Vyatta,NetScreenでの拠点間VPN設定(前編)

Vyatta 6.3とJuniper NetScreen 5GTを用いて拠点間VPN設定をしてみます。

Vyatta	VYATTA CORE 6.3 - VC6.3-2011.07.21
Juniper NetScreen 5GT	ScreenOS 5.4.0r5.0

NetScreenの機種、バージョンが古いですが現行バージョンでも基本的には同じ設定でいけるはずです。
ネットワーク構成は下記の通りとしました。

初期設定

まず、コンソール経由でVyattaへアクセスし、IPアドレス、ルーティング設定とSSHの有効化をします。

vyatta@vyatta:~$ configure  
[edit]
vyatta@vyatta# set interfaces ethernet eth0 address 10.0.0.254/24
vyatta@vyatta# set interfaces ethernet eth1 address 10.0.100.1/24
vyatta@vyatta# set protocols static route 0.0.0.0/0 next-hop 10.0.0.1
vyatta@vyatta# set service ssh
vyatta@vyatta# top
vyatta@vyatta# commit

以降はSSH経由で設定します。

VPN設定

まず外部向けのインタフェースでVPNを有効にします。

vyatta@vyatta# set vpn ipsec ipsec-interfaces interface eth0

PHASE 1設定。

vyatta@vyatta# edit vpn ipsec ike-group ns-ike proposal 1 
vyatta@vyatta# set lifetime 28800
vyatta@vyatta# set proposal 1 dh-group 2
vyatta@vyatta# set proposal 1 encryption aes128
vyatta@vyatta# set proposal 1 hash sha1
vyatta@vyatta# top

PHASE 2設定

vyatta@vyatta# edit vpn ipsec esp-group ns-esp 
vyatta@vyatta# set lifetime 3600 
vyatta@vyatta# set pfs enable 
vyatta@vyatta# set proposal 1 encryption aes128 
vyatta@vyatta# set proposal 1 hash sha1 
vyatta@vyatta# top

最後にpreshared keyなどを設定して終わり。

vyatta@vyatta# edit vpn ipsec site-to-site peer 192.168.0.254
vyatta@vyatta# set authentication mode pre-shared-secret 
vyatta@vyatta# set authentication pre-shared-secret 'presharedkey'
vyatta@vyatta# set ike-group ns-ike 
vyatta@vyatta# set local-ip 10.0.0.254
vyatta@vyatta# set tunnel 1 esp-group ns-esp 
vyatta@vyatta# set tunnel 1 local subnet 10.0.100.0/24
vyatta@vyatta# set tunnel 1 remote subnet 192.168.1.0/24
vyatta@vyatta# commit
vyatta@vyatta# save

VPN部分のコンフィグはこんな感じになります。

vyatta@vyatta# show vpn ipsec 
 esp-group ns-esp {
     lifetime 3600
     pfs enable
     proposal 1 {
         encryption aes128
         hash sha1
     }
 }
 ike-group ns-ike {
     lifetime 28800
     proposal 1 {
         dh-group 2
         encryption aes128
         hash sha1
     }
 }
 ipsec-interfaces {
     interface eth0
 }
 site-to-site {
     peer 192.168.0.254 {
         authentication {
             mode pre-shared-secret
             pre-shared-secret presharedkey
         }
         ike-group ns-ike
         local-ip 10.0.0.254
         tunnel 1 {
             esp-group ns-esp
             local {
                 subnet 10.0.100.0/24
             }
             remote {
                 subnet 192.168.1.0/24
             }
         }
     }
 }