- PR -

別NET含む拠点間VPN IKE IPSecフェーズ2でProposal does not match?

1
投稿者投稿内容
momo
会議室デビュー日: 2003/10/07
投稿数: 5
投稿日時: 2005-02-19 14:15
ファイアウォール+IPSec VPN機能を持つSonicWALL PRO230で、インターネットアクセスと同時に、それぞれ固定IPのサイト間IKE事前共有鍵でのIPSec VPNを設定して運用しています。正しく設定できていないのではないかと疑問に思うことがあり、投稿します。

●環境
固定のグローバルIP(A.A.A.A及びB.B.B.B)でインターネットVPN接続している両サイト内には別ネットワークも存在し、SonicWALLに経路を設定した上でSonicWALL設置ネットワーク内のホストはSonicWALLをデフォルトゲートウェイに指定しています。こういった環境で、例えばサイトA --> サイトBのSAにその対象ネットワークをNET-BとNET-D、と指定しています。(a.a.a.a〜d.d.d.d = NET-A〜NET-Bネットワークアドレス)
コード:
             サイトA                       サイトB
                  A.A.A.A              B.B.B.B
            [SonicWALL]---Internet VPN---[SonicWALL]
NET-C          | NET-A                    NET-B |          NET-D
c.c.c.c        | a.a.a.a                b.b.b.b |          d.d.d.d
  --[ROUTER]---+---                          ---+---[ROUTER]--


サイトA --> サイトB、サイトB --> サイトA、のSA両方で、
フェーズ1での暗号化/認証には3DES & SHA1、フェーズ1 DHグループはグループ1、
フェーズ2での暗号化/認証にはESP 3DES HMAC SHA1、
Perfect Forward Secrecyを有効とし、フェーズ2 DHグループはグループ1を指定しています。

●現象
IKE事前共有鍵によるトンネル確立後、フェーズ2に入ったところで、

IKE Initiator: Start Quick Mode (Phase 2). [Source:A.A.A.A Destination:B.B.B.B]

IKE Initiator: Received notify. NO_PROPOSAL_CHOSEN [Source:B.B.B.B Destination:A.A.A.A]

を数回繰り返した後、

No match for proposed remote network address[Source:B.B.B.B Destination:A.A.A.A d.d.d.d]

IPSec proposal does not match (Phase 2)[Source:B.B.B.B Destination:A.A.A.A (d.d.d.d -> a.a.a.a)]

IPSec proposal does not match (Phase 2)[Source:B.B.B.B Destination:A.A.A.A (d.d.d.d -> c.c.c.c)]

とログが出力されます。でも、

IPSec proposal does not match (Phase 2)[Source:B.B.B.B Destination:A.A.A.A (b.b.b.b -> a.a.a.a)]

とは出力されません。
以前、SonicWALLに別ネットワークへの経路を設定せずにNET-AとNET-Bの間だけで接続していた時期には、このようなログは一切出力されませんでした。

●質問
実際には、上記の状態でNET-A --> NET-B、NET-A --> NET-D といったアクセスは行えてはいるのですが、上記ログからは、両サイト内別ネットワークに関してフェーズ2が正しく設定できていないように見えます。
動いてはいるものの、誤っているように感じるのを放置しておけないのですが、何を確認すればよいのかが分かりません。何か勘違いしているような気もしますが...
たとえば、サイト内別ネットワークへ向けてはそれ用に別のSAを定義しなくてはならないのでしょうか。
ご存知の方いらっしゃれば、ぜひ教えていただけないでしょうか。よろしくお願いします。
長くてすみません。
momo
会議室デビュー日: 2003/10/07
投稿数: 5
投稿日時: 2005-02-19 16:09
経過報告の自己レスです。

一方のSonicWALLから、がリモートサイトのSonicWALLへとサイト間IPSec VPN接続を行う際には、リモートサイトのSonicWALLで経路を設定しているネットワークすべてについてトンネルを張ろうとするようで、ローカル側設定でSAが対象とするネットワークに、リモート側ネットワークすべてを指定しておかないと、こういったログがばんばん出力されるように見えます。

一般に、そういうもの、なんでしょうか。

こういうpdfも見つけました。
http://www.sonicwall.com/support/pdfs/technotes/Troubleshooting_Guide_IKE_VPN_Initialization_rev0.pdf
「Routing Multiple Subnets through VPN」という項があり、ちょっとカーブをかけて受け取れば上記のようにも受け取れないでもないような気もします<英語力の問題だけ?
momo
会議室デビュー日: 2003/10/07
投稿数: 5
投稿日時: 2005-02-19 17:35
おかげさまできれいなログになりました。
自分なりにまとめをしておきます。
突っ込み箇所はぜひ教えてください。また、SonicWALLに限定した話ではないのなら、そうだよ、というようなこともぜひ教えてください。よろしくお願いします。
---

ローカルサイト(a.a.a.a)とリモートサイトとで拠点間VPNをやる場合、

・デフォルトゲートウェイの役割も担っているリモートサイトのSonicWALLには、リモートサイト内から別ネットワーク(d.d.d.d)へアクセスさせるために経路が設定してある

・でもその別ネットワークからはローカルサイト側ネットワークにアクセスさせる予定もなく経路設定はしていない、もしくは意図的に経路を設定していない

という場合においても、そのリモートサイトの背後にある別ネットワークまでをもSAで対象とするネットワークに設定しておかなくては、SonicWALLはIPSec IKEのフェーズ2で正しく要求を処理できずにエラーを吐き続けてしまう。
※この状態でも、手元ではローカルサイト側とリモートサイトの背後にあるネットワークとの通信自体はできていました。
※エラーを吐き続けることはそこそこな負荷だと思われます。
※この部分SonicWALL以外ではどうなのか分かりません。ぜひ教えてください。こういうものですか?

でも、リモートサイトの背後にある別ネットワークをSAの対象として設定した場合、そのネットワークからローカル側への経路がもし存在した場合(複数のネットワークからデフォルトネットワークとして設定されたルータが知ってたとか)には疎通してしまいます。疎通させたくない場合もあるでしょう。

サイト背後の別ネットワークをも接続する拠点間VPNをやるなら、サイト内ホスト群のデフォルトゲートウェイを担うのはVPN-BOXではなく、別途背後のネットワークへの経路を持ったルータとして、そのルータのデフォルトゲートウェイをVPN-BOXにしよう。で、拠点間VPNで必要な経路(とSA対象ネットワーク)だけをVPN-BOXに設定する。
ということでしょうかね。
最後はSonicWALLに限った話じゃない気がしたのでここだけVPN-BOXと書いてます。

なお、アクセスルールで、送信元*側(ANY)a.a.a.a --> LAN側d.d.d.dを拒否する設定自体は行えましたが、SAの対象としてトンネルはってしまっているからなのか、期待する動きにはならないようでした。
※今回の環境ではSAのVPN終端はSonicWALLのLAN側としています
momo
会議室デビュー日: 2003/10/07
投稿数: 5
投稿日時: 2005-02-21 09:23
もう一つ補足しておきます。
はじめに、SonicWALLの機種をPRO230と書いておりましたが、TZ170でも同様な結果が得られましたので、この件については、SonicWALLについては、6.x系とSonicOS 2.x系のどちらも同じようでした。
1

スキルアップ/キャリアアップ(JOB@IT)