN 設定ガイド
Juniper Firewall機器では、WebUIを用いて「ポリシーベース VPN」の設定を容易に行うことができます。本章では、Juniper Firewall機器で相互間の VPN通信を行う際の基本的な「ポリシーベース VPN」設定手順を説明します。尚、本章の設定例で使用する IPアドレスは、固定IPアドレスとなります。あらかじめご了承ください。
注 意 !
※ 万一、VPN通信の確立ができない場合には、P29 の『4. ポリシー
ベース/ルートベース VPN 設定に関する FAQ』をご参照ください。
■ ①ネットワーク設定概要 (本社側) ・ Juniper Firewall機器の Untrust側 IPアドレス : 25.20.193.8・ Juniper Firewall機器の Trust側 IPアドレス : 192.168.1.1・本社側クライアント端末 IPアドレス : 192.168.1.10/24・本社側クライアント端末 デフォルトゲートウェイ : 192.168.1.1
■ ②ネットワーク設定概要 (拠点側)・ Juniper Firewall機器の Untrust側 IPアドレス : 25.20.193.0・ Juniper Firewall機器の Trust側 IPアドレス : 192.168.2.1・ 拠点側クライアント端末 IPアドレス : 192.168.2.10/24・ 拠点側クライアント端末 デフォルトゲートウェイ : 192.168.2.1
■ ③VPN 設定 (共通) ・ 暗号化アルゴリズム : 3DES・ 認証アルゴリズム : MD5/SHA-1鍵交換方式 : IKE
・ IKEの相互認証方式(=フェーズ 1) : Preshared Key
Juniper Firewall 簡易 VPNセットアップガイド
- 5 -
2-1 本社側 AutoKey Advanced(=フェーズ 1)の設定
(1)本社側の Juniper Firewall機器にブラウザ経由でアクセスし、ログインします。⇒※ ログイン時に必要な「Admin Name」と 「Password」は、システム管理者殿 等にご確認ください。
(2)Juniper Firewall機器にログインしたら、左部メニューの[VPNs]>[AutoKey Advanced]>[Gateway]を選択します。
(3)次に、下記の画面が表示されたら、【New】ボタンをクリックします。
(4)次に、下記の画面が表示されたら、「Gateway Name」や「Security Level」の等の設定を行い、【Adovanced】ボタンをクリックします。
⇒※ 本社側「AutoKey Advanced」の設定例は、次頁の通りになります。
Juniper Firewall 簡易 VPNセットアップガイド
- 6 -
(5)次に、下記の画面が表示されたら、「Phase1 Proposal」等の設定を行います。
⇒※ 本社側「AutoKey Advanced」の設定例は、下記の通りになります。
Juniper Firewall機器では、「Security Level」にて「Phase1 Proposal」の組み合わせを選択できます。「Phase1 Proposal」は、最大で 4つまで送信ができますが、フェーズ 1で実際に使
....
用される....
のは..
1.つだけ...
となります。
次頁の表①にて、Juniper Firewall機器上での「Security Level」と「Phase1 Proposal」の組み合わせ を記述させていただきますので、そちらを参照し、ユーザ様の使用する環境に合っ
た「Phase1 Proposal」をご選択ください。
■ 本社側「AutoKey Advanced」の設定例①(ポリシーベース VPN)・ Gateway Name : Phase1-192.168.2.10・ Security Level : Custom・ Remote Gateway Type : Static IP Address・ IP Address : 25.20.193.0・ Preshared Key : password・ Outgoing Interface : Untrust
■ 本社側「AutoKey Advanced」の設定例②(ポリシーベース VPN)・ Security Level : pre-g2-3des-md5
pre-g2-3des-sha・ Mode : Main(ID Protection)
Juniper Firewall 簡易 VPNセットアップガイド
- 7 -
表①:Security Levelと Phase1 Proposalの組み合わせ ※注 1 ※注 2
Security Level Phase1 Proposal
・ Standard : pre-g2-aes128-sha, pre-g2-3des-sha
・ Compatible :pre-g2-3des-sha, pre-g2-3des-md5, pre-g2-des-sha, pre-g2-des-md5
・ Basic : pre-g1-des-sha, pre-g1-des-md5
・ Custom : ※ 自由に選択可能
※注 1: “pre” で始まる Proposal は識別が事前共有鍵から導き出されます。
※注 2: “rsa/dsa” で始まる Proposal は認証局によって確認されたデジタル証明書を使用します。
(6)次に、設定が完了したら、最下部にあるス【Return】ボタンをクリックし、(4)の画面に戻り、【OK】ボタンをクリックします。
(7)最後に、下記の画面が表示されることを確認してください。⇒※ 以上で、「本社側 AutoKey Advanced(=フェーズ 1)の設定」作業は完了となります。
Juniper Firewall 簡易 VPNセットアップガイド
- 8 -
2-2 本社側 AutoKey IKE(=フェーズ 2)の設定
(1)左部メニューにある[VPNs]>[AutoKey Advanced]>[AutoKey IKE]を選択します。
(2)次に、下記の画面が表示されたら、【New】ボタンをクリックします。
(4)次に、下記の画面が表示されたら、「VPN Name」や「Security Level」の等の設定を行い、【Adovanced】ボタンをクリックします。
⇒※ 本社側「AutoKey IKE」の設定例は、次頁の通りになります。
Juniper Firewall 簡易 VPNセットアップガイド
- 9 -
(5)次に、下記の画面が表示されたら、「Phase2 Proposal」の設定を行います。⇒※ 本社側「AutoKey IKE」の設定例は、下記の通りになります。
Phase2も Phase1と同様、「Security Level」にて Proposalの組み合わせを選択できます。また、同様に最大で 4つまで送信できますが、実際に使用するのは
.........1.つだけ...
