- - PR -
ポリシーベースでのVPN構築
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2005-10-27 21:18
はじめて書き込みさせていただきます。ネットワーク初心者で申し訳ございませんが、
ご教授いただければ幸いに存じます。 ポリシーベースでのVPNを構築したいと考えておりますが、検証がうまくいきません。 基本的なシナリオは以下のとおりです。 PC1----Netscreen5XP 1号機-----クロスケーブル-----Netscreen5XP 2号機-----PC2 両5XP間でSAがはれて、PC1からPC2にpingが届けば本望なのですが、 SAがはれません。 以下に環境、または、実施した作業を記載させていただきます ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ファームウェア: ns5xp.3.0.3r4.0, Firewall+VPN PC1→(IPアドレス)192.168.1.100/24 (ゲートウェイ)192.168.1.254 PC2→(IPアドレス)192.168.2.100/24 (ゲートウェイ)192.168.2.254 5XP 1号機→ (trust)192.168.1.254/24 (untrust)172.16.1.1/24 5XP 2号機→ (trust)192.168.2.254/24 (untrust)172.16.1.254/24 <実施内容> 1号機、2号機とも同様の設定内容ですので、1号機のみの作業内容を 記載させていだきます。 (1)address作成 trust側に"internal"という名称で「192.168.1.0/24」を作成 untrust側に"external"という名称で「192.168.2.0/24」を作成 (2)VPN GATEWAY設定 対向の5XP(172.16.1.254)をstaticとして指定。 Preshare:任意の文字列(対向5XPも同じ文字列) PROPOSAL1:pre-g2-3des-sha(対向5XPも同じアルゴリズムを選択) (3)AutoIKEの作成 PROPOSAL2:nopfs-esp-3des-sha(対向5XPも同じアルゴリズムを選択) (4)ポリシー設定 [outgoingに関するポリシー] internal → external Action:tunnel (3)で作成したIKEを選択 この後、作成したポリシーをルールの一番上に移動させる ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 同様に5XPの2号機も行いましが、PC1→PC2、PC2→PC1 にpingがとびませんでした。 当然ですが、 PC1→対向先5XPのuntrust側のIPアドレス PC2→対向先5XPのuntrust側のIPアドレス はpingがとびます。 設定面で何か足りないところがお教え願えませんでしょうか。 お手数をお掛けいたしますが、宜しくお願い申し上げます。 失礼致します。 |
|
投稿日時: 2005-10-28 09:48
おはようございます。
幾つか確認してください。 1.NGなのはPhase-1、Phase-2共にですか。 2.ポリシーで許可しているプロトコルは限定していますか。 IKEを許可しておかないとPhase-2が貼れません。 3.双方向(Untrust-Trust、Trust-Untrust両方)にポリシーを適用する必要があります。 4.ルーティングはどうなっていますか。 相手側ネットワークへのルーティングがないとポリシー適用以前にパケットが 破棄されてしまいます。 とりあえず、これくらいかな。 |
|
投稿日時: 2005-10-28 22:21
To:くおん 様
ご返信いただきましてありがとうございます。 自己解決しました。 結果としましては、untrust側のゲートウェイが未設定でした。 ポリシーに関してですが、「Untrust→Trust」ルールは「VPN MONITOR」かどうかに チェックを入れれば、勝手に入っていたと思います。 また、IKEプロトコルに関しても、Policyでサービスを「ANY」にしているので、 必要なかったようでした。 ありがとうございました。 失礼致します。 |
1