外部 FirewallとJuniper SSG140でIPsecVPN

• SSG140を使用してCUMO iDC2上の外部FirewallとIPSecVPN接続を行う場合の設定例を記載します。

• VPN接続の設定を行う前に、以下の設定は行われているものとします。
  • SSG140のインターフェース設定

1. 外部 Firewallの設定
2. トンネルインターフェースを作成
3. VPN設定
4. ルーティング設定
5. ポリシー設定
6. 通信確認

• 外部 Firewallの詳細画面、「VPN」タブにてVPN接続の設定を行います。（詳しい設定方法については、サイト間をIPsecVPNでつなぐも合わせて参考下さい。）
• 外部Firewallの詳細画面「VPN」タブへ移動します。
• 「追加」ボタンをクリックし、IPsecの登録を行います。この際、Phase1/Phase2の暗号化/ハッシュの形式は対向のSSG140と合わせます。(この例では共に暗号化：aes128/ハッシュ：sha1を使用します。)

• トンネルインターフェースとゾーンを作成します。既にあるゾーンに設定する場合にはトンネルインターフェースのみ作成します。
• zone「VPN」を作成

ssg140-> set zone name VPN

• トンネルインターフェースを作成

ssg140-> set interface tunnel.1 zone VPN
ssg140-> set interface tunnel.1 ip unnumbered interface untrust

• VPN設定を行います。
• PHASE 1 を設定します。pre shared keyは外部FirewallのIPsecにて設定したパスフレーズを入力します。

ssg140-> set ike gateway cumo-gw address [外部FirewallのGIP] Main outgoing-interface untrust preshare [設定したパスフレーズ] pre-g2-aes128-sha

• PHASE 2 を設定します。

ssg140-> set vpn cumo-ike gateway cumo-gw no-replay tunnel idletime 0 proposal g2-esp-aes128-sha
ssg140-> set vpn cumo-ike monitor source-interface trust destination-ip [外部FirewallのローカルのIP] rekey
ssg140-> set vpn cumo-ike id 1 bind interface tunnel.1
ssg140-> set vpn cumo-ike proxy-id local-ip [SSG140のローカルネットワークアドレス] remote-ip [外部Firewallのローカルネットワークアドレス] ANY

• 設定後、IPsec SAがアクティブになっているか確認します。外部FirewallのVPN設定が完了していない場合には、設定後確認します。

ssg140-> get sa active

• VPNむけのルーティング設定を行います。宛先はトンネルインターフェースを指定します。

ssg140-> set route [外部Firewallのローカルネットワークアドレス] interface tunnel.1

• 環境に応じてポリシーを設定します。下記例ではzone「trust」と「VPN」間は全て許可に設定しています。

ssg140-> set policy from trust to VPN any any any permit
ssg140-> set policy from VPN to trust any any any permit

• 設定完了後、コンフィグの保存を忘れずに行います。

• VPN接続先のCUMO iDC2上のサーバへPingなどで通信確認を行います。

• 疎通が確認できれば、正常にIPsecVPNが接続されています。
• これで外部 FirewallとSSG140がIPsecVPNによって接続されました。