となります。
Juniper Firewall機器上での『Security Levelと Phase2 Proposalの組み合わせ』は下記表②の通りになります。
表②:Security Levelと Phase2 Proposalの組み合わせ ※注 3
Security Level Phase2 Proposal
・ Standard : g2-esp-des-sha, g2-esp-aes128-sha
・ Compatible :nopfs-esp-3des-sha, nopfs-esp-3des-md5, nopfs-esp-des-sha, nopfs-esp-des-md5
・ Basic : nopfs-esp-des-sha, nopfs-esp-des-md5
・ Custom : ※ 自由に選択可能 ※注 4
※注 3: “nopfs” で始まる場合、PFS (=Perfect Forward Secrecy)機能が使用されません。
※注 4: “nopfs” で始まる Proposal と ”g2” で始まる Proposal を、同時に設定することはできません。
■ 本社側「AutoKey IKE」の設定例①(ポリシーベース VPN)・ VPN Name : Phase2-192.168.2.10・ Security Level : Custom・ Remote Gateway : Predefined
(※” Phase1-192.168.2.10” を選択)
■ 本社側「AutoKey IKE」の設定例②(ポリシーベース VPN)・ Security Level : g2-esp-3des-sha
g2-esp-des-md5
Juniper Firewall 簡易 VPNセットアップガイド
- 10 -
(6)次に、設定が完了したら、最下部にあるス【Return】ボタンをクリックし、(4)の画面に戻り、【OK】ボタンをクリックします。
(7)最後に、下記の画面が表示されることを確認してください。⇒※ 以上で、「本社側 AutoKey IKE(=フェーズ 2)の設定」作業は完了となります。
Juniper Firewall 簡易 VPNセットアップガイド
- 11 -
2-3 本社側 VPN 通信用ポリシーの作成
(1)左部メニューにある[Policies]を選択します。
(2)次に、下記の画面が表示されたら、「From:Trust」、「To:Untrust」を選択し、【New】ボタンをクリックします。
⇒※ 初期設定後に自動作成される "Any”,”Any”,”Any”,”Permit” のポリシーがある場合には削除をしてください。
(3)次に、下記の画面が表示されたら、VPN通信用のポリシーを作成します。任意の設定項目を入力し、【OK】ボタンをクリックします。
⇒※ 本社側 VPN 通信用のポリシーの設定例は、次頁の通りになります。
⇒※ 双方向のポリシーを作成し............
たい場合....
