ユーザ用ツール

サイト用ツール


各種ベンダー機器設定例:外部_firewallとssg140でipsecvpn

外部 FirewallとJuniper SSG140でIPsecVPN

概要

  • SSG140を使用してCUMO iDC2上の外部FirewallとIPSecVPN接続を行う場合の設定例を記載します。

前提

  • VPN接続の設定を行う前に、以下の設定は行われているものとします。
    • SSG140のインターフェース設定

IPsecVPN接続までのおおまかな流れ

  1. 外部 Firewallの設定
  2. トンネルインターフェースを作成
  3. VPN設定
  4. ルーティング設定
  5. ポリシー設定
  6. 通信確認

ステップ1:CUMO iDC2側の外部 Firewallの設定

  • 外部 Firewallの詳細画面、「VPN」タブにてVPN接続の設定を行います。(詳しい設定方法については、サイト間をIPsecVPNでつなぐも合わせて参考下さい。)
  • 外部Firewallの詳細画面「VPN」タブへ移動します。
  • 「追加」ボタンをクリックし、IPsecの登録を行います。この際、Phase1/Phase2の暗号化/ハッシュの形式は対向のSSG140と合わせます。(この例では共に暗号化:aes128/ハッシュ:sha1を使用します。)
CUMO iDC2側の外部Firewall VPN設定

ステップ2:SSG140側のIPsecVPNの設定

1. トンネルインターフェースを作成する
  • トンネルインターフェースとゾーンを作成します。既にあるゾーンに設定する場合にはトンネルインターフェースのみ作成します。
  • zone「VPN」を作成
ssg140-> set zone name VPN
  • トンネルインターフェースを作成
ssg140-> set interface tunnel.1 zone VPN
ssg140-> set interface tunnel.1 ip unnumbered interface untrust
2. VPN設定
  • VPN設定を行います。
  • PHASE 1 を設定します。pre shared keyは外部FirewallのIPsecにて設定したパスフレーズを入力します。
ssg140-> set ike gateway cumo-gw address [外部FirewallのGIP] Main outgoing-interface untrust preshare [設定したパスフレーズ] pre-g2-aes128-sha
  • PHASE 2 を設定します。
ssg140-> set vpn cumo-ike gateway cumo-gw no-replay tunnel idletime 0 proposal g2-esp-aes128-sha
ssg140-> set vpn cumo-ike monitor source-interface trust destination-ip [外部FirewallのローカルのIP] rekey
ssg140-> set vpn cumo-ike id 1 bind interface tunnel.1
ssg140-> set vpn cumo-ike proxy-id local-ip [SSG140のローカルネットワークアドレス] remote-ip [外部Firewallのローカルネットワークアドレス] ANY
  • 設定後、IPsec SAがアクティブになっているか確認します。外部FirewallのVPN設定が完了していない場合には、設定後確認します。
ssg140-> get sa active
3. ルーティング設定
  • VPNむけのルーティング設定を行います。宛先はトンネルインターフェースを指定します。
ssg140-> set route [外部Firewallのローカルネットワークアドレス] interface tunnel.1
4. ポリシー設定
  • 環境に応じてポリシーを設定します。下記例ではzone「trust」と「VPN」間は全て許可に設定しています。
ssg140-> set policy from trust to VPN any any any permit
ssg140-> set policy from VPN to trust any any any permit
  • 設定完了後、コンフィグの保存を忘れずに行います。
5. 通信確認
  • VPN接続先のCUMO iDC2上のサーバへPingなどで通信確認を行います。

ステップ3:利用開始

  • 疎通が確認できれば、正常にIPsecVPNが接続されています。
  • これで外部 FirewallとSSG140がIPsecVPNによって接続されました。
各種ベンダー機器設定例/外部_firewallとssg140でipsecvpn.txt · 最終更新: 2014/01/30 20:35 by ochadmin