- PR -

Netscreenの設定について

投稿者投稿内容
くおん
大ベテラン
会議室デビュー日: 2004/07/26
投稿数: 154
投稿日時: 2005-12-13 13:41
追加です。

ServiceはAnyとなっています。
個別で指定している場合はIKEを追加してください。
IKEがないとフェーズ2が張れません。
ふるちん
会議室デビュー日: 2005/11/30
投稿数: 8
投稿日時: 2005-12-13 15:00
引用:

本社側
Source Any
Destination 192.168.1.0/24
Action Tunnel
VPN 支店向け
ルーティングは
支店のUntrust IP インターネット側
支店のローカルNW インターネット側
デフォルトルート 実際にインターネット接続をするルータないしFWへ

支店側
Source 192.168.1.0/24
Destination Any
Action tunnel
VPN 本社向け
デフォルトルートをインターネット側に向けています。

支店側IP非固定とかの場合だとポリシールーティングが必要となってくると思います。



くおんさん返信ありがとうございます。

支店のIPは固定ですのでmainモードで接続をしています。

早速試してみたのですが、うまくできませんでした。
そこで質問させて頂きたいのですが、
●「Source Any」とありますが、これは「Inside Any」とは別物でしょうか?
 Screen OS が 3.0.3 だと「Any」という選択肢は無いようです。
 また、支店は1つではないのですがそれでも同じ設定になるのでしょうか?
●ルーティングは「System」の「Configure」⇒「Route Table」タブで行うものでしょうか?
 当方の環境で試したルーティング設定を以下にまとめます。

Network Address : 支店のUntrust IP
Netmask : 255.255.255.255
Gateway IP Address : 0.0.0.0(自動的に本社untrust Interface の Gateway に)
Interface : untrust
Metric : 1

Network Address : 192.168.1.0
Netmask : 255.255.255.0
Gateway IP Address : 0.0.0.0(自動的に本社untrust Interface の Gateway に)
Interface : untrust
Metric : 1

この設定ではできませんでしたが、もしかしてScreen OS が新しいと
VPNのポリシーごとにルーティング設定ができたりするんですか?

なんか質問ばかりですみません<(_ _)>
くおん
大ベテラン
会議室デビュー日: 2004/07/26
投稿数: 154
投稿日時: 2005-12-19 11:13
こんにちわ。

ScreenOS 3.X系は触ったことがないので良く判りません。
Phase2でNGと言う事でしょうか。

引用:
●「Source Any」とありますが、これは「Inside Any」とは別物でしょうか?
 Screen OS が 3.0.3 だと「Any」という選択肢は無いようです。
 また、支店は1つではないのですがそれでも同じ設定になるのでしょうか?


Inside Anyで良いと思います。また、支店が複数あってもDestinationとTunnelで区別
されるので同様の設定で構いません。

ルーティングの設定については記述の通りで問題ないと思います。
3.0系のOSであるか分かりませんが、Trust、Untrust共に同じvrになっていますか。

VPN部分だけの問題であれば、NetScreen2台、L3SWを使って簡単な構成を組んで確認
してみるのが早いと思われます。
ふるちん
会議室デビュー日: 2005/11/30
投稿数: 8
投稿日時: 2005-12-19 11:41
くおんさん、返信ありがとうございます。
引用:

Phase2でNGと言う事でしょうか。


はい。P2でNGになります。
引用:

3.0系のOSであるか分かりませんが、Trust、Untrust共に同じvrになっていますか。


vrというのはVirtual Router Nameというものでしょうか?
ScreenOS4の日本語マニュアルを覗いた時に見かけましたが、
ScreenOS3には同様の設定があるようには思えません。
引用:

VPN部分だけの問題であれば、NetScreen2台、L3SWを使って簡単な構成を組んで確認
してみるのが早いと思われます。


先日から、返信を頂いては実際に試しているのですが、
やはりScreenOS3では無理なのかもしれませんね。
くおん
大ベテラン
会議室デビュー日: 2004/07/26
投稿数: 154
投稿日時: 2005-12-19 11:48
こんにちわ。

Phase2でNGと言う事はPhase1は通っていると考えて良いでしょうか。

ScreenOS3でもVPN接続は可能です。
もう一度Phase2の設定を確認して見てはどうでしょうか、
また、NetScreen同士ではないですがYAMAHAのホームページにNetScreenとYAMAHA間で
IPSec接続をする例が載っていました。(ScreenOSは3.0.2でした)
これらも参考にして見てはどうでしょうか。
ふるちん
会議室デビュー日: 2005/11/30
投稿数: 8
投稿日時: 2005-12-19 14:41
くおんさん、こんにちは。