には、“Modify matching bidirectional VPN policy” にチェックを入れて
ください。
Juniper Firewall 簡易 VPNセットアップガイド
- 12 -
(4)最後に、下記の画面が表示されますので、設定したポリシー内容を確認します。⇒※ 設定内容を間違った場合
...........には、[Edit]をクリックし、再度ポリシー設定を行ってください。
⇒※ 以上で、「本社側 VPN 通信用ポリシーの作成」作業は完了となります。
■ 本社側 VPN 通信用のポリシーの設定例(ポリシーベース VPN)・ Source Address : 192.168.1.0/24・ Destination Address : 192.168.2.0/24・ Service : ANY・ Action : Tunnel・ Tunnel : Phase2-192.168.2.10
Modify matching bidirectional VPN policy : 有 (※“Modify matching ~” にチェック)・ Logging : 有 (※“Logging” にチェック)
Juniper Firewall 簡易 VPNセットアップガイド
- 13 -
2-4 拠点側 AutoKey Advanced(=フェーズ 1)の設定
(1)拠点側の Juniper Firewall機器にブラウザ経由でアクセスし、ログインします。⇒※ ログイン時に必要な「Admin Name」と 「Password」は、システム管理者殿 等にご確認ください。
(2)Juniper Firewall機器にログインしたら、左部メニューの[VPNs]>[AutoKey Advanced]>[Gateway]を選択します。
(3)次に、P5の『2-1 本社側 AutoKey Advanced(=フェーズ 1)の設定』 (4)~(6)と同様の手順にて AutoKey Advanced設定を行います。
⇒※ 拠点側「AutoKey Advanced」の設定例は、下記の通りになります。
⇒※ 本社側...
と設定内容が異なる箇所...........
は、”黄色”の太帯の箇所になります。
(4)最後に、下記の画面が表示されることを確認してください。⇒※ 以上で、「拠点側 AutoKey Advanced(=フェーズ 1)の設定」作業は完了となります。
■ 拠点側「AutoKey Advanced」の設定例①(ポリシーベース VPN)・ Gateway Name : Phase1-192.168.1.10・ Security Level : Custom・ Remote Gateway Type : Static IP Address・ IP Address : 25.20.193.8・ Preshared Key : password・ Outgoing Interface : Untrust
■ 拠点側「AutoKey Advanced」の設定例②(ポリシーベース VPN)・ Security Level : pre-g2-3des-md5
pre-g2-3des-sha・ Mode : Main(ID Protection)
Juniper Firewall 簡易 VPNセットアップガイド
- 14 -
2-5 拠点側 AutoKey IKE(=フェーズ 2)の設定
(1)左部メニューにある[VPNs]>[AutoKey Advanced]>[AutoKey IKE]を選択します。
(2)次に、P8の『2-2 本社側 AutoKey IKE(=フェーズ 2)の設定』 (4)~(6)と同様の手順にて AutoKey IKE設定を行います。
⇒※ 拠点側「AutoKey IKE」の設定例は、下記の通りになります。
⇒※ 本社側と設定内容が異なる箇所..............
は、”黄色”の太帯の箇所になります。
(3)最後に、下記の画面が表示されることを確認してください。⇒※ 以上で、「拠点側 AutoKey IKE(=フェーズ 2)の設定」作業は完了となります。
■ 拠点側「AutoKey IKE」の設定例①(ポリシーベース VPN)・ VPN Name : Phase2-192.168.1.10・ Security Level : Custom・ Remote Gateway : Predefined
(※” Phase1-192.168.1.10” を選択)
■ 拠点側「AutoKey IKE」の設定例②(ポリシーベース VPN)・ Security Level : g2-esp-3des-sha
g2-esp-des-md5
Juniper Firewall 簡易 VPNセットアップガイド
- 15 -
2-6 拠点側 VPN 通信用ポリシーの作成
(1)左部メニューにある[Policies]を選択します。
(2)次に、VPN通信用のポリシーを作成します。P11の『2-3 本社側 VPN通信用ポリシーの作成』 (2)~(3)と同様の手順にてポリシーを作成してください。
⇒※ 拠点側 VPN 通信用のポリシーの設定例は、下記の通りになります。
⇒※ 本社側と設定内容が異なる箇所..............
