読者です 読者をやめる 読者になる 読者になる

ブログ?

もうだめぽ

Vyatta,NetScreenでの拠点間VPN設定(後編)

前編に引き続き、今回はNetScreen側での設定方法。
構成は前回と同様です。

f:id:unyu1979:20120125180313j:plain

VPN設定についてはルートベースにしました。

初期設定

シリアルケーブルで接続するか、Trust側のインタフェースに接続してDHCP経由でIPアドレスを取得してtelnetで接続します。
まずuntrustインタフェースのIPアドレス設定とルーティング設定をします。
今回はtrustについてはデフォルトのまま使うので変更しません。

ns5gt-> set interface untrust ip 192.168.0.254/24
ns5gt-> set route 0.0.0.0/0 gateway 192.168.0.1

トンネルインタフェース作成

トンネルインタフェースと、ゾーンを作成します。

ns5gt-> set zone name VPN

次にトンネルインタフェースを作成します。
ゾーンは先程作成したものを指定します。

ns5gt-> set interface tunnel.1 zone VPN

トンネルインタフェースのIPをunnumberedに設定し、untrustインタフェースを割り当てます。

ns5gt-> set interface tunnel.1 ip unnumbered interface untrust

確認するとこんな感じになります。

ns5gt-> get interface 

A - Active, I - Inactive, U - Up, D - Down, R - Ready 

Interfaces in vsys Root: 
Name           IP Address         Zone        MAC            VLAN State VSD      
trust          192.168.1.1/24     Trust       0010.db85.a6a2    -   U   -  
untrust        192.168.0.254/24   Untrust     0010.db85.a6a1    -   U   -  
serial         0.0.0.0/0          Null        0010.db85.a6a6    -   D   -  
tun.1          unnumbered         VPN         untrust           -   D   -  
vlan1          0.0.0.0/0          VLAN        0010.db85.a6af    1   D   -  
null           0.0.0.0/0          Null        N/A               -   U   0 

VPN設定

PHASE 1設定。
pre shared key, proposalはvyattaで設定したものと同様に。

ns5gt-> set ike gateway vyatta-gw address 10.0.0.254 Main outgoing-interface untrust preshare presharedkey proposal pre-g2-aes128-sha

PHASE 2設定。
proposalはvyattaと同様にし、先程作成したトンネルインタフェースをバインドします。

ns5gt-> set vpn vyatta-ike gateway vyatta-gw no-replay tunnel idletime 0 proposal g2-esp-aes128-sha
ns5gt-> set vpn vyatta-ike monitor source-interface trust destination-ip 10.0.100.1 rekey
ns5gt-> set vpn vyatta-ike id 1 bind interface tunnel.1
ns5gt-> set vpn vyatta-ike proxy-id local-ip 192.168.1.0/24 remote-ip 10.0.100.0/24 ANY 

以上の設定が適用されればIPsec SAがアクティブになるはずです。

ns5gt-> get sa active 
Total active sa: 1
total configured sa: 1
HEX ID    Gateway         Port Algorithm     SPI      Life:sec kb Sta   PID vsys
00000001<      10.0.0.254  500 esp:a128/sha1 13a4ad0b  3563 unlim A/U    -1 0
00000001>      10.0.0.254  500 esp:a128/sha1 b73f1236  3563 unlim A/U    -1 0

ルーティング設定

VPN向けのルーティング設定です。
宛て先はトンネルインタフェースになります。

ns5gt-> set route 10.0.100.0/24 interface tunnel.1 

ポリシー設定

最後にお好みでポリシー設定をします。
下記は全解放にしています。 :-)

ns5gt-> set policy from trust to VPN any any any permit 
ns5gt-> set policy from VPN to trust any any any permit 
ns5gt-> save

動作確認

それぞれのルータ配下のマシンからPINGでも打って動作確認します。

ns5gt-> ping 10.0.100.1 from trust
Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 10.0.100.1, timeout is 1 seconds from trust
!!!!!
Success Rate is 100 percent (5/5), round-trip time min/avg/max=3/3/4 ms