引用:
Phase2でNGと言う事はPhase1は通っていると考えて良いでしょうか。


はい

引用:
ScreenOS3でもVPN接続は可能です。
もう一度Phase2の設定を確認して見てはどうでしょうか、


当方では、支店内からDestinationが本社内アドレスの場合はVPN接続、
それ以外のアドレスは直接Untrast側に流すというVPN設定はできていました。
ただ、インターネットへの接続を会社全体で1ヶ所にする必要(命令?)があり、
支店から外部アドレスへの接続を、支店のUntrast側に直接流すのではなく、
支店からのすべてトラフィックをVPNで本社へ送り、
本社のゲートウェイからインターネットへ出るような設定をすることになったのです。
そこで、今までのポリシー設定を
 Source : Inside Any
 Destination : 本社アドレス
 Action : Tunnel
 VPN Tunnel : 支店用トンネル
から
 Source : Inside Any
 Destination : Outside Any
 Action : Tunnel
 VPN Tunnel : 支店用トンネル
に変更した途端、P2でNGとなるようになりました。
ルーティング設定もいじりましたが、やはり繋がらずNGで現在に至ります。

引用:

また、NetScreen同士ではないですがYAMAHAのホームページにNetScreenとYAMAHA間で
IPSec接続をする例が載っていました。(ScreenOSは3.0.2でした)
これらも参考にして見てはどうでしょうか。


http://www.rtpro.yamaha.co.jp/RT/docs/example/ns-5xp/ns-main.html
こちらの例のことでしょうか?

この例によると、YAMAHA側はこの設定で、すべてのトラフィックをNetscreen側に投げるということなのでしょうか。。。
Netscreen側はYAMAHAのLAN側アドレスへの要求だったらVPNという感じで、なんら特別な設定していませんね。
当方の環境で考えると、本社側Netscreen25では特別な設定の必要が無く、
支店側Netscreen5XPの設定だけの問題であるということになりそうですね。
きょうちゃん
会議室デビュー日: 2003/05/29
投稿数: 2
投稿日時: 2005-12-19 21:34
ふるちんさんこんばんは。
恐らくですが...sourceあるいはdestinationがanyの場合に
私も同様の経験をしたことがあります。
Phase1は問題なく、Phase2でNG。
AddressListにsourceのネットワークアドレスを登録し、これを
sourceに指定しVPNを構成をしてみたらいかがでしょうか。
当然、本社・支社ともに設定する必要はありますが...
多分上記の方法でもNGのような気がします。本当につい最近これで
はまりましたので...
ご参考まで
くおん
大ベテラン
会議室デビュー日: 2004/07/26
投稿数: 154
投稿日時: 2005-12-21 15:44
こんにちわ。

ポリシーの設定についてですが、両側で同じ設定にする必要があります。
つまり、
本社側(双方向:Trust⇔Untrust)
Source Any
Destination 支店側アドレス
Action Tunnel
VPN 支店用トンネル

支店側(双方向:Trust⇔Untrust)
Source 支店側アドレス
Destination Any
Action Tunnel
VPN 支店用トンネル

とする必要があります。
支店側を共にAnyにする場合、対する本社側もAnyにする必要があります。
通常であれば支店側が複数あると思いますので、面倒ですがそれぞれアドレスを
指定する必要があります。

例ある支店で192.168.1.0/24と192.168.2.0/24のネットワークがある場合
本社側(双方向:Trust⇔Untrust)
Source Any
Destination 支店側アドレス(192.168.1.0/24)
Action Tunnel
VPN 支店用トンネル

本社側(双方向:Trust⇔Untrust)
Source Any
Destination 支店側アドレス(192.168.2.0/24)
Action Tunnel
VPN 支店用トンネル

支店側(双方向:Trust⇔Untrust)
Source 支店側アドレス(192.168.1.0/24)
Destination Any
Action Tunnel
VPN 支店用トンネル

支店側(双方向:Trust⇔Untrust)
Source 支店側アドレス(192.168.2.0/24)
Destination Any
Action Tunnel
VPN 支店用トンネル

となります。もちろんルーティングの設定も併せて行う必要があります。

スキルアップ/キャリアアップ(JOB@IT)