は、”黄色”の太帯の箇所になります。
(3)最後に、下記の画面が表示されますので、設定したポリシー内容を確認します。⇒※ 設定内容を間違った場合
...........には、[Edit]をクリックし、再度ポリシー設定を行ってください。
⇒※ 以上で、「拠点側 VPN 通信用ポリシーの作成」作業は完了となります。
■ 拠点側 VPN 通信用のポリシーの設定例(ポリシーベース VPN)・ Source Address : 192.168.2.0/24・ Destination Address : 192.168.1.0/24・ Service : ANY・ Action : Tunnel・ Tunnel : Phase2-192.168.1.10
Modify matching bidirectional VPN policy : 有 (※“Modify matching ~” にチェック)・ Logging : 有 (※“Logging” にチェック)
Juniper Firewall 簡易 VPNセットアップガイド
- 16 -
2-7 本社側 ⇔ 拠点側 ネットワーク疎通確認
VPNの設定が反映されているかを確認するために、「コマンドプロンプト」を使用して、本社側 PCから拠点側 PCへ疎通確認を行います。
(1)本社側(あるいは、拠点側)にある任意の PC端末にて「コマンドプロンプト」を起動します。
(2)次に、コマンドプロンプトの画面が起動したら、”ping ” コマンドを実行し、ネットワークの疎通確認を行います。
[出力例:本社側 ⇒ 拠点側]
C:¥Documents and Settings¥Administrator> ping 192.168.2.10
Pinging 192.168.2.10 with 32 bytes of data:
Reply from 192.168.2.10: bytes=32 time=3ms TTL=64Reply from 192.168.2.10: bytes=32 time=1ms TTL=64Reply from 192.168.2.10: bytes=32 time=1ms TTL=64Reply from 192.168.2.10: bytes=32 time=1ms TTL=64
Ping statistics for 192.168.2.10:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:Minimum = 1ms, Maximum = 3ms, Average = 1ms
(3)次に、本社側(あるいは拠点側)の Juniper Firewall機器にブラウザ経由でアクセスし、左部メニューの[Reports]>[System Log]>[Event]にて、本社側と拠点側で正常にIKEのネゴシエーションが完了していることを確認します。
(4)VPN通信用のポリシーにてログを採取している場合には、[Reports]>[Policies]を選択し、本社側(あるいは拠点側)から通信状況を確認します。
⇒※ 以上で、「ポリシーベース VPN 設定」作業は完了となります。
注 意 !
※ 万一、VPN通信の確立ができない場合には、P29 の『4. ポリシー
ベース/ルートベース VPN 設定に関する FAQ』をご参照ください。
Juniper Firewall 簡易 VPNセットアップガイド
- 17 -
3. ルートベース VPN 設定ガイド
Juniper Firewall機器では、「ポリシーベース VPN」の他に、「ルートベース VPN」も行えます。「ポリシーベース VPN」との大きく異なる点は、VPNの宛先に応じて仮想インターフェイス(= Tunnel インターフェイス)を作成し、ルーティング情報を参照して、VPNを使用する通信かどうかを判別する点になります。
本章では、Juniper Firewall機器で相互間のVPN通信を行う際の基本的な「ルートベースVPN」設定手順を説明します。尚、本章の設定例で使用する IPアドレスは、固定 IPアドレスとなります。あらかじめご了承ください。
注 意 !
※ “固定 IPアドレス” と ”動的 IPアドレス” とのVPN設定は、P**の『*. ポリシーベース/ルートベース VPN 設定に関する FAQ』をご参照
ください。
3-1 本社側 Tunnel インターフェイスの作成
(1)本社側の Juniper Firewall機器にブラウザ経由でアクセスし、ログインします。⇒※ ログイン時に必要な「Admin Name」と 「Password」は、システム管理者殿 等にご確認ください。
(2)Juniper Firewall機器にログインしたら、左部メニューの[Network]>[Interfaces](>[List])を選択します。
(3)次に、下記の画面が表示されたら、画面右上のプルダウンメニューより” Tunnnel IF ”を選択し、【New】ボタンをクリックします。
Juniper Firewall 簡易 VPNセットアップガイド
- 18 -
(4)次に、下記の画面が表示されたら、任意の設定項目を入力し、画面下方にある【OK】ボタンをクリックします。
⇒※ 本社側「Tunnel インターフェイス」の設定例は、次頁の通りになります。
(5)次に、下記の画面が表示されますので、トンネルインターフェイスが作成されたことを確認します。
■ 本社側「Tunnel インターフェイス」の設定例(ルートベース VPN)・ Tunnel Interface Name : tunnel.1
Zone(VR) : Trust (trust-vr)・ Unnumbered : チェック
Interface : trust (trust-vr)
Juniper Firewall 簡易 VPNセットアップガイド
- 19 -
3-2 本社側 AutoKey Advanced(=フェーズ 1)の設定
(1)左部メニューにある[VPNs]>[AutoKey Advanced]>[Gateway]を選択します。
(2)次に、P5の『2-1 本社側 AutoKey Advanced(=フェーズ 1)の設定』 (4)~(6)と同様の手順にて AutoKey Advanced設定を行います。
⇒※ 「ルートベース VPN」の AutoKey Advanced(=フェーズ 1)設定内容は「ポリシーベース VPN」と全く同じです。
⇒※ 本社側「AutoKey Advanced」の設定例は、下記の通りになります。
(4)最後に、下記の画面が表示されることを確認してください。⇒※ 以上で、「本社側 AutoKey Advanced(=フェーズ 1)の設定」作業は完了となります。
■ 本社側「AutoKey Advanced」の設定例③(ルートベース VPN)・ Gateway Name : Phase1-192.168.2.10・ Security Level : Custom・ Remote Gateway Type : Static IP Address・ IP Address : 25.20.193.0・ Preshared Key : password・ Outgoing Interface : Untrust
■ 本社側「AutoKey Advanced」の設定例④(ルートベース VPN)・ Security Level : pre-g2-3des-md5
pre-g2-3des-sha・ Mode : Main(ID Protection)
Juniper Firewall 簡易 VPNセットアップガイド
- 20 -
3-3 本社側 AutoKey IKE(=フェーズ 2)の設定
(1)左部メニューにある[VPNs]>[AutoKey Advanced]>[AutoKey IKE]を選択します。
(2)次に、P8の『2-2 本社側 AutoKey IKE(=フェーズ 2)の設定』 (4)~(6)と同様の手順にて AutoKey IKE設定を行います。
⇒※ 本社側「AutoKey IKE」の設定例は、下記の通りになります。
⇒※ 「ポリシーベース........
