- PR -

Netscreenの設定について

1|2|3 次のページへ»
投稿者投稿内容
ふるちん
会議室デビュー日: 2005/11/30
投稿数: 8
投稿日時: 2005-11-30 23:12
ふるちんと呼ばれている者です。

Netscreenについて詳しい方、ご教授お願いいたします。

現在、本社と複数の支店でHub-and-Spoke VPNを組んでおり、
各拠点からはインターネットへ自由にアクセスできる環境です。

支店から外部宛のすべてのトラフィックをVPNで本社を経由させたいのですが、
このような設定をすることは可能でしょうか?
インターネットへの出口を1ヶ所(VPNの場合を除く)にまとめることを目的としています。

支店 : Netscreen-5XP (3.0.3r5.0)
本社 : Netscreen-25 (3.0.3r8.1)

可能な場合、設定方法の参考になる情報などいただければ幸いです。
よろしくお願いします。

[ メッセージ編集済み 編集者: ふるちん 編集日時 2005-11-30 23:15 ]
きょうちゃん
会議室デビュー日: 2003/05/29
投稿数: 2
投稿日時: 2005-12-12 11:26
詳しくはありませんが、PROXYサーバなどを本社において処理するしか
方法は無いと思います。NetScreenの設定では対処できなかったと思います。
ふるちん
会議室デビュー日: 2005/11/30
投稿数: 8
投稿日時: 2005-12-12 11:37
やはりプロキシを経由しなければならないのですか。。。

おかげさまで今後の方向性が決められそうです。
返信ありがとうございました。
綾瀬
ぬし
会議室デビュー日: 2002/07/31
投稿数: 393
お住まい・勤務地: どっちも3階
投稿日時: 2005-12-12 13:43
こんにちは。

NetScreen自体は触ったことないんですが。考え方として例えば

本社:192.168.0.0/24
支店:192.168.1.0/24

とすると、支店ルータの設定はたぶん
「192.168.0.0/24宛ならトンネル使う」
というルーティングさせますよね?

で、この192.168.0.0/24の部分を0.0.0.0にすれば
やりたいことができると思うのでうすが。

触ったこと無いので具体例は示せませんが、本社経由で通信させる
サービスを提供してる業者は結構居ますので、まったくできないと
いうことは無いはずですよ。
ふるちん
会議室デビュー日: 2005/11/30
投稿数: 8
投稿日時: 2005-12-12 15:31
それを期待して、いろいろ試してみたんですが、
どうもうまく行かなくて。。。

実際の設定例などがあれば、とても助かるのですが。。。
ぜんぜん見つけられませんでした。orz
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-12-12 15:36
Rule1
引用:

「192.168.0.0/24宛ならトンネル使う」
というルーティングさせますよね?


Rule2
引用:

で、この192.168.0.0/24の部分を0.0.0.0にすれば
やりたいことができると思うのでうすが。


とした場合、
Rule2だけだとVPNセッション自体が行えない状態に、
Rule2→Rule1でも上記同様、
Rule1→Rule2でも、Rule2に該当した通信にRule1のVPNセッションが利用される
ようなことは無かったはず、です。

大分前(ScreenOS Ver4世代)で同様のこと試したことがあるけど、
自前検証+サポートベンダ1社に問い合わせた上で、
「できない」と言う結論を出して構成再検討したことがありました。
何かの見落としがあって、実は出来る、って可能性もあるにはあるでしょうけど。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
ふるちん
会議室デビュー日: 2005/11/30
投稿数: 8
投稿日時: 2005-12-12 17:17
綾瀬さん、Mattunさん返信ありがとうございます。

確かに、支店のNetscreen設定を
 Source Address : Inside Any
 Destination Address : Outside Any
 Action : Tunnel
 VPN Tunnel : 支店用トンネル
のように設定すると、P1 は通過しても P2 を通過できず、
セッションが張られませんでした。
本社側の設定の問題かと思い、
 Source Address : 支店の内部アドレス
 Destination Address : Inside Any
 Action : Tunnel
 VPN Tunnel : 支店用トンネル
のように設定してもセッションが張られませんでした。

Netscreenの動作モードにはルートモードというのがあるようですが、
それも私が期待する「すべての通信をVPNトンネルを経由させる」という
役割ではなさそうです。

残念ながら、諦めムード濃厚です。。。(´Д⊂グスン
くおん
大ベテラン
会議室デビュー日: 2004/07/26
投稿数: 154
投稿日時: 2005-12-13 10:52
こんにちわ。

結果から言えば出来ます。
とりあえずMainモードではふるちんさんの通りの動作をしています。
ポリシーは両方向にかける前提で以下のような感じ。(例はFrom Trust To Untrustで)
本社側
Source Any
Destination 192.168.1.0/24
Action Tunnel
VPN 支店向け
ルーティングは
支店のUntrust IP インターネット側
支店のローカルNW インターネット側
デフォルトルート 実際にインターネット接続をするルータないしFWへ

支店側
Source 192.168.1.0/24
Destination Any
Action tunnel
VPN 本社向け
デフォルトルートをインターネット側に向けています。

支店側IP非固定とかの場合だとポリシールーティングが必要となってくると思います。
1|2|3 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)