- PR -

NETSCREEN-5GTによるVPN構築に関する質問

1
投稿者投稿内容
aaabbb
会議室デビュー日: 2004/04/22
投稿数: 14
投稿日時: 2004-06-21 18:49
NETSCREEN-5GTを用いてVPNの構築でわからないことがあるので
質問させていただきます。

環境について説明させていただきます。

 拠点A(192.168.1.0/24)
    |
    |.254
 NETSCREEN-5GT
    |(IP固定)
    |
  Internet
    |
    |(IP固定)
 NETSCREEN-5GT
    |.254
    |
 拠点B(192.168.2.0/24)

というシンプルな構成です。

ここで質問なのですが、

  • 拠点Aから拠点Bの通信はすべて通す。
  • 拠点Bから拠点Aの通信はまったく通さない

つまり拠点AのNETSCREENの内側にさらにもう一つFWがあるような
構成をNETSCREEN一台ですることができるのでしょうか?
JYAJYA
常連さん
会議室デビュー日: 2002/05/22
投稿数: 48
投稿日時: 2004-06-21 22:30
ポリシーベースVPNで設定するのであれば、拠点A/Bの5GTにVPNを設定して、
拠点Aの5GTにだけ、宛先が拠点Bのポリシー(tunnel)を書いておけば、大丈夫だったような。

拠点Bの5GTにも、宛先が拠点Bのポリシーを書く必要があったかもしれません。
aaabbb
会議室デビュー日: 2004/04/22
投稿数: 14
投稿日時: 2004-06-22 11:11
JYAJYAさん

返事が遅れてしまい申し訳ございません。

引用:

拠点Aの5GTにだけ、宛先が拠点Bのポリシー(tunnel)を書いておけば、大丈夫だったような。

拠点Bの5GTにも、宛先が拠点Bのポリシーを書く必要があったかもしれません。


試してみたのですが、できませんでした。

改めてやりたいことを以下に示します。

拠点BのNETSCREEN-5GT
      |
    Internet
      |
  ---------------
  | NETSCREEN |
  ---------------
      |
  ---------------
  | NATルーター |
  ---------------
      |
     拠点A

質問時にはNATルーターの部分をFWを書いてしまったのを修正いたしました。

上記の拠点A側のNETSCREENとNATルーターを
1台のNETSCREN内で動作させたいのですがやはり無理があるのでしょうか?
JYAJYA
常連さん
会議室デビュー日: 2002/05/22
投稿数: 48
投稿日時: 2004-06-22 17:37
拠点A/Bに5GTを設置していて、拠点AからVPN経由で拠点Bに送る通信を、拠点A側の5GTでNATしてから拠点Bに流したいということですよね?

拠点Aの5GTに設定している(インターフェイスではなく)VPNのポリシーでNATを設定しても動作しなければ難しそうです。拠点Bの5GTに、NATを設定するわけにはいかないんですよね?
aaabbb
会議室デビュー日: 2004/04/22
投稿数: 14
投稿日時: 2004-06-22 19:09
JYAJYAさん
返答ありがとうございます。

引用:

拠点A/Bに5GTを設置していて、拠点AからVPN経由で拠点Bに送る通信を、拠点A側の5GTでNATしてから拠点Bに流したいということですよね?

拠点Aの5GTに設定している(インターフェイスではなく)VPNのポリシーでNATを設定しても動作しなければ難しそうです。拠点Bの5GTに、NATを設定するわけにはいかないんですよね?

いえ。拠点Aの通信自体NATで置き換えられVPNのセッションを張るのは
NATで変換後の(拠点AのNETSCREENとNATルーターの間の)セグメントと
拠点Bのセグメントというイメージです。

なぜこんなことを申し上げたかといいますと、
マニュアルを見ている最中に、仮想ルーターを作成することで
trust内にもう一つ仮想的にルーターが作成され、その中でNAT変換できるのでは
と思い、質問したのですが、NETSCREEN-5GTでは仮想ルーターを作成することが
できないみたいですね。(先ほど知りました。)
もし仮に作成できたとしたらできたのかなぁ・・・

引用:

拠点A/Bに5GTを設置していて、拠点AからVPN経由で拠点Bに送る通信を、拠点A側の5GTでNATしてから拠点Bに流したいということですよね?

拠点Aの5GTに設定している(インターフェイスではなく)VPNのポリシーでNATを設定しても動作しなければ難しそうです。拠点Bの5GTに、NATを設定するわけにはいかないんですよね?

すみません。NETSCREENについて詳しくないのですが、
VPNのポリシーでNATを作成するとはどういうことなのでしょうか?

質問に質問を返すようで申し訳ないのですが、教えていただけますでしょうか?

また、試行錯誤しているうちに(ただ勉強不足だっただけなのですが)
ポリシーベースのVPNではなく、ルーティングベースのVPNで設定し、

拠点B側のNETSCREENにおいて拠点Aへのアクセス許可のポリシーを
作成したところ当初の目的である、

  • 拠点Aから拠点Bの通信はすべて通す。
  • 拠点Bから拠点Aの通信はまったく通さない

ということをすることはできました。

ただ、JYAJYAさんのおっしゃってたVPNのポリシーにてNATの設定ができるのであれば、
そちらも試せればと思います。
よろしくお願い致します。
aaabbb
会議室デビュー日: 2004/04/22
投稿数: 14
投稿日時: 2004-06-22 22:40
すみません。先ほどの返答ですが、おかしなとこがあったため、
訂正させていただきます。

引用:

拠点A/Bに5GTを設置していて、拠点AからVPN経由で拠点Bに送る通信を、拠点A側の5GTでNATしてから拠点Bに流したいということですよね?

先ほどいいえと答えてしまいましたが、そうです。
自分の中で違う風に捉えてしまいました。

また、引用する箇所も間違えてしまいました。

失礼いたしました。
aaabbb
会議室デビュー日: 2004/04/22
投稿数: 14
投稿日時: 2004-06-23 10:26
JYAJYAさん

最初に返答していただいた、

引用:

ポリシーベースVPNで設定するのであれば、拠点A/Bの5GTにVPNを設定して、
拠点Aの5GTにだけ、宛先が拠点Bのポリシー(tunnel)を書いておけば、大丈夫だったような。

拠点Bの5GTにも、宛先が拠点Bのポリシーを書く必要があったかもしれません。


を再度設定してみたところ、できるようになりました。

大変失礼致しました。
1

スキルアップ/キャリアアップ(JOB@IT)