VPN...
」の..
本社側と設定内容が異なる箇所..............
は、”緑色”の太帯の箇所になります。
(3)最後に、下記の画面が表示されることを確認してください。⇒※ 以上で、「本社側 AutoKey IKE(=フェーズ 2)の設定」作業は完了となります。
■ 本社側「AutoKey IKE」の設定例③(ルートベース VPN)・ VPN Name : Phase2-192.168.2.10・ Security Level : Custom・ Remote Gateway : Predefined
(※” Phase1-192.168.2.10” を選択)
■ 本社側「AutoKey IKE」の設定例④(ルートベース VPN)・ Security Level : g2-esp-3des-sha
g2-esp-des-md5・ Bind to : Tunnnel Interface
(※” tunnel.1” を選択)・ Proxy ID : 有 (※“ Proxy ID ” にチェック)
Local IP/Netmask : 192.168.1.0/24Remote IP/Netmask : 192.168.2.0/24Service : Any
Juniper Firewall 簡易 VPNセットアップガイド
- 21 -
3-4 本社側 VPN 通信用 StaticRoute の設定
本社側から拠点側のネットワークへパケットが到達できるように、”VPN接続用”のルーティングテーブルを作成します。
(1)左部メニューにある[Network]>[Routing]>[Destination]を選択します。
(2)次に、下記の画面が表示されたら、画面右上のプルダウンメニューより” trust-vr ”を選択し、【New】ボタンをクリックします。
(3)次に、下記の画面が表示されたら、任意の...
設定項目を入力し、画面下方にある【OK】ボタンをクリックします。
⇒※ 本社側 StaticRoute の設定例は、次頁の通りになります。
Juniper Firewall 簡易 VPNセットアップガイド
- 22 -
(4)次に、新たに StaticRouteが作成されたことを確認します。⇒※ 以上で、本社側 VPN接続用 StaticRoute の設定は完了となります。
■ 本社側 StaticRoute の設定例(ルートベース VPN)・ IP Address/Netmask : 192.168.2.0/255.255.255.0・ Next Hop : Gateway
Interface : tunnel.1Gateway IP Address : 0.0.0.0Preference : 20Metric : 1
Juniper Firewall 簡易 VPNセットアップガイド
- 23 -
3-5 本社側 VPN 通信用ポリシーの作成
「ルートベース VPN」では、Tunnelインターフェイスのゾーン構成に応じて、ポリシーが不
要な場合があります。
本ガイドのように、Tunnelインターフェイスのゾーン設定を” Trust” ゾーンと場合、ポリシーの設定は不要となります。それは Juniper Firewall機器では、デフォルトで” Trust” ゾーンの「イントラゾーン ブロック」機能(=※同じゾーン間の通信を遮断する機能)が” Off ”になっているためです。
なお、「イントラゾーン ブロック」機能の” On / Off ”は、下記の出力例の通り、コマンドラインにて確認ができます。
[出力例: get zone trust]
ns5gt-> get zone trustZone name: Trust, id: 2, type: Security(L3), vsys: Root, vrouter:trust-vrIntra-zone block: Off, attrib: Non-shared, flag:0x6208TCP non SYN send reset: OnIP/TCP reassembly for ALG on traffic from/to this zone: NoAsymmetric vpn: DisabledPolicy Configurable: YesInterfaces bound:2. Designated ifp is trustinterface tunnel.1(0x739c840)interface trust(0x23e23c0)ns5gt->
また、Tunnelインターフェイスのゾーン設定をその他ゾーン......
