Vyatta,NetScreenでの拠点間VPN設定(前編)
Vyatta 6.3とJuniper NetScreen 5GTを用いて拠点間VPN設定をしてみます。
Vyatta | VYATTA CORE 6.3 - VC6.3-2011.07.21 |
Juniper NetScreen 5GT | ScreenOS 5.4.0r5.0 |
NetScreenの機種、バージョンが古いですが現行バージョンでも基本的には同じ設定でいけるはずです。
ネットワーク構成は下記の通りとしました。
初期設定
まず、コンソール経由でVyattaへアクセスし、IPアドレス、ルーティング設定とSSHの有効化をします。
vyatta@vyatta:~$ configure [edit] vyatta@vyatta# set interfaces ethernet eth0 address 10.0.0.254/24 vyatta@vyatta# set interfaces ethernet eth1 address 10.0.100.1/24 vyatta@vyatta# set protocols static route 0.0.0.0/0 next-hop 10.0.0.1 vyatta@vyatta# set service ssh vyatta@vyatta# top vyatta@vyatta# commit
以降はSSH経由で設定します。
VPN設定
まず外部向けのインタフェースでVPNを有効にします。
vyatta@vyatta# set vpn ipsec ipsec-interfaces interface eth0
PHASE 1設定。
vyatta@vyatta# edit vpn ipsec ike-group ns-ike proposal 1 vyatta@vyatta# set lifetime 28800 vyatta@vyatta# set proposal 1 dh-group 2 vyatta@vyatta# set proposal 1 encryption aes128 vyatta@vyatta# set proposal 1 hash sha1 vyatta@vyatta# top
PHASE 2設定
vyatta@vyatta# edit vpn ipsec esp-group ns-esp vyatta@vyatta# set lifetime 3600 vyatta@vyatta# set pfs enable vyatta@vyatta# set proposal 1 encryption aes128 vyatta@vyatta# set proposal 1 hash sha1 vyatta@vyatta# top
最後にpreshared keyなどを設定して終わり。
vyatta@vyatta# edit vpn ipsec site-to-site peer 192.168.0.254 vyatta@vyatta# set authentication mode pre-shared-secret vyatta@vyatta# set authentication pre-shared-secret 'presharedkey' vyatta@vyatta# set ike-group ns-ike vyatta@vyatta# set local-ip 10.0.0.254 vyatta@vyatta# set tunnel 1 esp-group ns-esp vyatta@vyatta# set tunnel 1 local subnet 10.0.100.0/24 vyatta@vyatta# set tunnel 1 remote subnet 192.168.1.0/24 vyatta@vyatta# commit vyatta@vyatta# save
VPN部分のコンフィグはこんな感じになります。
vyatta@vyatta# show vpn ipsec esp-group ns-esp { lifetime 3600 pfs enable proposal 1 { encryption aes128 hash sha1 } } ike-group ns-ike { lifetime 28800 proposal 1 { dh-group 2 encryption aes128 hash sha1 } } ipsec-interfaces { interface eth0 } site-to-site { peer 192.168.0.254 { authentication { mode pre-shared-secret pre-shared-secret presharedkey } ike-group ns-ike local-ip 10.0.0.254 tunnel 1 { esp-group ns-esp local { subnet 10.0.100.0/24 } remote { subnet 192.168.1.0/24 } } } }