- - PR -
Netscreenの設定について
1|2|3
次のページへ»
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-11-30 23:12
ふるちんと呼ばれている者です。
Netscreenについて詳しい方、ご教授お願いいたします。 現在、本社と複数の支店でHub-and-Spoke VPNを組んでおり、 各拠点からはインターネットへ自由にアクセスできる環境です。 支店から外部宛のすべてのトラフィックをVPNで本社を経由させたいのですが、 このような設定をすることは可能でしょうか? インターネットへの出口を1ヶ所(VPNの場合を除く)にまとめることを目的としています。 支店 : Netscreen-5XP (3.0.3r5.0) 本社 : Netscreen-25 (3.0.3r8.1) 可能な場合、設定方法の参考になる情報などいただければ幸いです。 よろしくお願いします。 [ メッセージ編集済み 編集者: ふるちん 編集日時 2005-11-30 23:15 ] | ||||||||
|
投稿日時: 2005-12-12 11:26
詳しくはありませんが、PROXYサーバなどを本社において処理するしか
方法は無いと思います。NetScreenの設定では対処できなかったと思います。 | ||||||||
|
投稿日時: 2005-12-12 11:37
やはりプロキシを経由しなければならないのですか。。。
おかげさまで今後の方向性が決められそうです。 返信ありがとうございました。 | ||||||||
|
投稿日時: 2005-12-12 13:43
こんにちは。
NetScreen自体は触ったことないんですが。考え方として例えば 本社:192.168.0.0/24 支店:192.168.1.0/24 とすると、支店ルータの設定はたぶん 「192.168.0.0/24宛ならトンネル使う」 というルーティングさせますよね? で、この192.168.0.0/24の部分を0.0.0.0にすれば やりたいことができると思うのでうすが。 触ったこと無いので具体例は示せませんが、本社経由で通信させる サービスを提供してる業者は結構居ますので、まったくできないと いうことは無いはずですよ。 | ||||||||
|
投稿日時: 2005-12-12 15:31
それを期待して、いろいろ試してみたんですが、
どうもうまく行かなくて。。。 実際の設定例などがあれば、とても助かるのですが。。。 ぜんぜん見つけられませんでした。orz | ||||||||
|
投稿日時: 2005-12-12 15:36
Rule1
Rule2
とした場合、 Rule2だけだとVPNセッション自体が行えない状態に、 Rule2→Rule1でも上記同様、 Rule1→Rule2でも、Rule2に該当した通信にRule1のVPNセッションが利用される ようなことは無かったはず、です。 大分前(ScreenOS Ver4世代)で同様のこと試したことがあるけど、 自前検証+サポートベンダ1社に問い合わせた上で、 「できない」と言う結論を出して構成再検討したことがありました。 何かの見落としがあって、実は出来る、って可能性もあるにはあるでしょうけど。 _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||||||
|
投稿日時: 2005-12-12 17:17
綾瀬さん、Mattunさん返信ありがとうございます。
確かに、支店のNetscreen設定を Source Address : Inside Any Destination Address : Outside Any Action : Tunnel VPN Tunnel : 支店用トンネル のように設定すると、P1 は通過しても P2 を通過できず、 セッションが張られませんでした。 本社側の設定の問題かと思い、 Source Address : 支店の内部アドレス Destination Address : Inside Any Action : Tunnel VPN Tunnel : 支店用トンネル のように設定してもセッションが張られませんでした。 Netscreenの動作モードにはルートモードというのがあるようですが、 それも私が期待する「すべての通信をVPNトンネルを経由させる」という 役割ではなさそうです。 残念ながら、諦めムード濃厚です。。。(´Д⊂グスン | ||||||||
|
投稿日時: 2005-12-13 10:52
こんにちわ。
結果から言えば出来ます。 とりあえずMainモードではふるちんさんの通りの動作をしています。 ポリシーは両方向にかける前提で以下のような感じ。(例はFrom Trust To Untrustで) 本社側 Source Any Destination 192.168.1.0/24 Action Tunnel VPN 支店向け ルーティングは 支店のUntrust IP インターネット側 支店のローカルNW インターネット側 デフォルトルート 実際にインターネット接続をするルータないしFWへ 支店側 Source 192.168.1.0/24 Destination Any Action tunnel VPN 本社向け デフォルトルートをインターネット側に向けています。 支店側IP非固定とかの場合だとポリシールーティングが必要となってくると思います。 |
1|2|3
次のページへ»