にした場合には、ポリシーの設
定が必要となります。その場合には、通常のポリシーを作成するのと同様にポリシーを定義すれ
ば大丈夫です。一例として、下記に Tunnelインターフェイスのゾーン設定を” Untrust” ゾーンにした場合の『本社側ポリシー設定例』を記述させていただきます。
■ Tunnel インターフェイス ゾーン設定を”Untrust”にした場合のポリシー設定例①・ From : Trust・ To : Untrust・ Source Address : 192.168.1.0/24・ Destination Address : 192.168.2.0/24・ Service : ANY・ Action : Permit・ Logging : 有 (※“Logging” にチェック)
Juniper Firewall 簡易 VPNセットアップガイド
- 24 -
3-6 拠点側 Tunnel インターフェイスの作成
(1)拠点側の Juniper Firewall機器にブラウザ経由でアクセスし、ログインします。⇒※ ログイン時に必要な「Admin Name」と 「Password」は、システム管理者殿 等にご確認ください。
(2)Juniper Firewall機器にログインしたら、左部メニューの[Network]>[Interfaces](>[List])を選択します。
(3)次に、P17~18の『3-1 本社側 Tunnelインターフェイスの作成』 (3)~(4)と同様の手順にて Tunnelインターフェイス設定を行います。
⇒※ 拠点側「Tunnel インターフェイス」の設定例は、下記の通りになります。
(5)次に、下記の画面が表示されますので、トンネルインターフェイスが作成されたことを確認します。
■ 拠点側「Tunnel インターフェイス」の設定例(ルートベース VPN)・ Tunnel Interface Name : tunnel.1
Zone(VR) : Trust (trust-vr)・ Unnumbered : チェック
Interface : trust (trust-vr)
Juniper Firewall 簡易 VPNセットアップガイド
- 25 -
3-7 拠点側 AutoKey Advanced(=フェーズ 1)の設定
(1)左部メニューにある[VPNs]>[AutoKey Advanced]>[Gateway]を選択します。
(2)次に、P5の『2-1 本社側 AutoKey Advanced(=フェーズ 1)の設定』 (4)~(6)と同様の手順にて AutoKey Advanced設定を行います。
⇒※ 「ルートベース VPN」の AutoKey Advanced(=フェーズ 1)設定内容は「ポリシーベース VPN」と全く同じです。
⇒※ 本社側「AutoKey Advanced」の設定例は、下記の通りになります。
(4)最後に、下記の画面が表示されることを確認してください。⇒※ 以上で、「拠点側 AutoKey Advanced(=フェーズ 1)の設定」作業は完了となります。
■ 拠点側「AutoKey Advanced」の設定例③(ルートベース VPN)・ Gateway Name : Phase1-192.168.1.10・ Security Level : Custom・ Remote Gateway Type : Static IP Address・ IP Address : 25.20.193.8・ Preshared Key : password・ Outgoing Interface : Untrust
■ 拠点側「AutoKey Advanced」の設定例④(ルートベース VPN)・ Security Level : pre-g2-3des-md5
pre-g2-3des-sha・ Mode : Main(ID Protection)
Juniper Firewall 簡易 VPNセットアップガイド
- 26 -
3-8 拠点側 AutoKey IKE(=フェーズ 2)の設定
(1)左部メニューにある[VPNs]>[AutoKey Advanced]>[AutoKey IKE]を選択します。
(2)次に、P8の『2-2 本社側 AutoKey IKE(=フェーズ 2)の設定』 (4)~(6)と同様の手順にて AutoKey IKE設定を行います。
⇒※ 拠点側「AutoKey IKE」の設定例は、下記の通りになります。
⇒※ 「ポリシーベース........
VPN...
」の..
拠点..
側と設定内容が異なる箇所............
