- - PR -
NetScreenの設定方法について
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2004-12-09 12:04
初めて書き込みさせていただきます。
仕事の関係でNetscreenをVPNルーターとして使用することになり、 現在手探りでVPN接続の設定を行っております。 購入元から取説は入手したのですが、今回使用したい環境の設定例が 無く困っております。 設定方法、設定すべき項目等詳しい資料等ご存知の方いらっしゃいますでしょうか。 構築環境は下記の通りです。 Step1 社内----NetScreen5XT------internet------PC(WinPPTP使用、ダイアルアップ、 ケーブル、ADSL等での接続) Step2 社内----NetScreen5XT------internet------PC(WinPPTP使用、ダイアルアップ、 | ケーブル、ADSL等での接続) | ------他社1(リモートメンテのため接続) | ------他社2(リモートメンテのため接続) Step3 社内----NetScreen5XT------internet------PC(WinPPTP使用、ダイアルアップ、 | ケーブル、ADSL等での接続) | ------NetScreen--他社1(リモートメンテのため接続) | ------Netscreen--他社2(リモートメンテのため接続) ※全てVPNでの接続 NetscreenとPCを接続するためにはNetscreenRemoteが推奨と聞いておりますが 上記接続環境の確認が取れないと、このソフトも購入することが出来ないため、 上記構成で接続確認を取りたいのですがどのようにすればよろしいでしょうか。 PCは外部からアクセスを行い、社内へVPN接続後、選択的に他社にアクセスし リモートでのメンテナンスを行います。 他社から自社へのアクセスは認めず、また、他社同士のアクセスも行いません。 PCがVPNで自社接続後、選択的に他社に接続を行います。 上記1-3でどの構成まで可能でしょうか。 宜しくお願い致します。 | ||||
|
投稿日時: 2004-12-09 20:04
一度社内につないで、他社に入る必要があるのでしょうか? NetScreenRemoteで、直接他社のNetscreenにトンネルを張る方が手っ取り早いような? 他社のNetscreenに事前にRemote用のPolicyを作成できることが前提ですが。 | ||||
|
投稿日時: 2004-12-10 09:02
おはよう御座います。
NetScreen-PPTPの接続はしたことがありませんが、メインモードなら可能だと思います。 また、事前にアクセスするネットワークをクライアント側に登録する必要が あると思います。ただ、複数のネットワークを指定出来たかは不明です。 他社へのリモートアクセスですが、これはインターネット経由でない、でいいですか? PPTPで接続試験をするぐらいでなら、アグレッシブモードでも動作可能な NetScreen-Remoteを最初から導入する事をお勧めします。 | ||||
|
投稿日時: 2004-12-10 15:03
金蛇精様
ご指摘の通り直接VPN接続をした方が早いのですが、大手プロバイダのリモート メンテ等を行う際にVPNで接続が可能な端末を、事前に申告しその端末から でないと許可が得られないなど、書類上の問題でこのような構成を考えて おります。 大手ではないところはNetScreenにユーザー登録をし、NetScreenRemoteで直接 ユーザーへログインすることは許可されますが、やはり相手が大手となると このような手段もとらざるを得ません。 | ||||
|
投稿日時: 2004-12-10 15:51
くおん様
NetScreenRemoteでのVPNはやはり効果的なのでしょうか。 NetScreenをFireWall(NATモード)でISPへ導入したことはあるのですが、 VPNに関しては良く分からない状態ですので、今ある検証機材のみで 試験を行い、その内容に基づいて機器の選定を行うことを考えたため PPTPのようなことを考えました。 PPTPも多少癖があるようですので、NetScreenRemoteを検討します。 NetScreenのVPN構築マニュアルを購入元より入手はし、ダイアルアップ 環境におけるVPN接続を参考にPPTPを設定してみましたが、 やはりうまく動作せることが出来ませんでした。 NetScreenのVPN接続に関する資料でVPN設定初心者でも分かるような 資料をご存じないでしょうか。 | ||||
|
投稿日時: 2004-12-11 18:24
相手が大手なら、正規の手続きを踏んだ方が良いと思いますがね。 何か事が起きた時に、責任の所在を明確にする上でも。 NetscreenのVPNの設定自体は、GUIで簡単に行えると思います。 見たまんまですよ〜。 GUIを見てピンとこないようなら、まずIPsecVPNに関する文献を読んで 勉強される事をおすすめしますよ。 [ メッセージ編集済み 編集者: 金蛇精 編集日時 2004-12-12 01:33 ] | ||||
|
投稿日時: 2004-12-15 08:46
おはよう御座います。
初心者向けの設定資料などがあるかわちょっとわかりません。 NetScreenでVPNを設定するには、まずUser情報を設定します。 次にPhase-1(NetScreen上ではたしかGateway)の設定をします。 ここでは交換するPre-Keyや使用する暗号化方式やユーザIDなどを設定し、 この情報を使用するUserを割り振ります。 次にPhase-2(項目忘れました)の設定を行います。 ここではPhase-2で使用する暗号化方式や交換するFQDNなどの情報を設定します。 最後にポリシーを設定し、使用するVPN設定(Phase-2で付けた名前)を選択します。 アクセスはTunnelを指定。 これで接続可能になると思います。 但し、PC上での名称とNetScreen上での名称が必ずしも一致しているわけではないので いろいろ試す必要があるかもしれません。 また、PC上で設定するセキュアネットワークやローカルネットワークの情報は Phase-2で設定します。この情報が一致していないとVPN接続はできても 目的とするネットワーク間で通信が出来ないといった事が発生する事があります。 | ||||
|
投稿日時: 2004-12-15 10:34
くおん様、金蛇精様
レスありがとうございました。 購入元よりNS25とNSRemoteを借りましたので、これを利用して試験を行いたいと思います。 VPNとは別件でFireWallでのProxy機能についてNetScreenで調べており、ある購入元では 下記構成が可能だが、別の購入元では出来ないと聞きましたが実際のところ、設定は 可能でしょうか。 構成 学校-----SW---NS25---Internet | ----コンテンツフィルタリングサーバー (プロキシサーバー) 仕様 学校内の端末のブラウザにプロキシを設定をせずに、端末からの 外部80番ポート宛トラフィックをNSでコンテンツフィルタリング サーバーへアドレス変換を行い、コンテンツフィルタリングサーバー が代理リクエストを行う。 ※構成図でコンテンツフィルタリングサーバーが学校に接続されている ように表示されていますが、実際はNS25に接続される予定です。 VPNの設定と平行してしまいますが、引き続き宜しくお願い致します。 |