- - PR -
Netscreenの設定について
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-12-13 13:41
追加です。
ServiceはAnyとなっています。 個別で指定している場合はIKEを追加してください。 IKEがないとフェーズ2が張れません。 | ||||||||||||
|
投稿日時: 2005-12-13 15:00
くおんさん返信ありがとうございます。 支店のIPは固定ですのでmainモードで接続をしています。 早速試してみたのですが、うまくできませんでした。 そこで質問させて頂きたいのですが、 ●「Source Any」とありますが、これは「Inside Any」とは別物でしょうか? Screen OS が 3.0.3 だと「Any」という選択肢は無いようです。 また、支店は1つではないのですがそれでも同じ設定になるのでしょうか? ●ルーティングは「System」の「Configure」⇒「Route Table」タブで行うものでしょうか? 当方の環境で試したルーティング設定を以下にまとめます。 Network Address : 支店のUntrust IP Netmask : 255.255.255.255 Gateway IP Address : 0.0.0.0(自動的に本社untrust Interface の Gateway に) Interface : untrust Metric : 1 Network Address : 192.168.1.0 Netmask : 255.255.255.0 Gateway IP Address : 0.0.0.0(自動的に本社untrust Interface の Gateway に) Interface : untrust Metric : 1 この設定ではできませんでしたが、もしかしてScreen OS が新しいと VPNのポリシーごとにルーティング設定ができたりするんですか? なんか質問ばかりですみません<(_ _)> | ||||||||||||
|
投稿日時: 2005-12-19 11:13
こんにちわ。
ScreenOS 3.X系は触ったことがないので良く判りません。 Phase2でNGと言う事でしょうか。
Inside Anyで良いと思います。また、支店が複数あってもDestinationとTunnelで区別 されるので同様の設定で構いません。 ルーティングの設定については記述の通りで問題ないと思います。 3.0系のOSであるか分かりませんが、Trust、Untrust共に同じvrになっていますか。 VPN部分だけの問題であれば、NetScreen2台、L3SWを使って簡単な構成を組んで確認 してみるのが早いと思われます。 | ||||||||||||
|
投稿日時: 2005-12-19 11:41
くおんさん、返信ありがとうございます。
はい。P2でNGになります。
vrというのはVirtual Router Nameというものでしょうか? ScreenOS4の日本語マニュアルを覗いた時に見かけましたが、 ScreenOS3には同様の設定があるようには思えません。
先日から、返信を頂いては実際に試しているのですが、 やはりScreenOS3では無理なのかもしれませんね。 | ||||||||||||
|
投稿日時: 2005-12-19 11:48
こんにちわ。
Phase2でNGと言う事はPhase1は通っていると考えて良いでしょうか。 ScreenOS3でもVPN接続は可能です。 もう一度Phase2の設定を確認して見てはどうでしょうか、 また、NetScreen同士ではないですがYAMAHAのホームページにNetScreenとYAMAHA間で IPSec接続をする例が載っていました。(ScreenOSは3.0.2でした) これらも参考にして見てはどうでしょうか。 | ||||||||||||
|
投稿日時: 2005-12-19 14:41
くおんさん、こんにちは。
はい
当方では、支店内からDestinationが本社内アドレスの場合はVPN接続、 それ以外のアドレスは直接Untrast側に流すというVPN設定はできていました。 ただ、インターネットへの接続を会社全体で1ヶ所にする必要(命令?)があり、 支店から外部アドレスへの接続を、支店のUntrast側に直接流すのではなく、 支店からのすべてトラフィックをVPNで本社へ送り、 本社のゲートウェイからインターネットへ出るような設定をすることになったのです。 そこで、今までのポリシー設定を Source : Inside Any Destination : 本社アドレス Action : Tunnel VPN Tunnel : 支店用トンネル から Source : Inside Any Destination : Outside Any Action : Tunnel VPN Tunnel : 支店用トンネル に変更した途端、P2でNGとなるようになりました。 ルーティング設定もいじりましたが、やはり繋がらずNGで現在に至ります。
http://www.rtpro.yamaha.co.jp/RT/docs/example/ns-5xp/ns-main.html こちらの例のことでしょうか? この例によると、YAMAHA側はこの設定で、すべてのトラフィックをNetscreen側に投げるということなのでしょうか。。。 Netscreen側はYAMAHAのLAN側アドレスへの要求だったらVPNという感じで、なんら特別な設定していませんね。 当方の環境で考えると、本社側Netscreen25では特別な設定の必要が無く、 支店側Netscreen5XPの設定だけの問題であるということになりそうですね。 | ||||||||||||
|
投稿日時: 2005-12-19 21:34
ふるちんさんこんばんは。
恐らくですが...sourceあるいはdestinationがanyの場合に 私も同様の経験をしたことがあります。 Phase1は問題なく、Phase2でNG。 AddressListにsourceのネットワークアドレスを登録し、これを sourceに指定しVPNを構成をしてみたらいかがでしょうか。 当然、本社・支社ともに設定する必要はありますが... 多分上記の方法でもNGのような気がします。本当につい最近これで はまりましたので... ご参考まで | ||||||||||||
|
投稿日時: 2005-12-21 15:44
こんにちわ。
ポリシーの設定についてですが、両側で同じ設定にする必要があります。 つまり、 本社側(双方向:Trust⇔Untrust) Source Any Destination 支店側アドレス Action Tunnel VPN 支店用トンネル 支店側(双方向:Trust⇔Untrust) Source 支店側アドレス Destination Any Action Tunnel VPN 支店用トンネル とする必要があります。 支店側を共にAnyにする場合、対する本社側もAnyにする必要があります。 通常であれば支店側が複数あると思いますので、面倒ですがそれぞれアドレスを 指定する必要があります。 例ある支店で192.168.1.0/24と192.168.2.0/24のネットワークがある場合 本社側(双方向:Trust⇔Untrust) Source Any Destination 支店側アドレス(192.168.1.0/24) Action Tunnel VPN 支店用トンネル 本社側(双方向:Trust⇔Untrust) Source Any Destination 支店側アドレス(192.168.2.0/24) Action Tunnel VPN 支店用トンネル 支店側(双方向:Trust⇔Untrust) Source 支店側アドレス(192.168.1.0/24) Destination Any Action Tunnel VPN 支店用トンネル 支店側(双方向:Trust⇔Untrust) Source 支店側アドレス(192.168.2.0/24) Destination Any Action Tunnel VPN 支店用トンネル となります。もちろんルーティングの設定も併せて行う必要があります。 | ||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。