は、”緑色”の太帯の箇所になります。
(3)最後に、下記の画面が表示されることを確認してください。⇒※ 以上で、「拠点側 AutoKey IKE(=フェーズ 2)の設定」作業は完了となります。
■ 拠点側「AutoKey IKE」の設定例③(ルートベース VPN)・ VPN Name : Phase2-192.168.1.10・ Security Level : Custom・ Remote Gateway : Predefined
(※” Phase1-192.168.1.10” を選択)
■ 拠点側「AutoKey IKE」の設定例④(ルートベース VPN)・ Security Level : g2-esp-3des-sha
g2-esp-des-md5・ Bind to : Tunnnel Interface
(※” tunnel.1” を選択)・ Proxy ID : 有 (※“ Proxy ID ” にチェック)
Local IP/Netmask : 192.168.2.0/24Remote IP/Netmask : 192.168.1.0/24Service : Any
Juniper Firewall 簡易 VPNセットアップガイド
- 27 -
3-9 拠点側 VPN 通信用 StaticRoute の設定
(1)左部メニューにある[Network]>[Routing]>[Destination]を選択します。
(2)次に、P21~22 『3-4 本社側 VPN通信用 StaticRouteの設定』(3)~(4)と同様の手順にて StaticRoute設定を行います。
(3)最後に、下記の画面が表示されることを確認してください。⇒※ 以上で、「拠点側 VPN 通信用 StaticRoute の設定」作業は完了となります。
■ 拠点側 StaticRoute の設定例(ルートベース VPN)・ IP Address/Netmask : 192.168.1.0/255.255.255.0・ Next Hop : Gateway
Interface : tunnel.1Gateway IP Address : 0.0.0.0Preference : 20Metric : 1
Juniper Firewall 簡易 VPNセットアップガイド
- 28 -
3-10 拠点側 VPN 通信用ポリシーの作成
本ガイドでは、P23 『3-5 本社側 VPN通信用ポリシーの作成』にて記述させていただいた通り、ポリシーの設定は不要となります。
なお、一例として、下記に Tunnelインターフェイスのゾーン設定を” Untrust” ゾーンにした場合の『拠点側ポリシー設定例』を記述させていただきます。
3-11 本社側 ⇔ 拠点側 ネットワーク疎通確認
(1)本社側(あるいは、拠点側)にある任意の PC端末にて「コマンドプロンプト」を起動します。
(2)次に、コマンドプロンプトの画面が起動したら、”ping ” コマンドを実行し、ネットワークの疎通確認を行います。
(3)次に、本社側(あるいは拠点側)の Juniper Firewall機器にブラウザ経由でアクセスし、左部メニューの[Reports]>[System Log]>[Event]にて、本社側と拠点側で正常にIKEのネゴシエーションが完了していることを確認します。
(4)VPN通信用のポリシーにてログを採取している場合には、[Reports]>[Policies]を選択し、本社側(あるいは拠点側)から通信状況を確認します。
⇒※ 以上で、「ルートベース VPN 設定」作業は完了となります。
注 意 !
※ 万一、VPN通信の確立ができない場合には、P29 の『4. ポリシー
ベース/ルートベース VPN 設定に関する FAQ』をご参照ください。
■ Tunnel インターフェイス ゾーン設定を”Untrust”にした場合のポリシー設定例②・ From : Trust・ To : Untrust・ Source Address : 192.168.2.0/24・ Destination Address : 192.168.1.0/24・ Service : ANY・ Action : Permit・ Logging : 有 (※“Logging” にチェック)
Juniper Firewall 簡易 VPNセットアップガイド
- 29 -
4. ポリシーベース/ルートベース VPN設定に関する FAQ
4-1 VPN 設定に関する FAQ【Q1】 拠点側(あるいは本社側)が DHCP 等の「動的 IP アドレス」の場合、Juniper Firewall
機器での VPN 接続はできますか?
[A1] はい、可能です。ただその場合、「AutoKey Advanced(=フェーズ 1)」での「Remote Gateway type」や「Mode」等の設定内容が、「固定 IPアドレス」同士の VPN設定の際と異なります。
【Q2】 拠点側(あるいは本社側)が DHCP 等の「動的 IP アドレス」の場合、ポリシーベース
/ルートベース VPN の設定手順を教えてください。
[A2] 基本的に対向側が「動的 IPアドレス」の場合でも、ポリシーベース/ルートベースVPN設定手順は同様になります。ただ、「AutoKey Advanced(=フェーズ 1)」の設定箇所や内容だけが多少異なりますので、下記の設定例をご参照ください。
●「動的 IP アドレス」の場合の AutoKey Advanced(=フェーズ 1)の設定例
【 1.「 固定 IPアド レス」 側 設定例 】
・「固定 IPアドレス」同士の設定と異なる箇所は、”ピンク色”の太帯になります。
■ 「固定 IP アドレス」側「AutoKey IKE」の設定例①・ Gateway Name : Phase1-192.168.2.10・ Security Level : Custom・ Remote Gateway Type : Dynamic IP Address
Peer ID : Branch・ Preshared Key : password・ Outgoing Interface : Untrust
■ 「固定 IP アドレス」側「AutoKey IKE」の設定例②・ Security Level : pre-g2-3des-md5
pre-g2-3des-sha・ Mode : Aggressive
【 2.「 動的 IPアド レス」 側 設定例 】
・「固定 IPアドレス」同士の設定と異なる箇所は、”ピンク色”の太帯 になります。
■ 「動的 IP アドレス」側「AutoKey IKE」の設定例①・ Gateway Name : Phase1-192.168.1.10・ Security Level : Custom・ Remote Gateway Type : Static IP Address・ IP Address : 25.20.193.8・ Preshared Key : password・ Local ID : Branch・ Outgoing Interface : Untrust
■ 「固定 IP アドレス」側「AutoKey IKE」の設定例②・ Security Level : pre-g2-3des-md5
pre-g2-3des-sha・ Mode : Aggressive
Juniper Firewall 簡易 VPNセットアップガイド
- 30 -
【Q3】 Juniper Firewall 機器は、「動的 IP アドレス」同士でも VPN 接続はできますか?
