- PR -

ポリシーベースでのVPN構築

1
投稿者投稿内容
kimchi
会議室デビュー日: 2005/10/27
投稿数: 8
投稿日時: 2005-10-27 21:18
はじめて書き込みさせていただきます。ネットワーク初心者で申し訳ございませんが、
ご教授いただければ幸いに存じます。

ポリシーベースでのVPNを構築したいと考えておりますが、検証がうまくいきません。
基本的なシナリオは以下のとおりです。

PC1----Netscreen5XP 1号機-----クロスケーブル-----Netscreen5XP 2号機-----PC2

両5XP間でSAがはれて、PC1からPC2にpingが届けば本望なのですが、
SAがはれません。

以下に環境、または、実施した作業を記載させていただきます
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
ファームウェア: ns5xp.3.0.3r4.0, Firewall+VPN

PC1→(IPアドレス)192.168.1.100/24 (ゲートウェイ)192.168.1.254
PC2→(IPアドレス)192.168.2.100/24 (ゲートウェイ)192.168.2.254

5XP 1号機→ (trust)192.168.1.254/24 (untrust)172.16.1.1/24
5XP 2号機→ (trust)192.168.2.254/24 (untrust)172.16.1.254/24

<実施内容> 
1号機、2号機とも同様の設定内容ですので、1号機のみの作業内容を
記載させていだきます。

(1)address作成
trust側に"internal"という名称で「192.168.1.0/24」を作成
untrust側に"external"という名称で「192.168.2.0/24」を作成

(2)VPN GATEWAY設定
対向の5XP(172.16.1.254)をstaticとして指定。
Preshare:任意の文字列(対向5XPも同じ文字列)
PROPOSAL1:pre-g2-3des-sha(対向5XPも同じアルゴリズムを選択)

(3)AutoIKEの作成
PROPOSAL2:nopfs-esp-3des-sha(対向5XPも同じアルゴリズムを選択)

(4)ポリシー設定
[outgoingに関するポリシー]
internal → external
Action:tunnel
(3)で作成したIKEを選択
この後、作成したポリシーをルールの一番上に移動させる
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

同様に5XPの2号機も行いましが、PC1→PC2、PC2→PC1 にpingがとびませんでした。
当然ですが、
PC1→対向先5XPのuntrust側のIPアドレス
PC2→対向先5XPのuntrust側のIPアドレス
はpingがとびます。

設定面で何か足りないところがお教え願えませんでしょうか。
お手数をお掛けいたしますが、宜しくお願い申し上げます。

失礼致します。




くおん
大ベテラン
会議室デビュー日: 2004/07/26
投稿数: 154
投稿日時: 2005-10-28 09:48
おはようございます。

幾つか確認してください。
1.NGなのはPhase-1、Phase-2共にですか。
2.ポリシーで許可しているプロトコルは限定していますか。
IKEを許可しておかないとPhase-2が貼れません。
3.双方向(Untrust-Trust、Trust-Untrust両方)にポリシーを適用する必要があります。
4.ルーティングはどうなっていますか。
相手側ネットワークへのルーティングがないとポリシー適用以前にパケットが
破棄されてしまいます。

とりあえず、これくらいかな。
kimchi
会議室デビュー日: 2005/10/27
投稿数: 8
投稿日時: 2005-10-28 22:21
To:くおん 様

ご返信いただきましてありがとうございます。
自己解決しました。

結果としましては、untrust側のゲートウェイが未設定でした。

ポリシーに関してですが、「Untrust→Trust」ルールは「VPN MONITOR」かどうかに
チェックを入れれば、勝手に入っていたと思います。

また、IKEプロトコルに関しても、Policyでサービスを「ANY」にしているので、
必要なかったようでした。

ありがとうございました。
失礼致します。
1

スキルアップ/キャリアアップ(JOB@IT)