- PR -

NetScreen25 と RTX1100 の ipsec接続について

1
投稿者投稿内容
なぞじる
会議室デビュー日: 2006/10/10
投稿数: 3
投稿日時: 2006-10-10 12:46
どなたか実績のある方、ご教授願います

NS25側 固定グローバルIP RTX側 非固定グローバルIP のアグレッシブ接続
双方ともBフレッツでPPPoE接続
p1 p2共にProposalは合わせております(pre-g2-3des-sha nopfs-esp-3des-sha)
RTX→NS25にはAny NS25→RTXにはローカルネットワークアドレスでポリシー作成

その際にsaが接続できず、NS側に下記のログが発生
xxx・・・はRTX側のグローバルIPでyyy・・・はNS25側のグローバルIP

Rejected an IKE packet on ethernet3 from xxx.xxx.xxx.xxx:500 to yyy.yyy.yyy.yyy:500 with cookies zzzzzzzzzzzzzzz and 0000000000000000 because an initial Phase 1 packet arrived from an unrecognized peer gateway

単純にNS側で何かの設定が抜けているだけとは思いますが、見つけ出せずにおります
どなたかアドバイスを頂ければと思います
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-10-10 13:31
こんにちは。

もう少し書き方を工夫できませんでしょうか?
タイトルまで見てようやく構成がわかりましたが、質問内容を見ただけでは
さっぱりわかりません。
# 私だけかもしれませんが、普段は質問内容だけ見ているだけなので・・・。
(以上、本題と無関係)

上記環境でのVPN構築経験はありませんが「SAが張れない」のはゲートウェイ
の設定もれというケースが多いようですので、一度再確認して下さい。

過去ログにもありました。
ポリシーベースでのVPN構築
なぞじる
会議室デビュー日: 2006/10/10
投稿数: 3
投稿日時: 2006-10-10 13:48
BackDoor様

お世話になります
PPPoE接続ですので、untrust側G/Wは自動でコネクトされます
trust側はNS、RTX共にstaticに設定済みです

もし他にありましたら、教えて頂ければと思います
宜しくお願いします
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-10-10 15:16
失礼しました。

エラーメッセージを良く見ると
an initial Phase 1 packet arrived from an unrecognized peer gateway
# 初期のPhase1パケットは認識されていない同輩ゲートウェイから到着しました
とあるので、相互認証の問題のようですね。

一度「IPSec Phase 1 の設定」部分を再確認して下さい。
一般的には下記項目があるはずです。

Name(名前)
Authentication(認証)ここを重点的にチェック
DH Group(DH グループ)
Encryption(暗号化)
Hash(ハッシュ)
Lifetime(ライフタイム)

繰り返しますが、NetScreen環境でのVPN構築経験はありませんので、これ以上の
詳細アドバイスは困難です。 m(_ _)m

修正:太字を追加

[ メッセージ編集済み 編集者: BackDoor 編集日時 2006-10-10 15:32 ]
くろすけ
会議室デビュー日: 2006/10/10
投稿数: 2
投稿日時: 2006-10-10 17:12
こんにちは。

NetScreenとRTシリーズであればこんな古い資料ならありますが、、、
INS系ですが、IKEの部分は変わらないでしょう。
http://www.rtpro.yamaha.co.jp/RT/docs/example/ns-5xp/ns-aggr.html

また、NetScreenは前良く触っていましたがpreshareがよくおかしくなる
現象にみまわれて、NetScreen側のpreshareを再度入れなおすと
何事も無かったように接続されたことがしばしばです。

ということで、IKE preshareの再入力をしてみてはどうでしょうか?
なぞじる
会議室デビュー日: 2006/10/10
投稿数: 3
投稿日時: 2006-10-10 17:23
BackDoor様 Res頂きました未記入様

色々調べていただきありがとうございます
解決いたしました

結果はRTX側の設定で
ipsec ike local name 〜
の記述の最後にuser-fqdnとfqdn形式で設定している宣言をしなければ
ならなかったのに、そこを見落としていた事が原因でした
私の場合key-idと間違って入力しておりました
ご指摘の通り、調査した結果判明しました
判ってしまえば単純な事だったのですが、一人で考えていたら見つける
のにだいぶん時間をかけていたと思います

ご回答して頂いた皆様、調べて頂いた皆様、ありがとうございました
1

スキルアップ/キャリアアップ(JOB@IT)