[A3] いいえ、できません。どちらかに必ず.......
「固定 IPアドレス」を割り当てる必要があります。
【Q4】 対向側では、NAT デバイスの配下に Juniper Firewall 機器を配置しています。
この場合でも、VPN 接続はできますか?
[A4] はい、できます。その場合には、Juniper Firewall機器にて「NAT-Traversal」機能をご使用ください。但し、その場合は対向側の Juniper Firewall機器に「固定 IPアドレス」が必須となりますのでご注意ください。
なお、上位にある NATデバイス必須条件は下記の 3点となります。
● 上位にある NAT デバイス必須条件
・ IPプロトコル 50番の ESPパケットが疎通できること。・ 「500/udp」パケットが疎通できること。・ 「4500/udp」をパケットが疎通できること ※注
※注: JuniperFirewall 機器にて「NAT-Traversal Draft2」を使用する際には必要となります。
【Q5】 VPN 接続が確立されたことは Juniper Firewall 機器のログで確認ができますか?
[A5] はい、[Reports]>[System Log]>[Event]にて確認ができます。また、VPN接続の確立時の Juniper Firewall機器のログは下記の通りになります。
【Q6】 「フェーズ 1」の段階で VPN 接続が失敗している場合、Juniper Firewall 機器には
どのようなエラーログが表示されますか?
[A6] 「フェーズ 1」の段階で接続が失敗している場合の主なエラーログは、下記表③の通りになります。
表③:「フェーズ 1」にて接続が失敗している際の主なエラーログ
エラーログ内容
・ IKE <IPアドレス>: Rejected an initial Phase 1 packet from an unrecognized peer gateway.
⇒※ 設定した VPNGateway 以外からの通信です。AutoKeyIKE の Gateway を確認してください。
・ IKE <IPアドレス> Phase { 1 }: Rejected proposals from peer. Negotiations failed.
⇒※ 両デバイスのプロポーサルが違います。AutoKeyIKE の Gateway のプロポーサルを確認してください。
・ IKE <IPアドレス> Phase 1: Retransmission limit has been reached.
⇒※ パケットが届いていない、もしくはレスポンスがありません。経路を確認してください。
Juniper Firewall 簡易 VPNセットアップガイド
- 31 -
【Q7】 「フェーズ 2」の段階で VPN 接続が失敗している場合、Juniper Firewall 機器には
どのようなエラーログが表示されますか?
[A7] 「フェーズ 2」の段階で接続が失敗している場合の主なエラーログは、下記表③の通りになります。
表④:「フェーズ 2」にて接続が失敗している際の主なエラーログ
エラーログ内容
・IKE <IPアドレス> Phase 2: No policy exists for the proxy ID received: local ID (<IPアドレス>/<mask>, <protocol>, <port_num>) remote ID (<IPアドレス>/<mask>, <protocol>, <port_num>)⇒※ VPN のパケットを解除する Policy がない、もしくは ProxyID が違う可能性が考えられます Policy 及び、
AutoKeyVPN を確認してください。
・ IKE <IPアドレス> Phase { 2 }: Rejected proposals from peer. Negotiations failed.
⇒※ フェーズ 2 のプロポーサルが間違っています。AutoKeyIke を確認してください。
以上
本ガイドの著作権はソフトバンク BB株式会社に帰属します。また、掲載内容の無断転載は固くお断りいたします。
Copyright(C) SOFTBANK BB Corp. all rights reserved.
= 本書に関するお問い合わせ先 =
ソフトバンク BB ジュニパー サポート
E-Mail: [email protected]
※ 問い合わせの際には、事前にユーザ登録が必要となります。
あらかじめご了承ください。