Vyatta,NetScreenでの拠点間VPN設定(後編)
前編に引き続き、今回はNetScreen側での設定方法。
構成は前回と同様です。
VPN設定についてはルートベースにしました。
初期設定
シリアルケーブルで接続するか、Trust側のインタフェースに接続してDHCP経由でIPアドレスを取得してtelnetで接続します。
まずuntrustインタフェースのIPアドレス設定とルーティング設定をします。
今回はtrustについてはデフォルトのまま使うので変更しません。
ns5gt-> set interface untrust ip 192.168.0.254/24 ns5gt-> set route 0.0.0.0/0 gateway 192.168.0.1
トンネルインタフェース作成
トンネルインタフェースと、ゾーンを作成します。
ns5gt-> set zone name VPN
次にトンネルインタフェースを作成します。
ゾーンは先程作成したものを指定します。
ns5gt-> set interface tunnel.1 zone VPN
トンネルインタフェースのIPをunnumberedに設定し、untrustインタフェースを割り当てます。
ns5gt-> set interface tunnel.1 ip unnumbered interface untrust
確認するとこんな感じになります。
ns5gt-> get interface A - Active, I - Inactive, U - Up, D - Down, R - Ready Interfaces in vsys Root: Name IP Address Zone MAC VLAN State VSD trust 192.168.1.1/24 Trust 0010.db85.a6a2 - U - untrust 192.168.0.254/24 Untrust 0010.db85.a6a1 - U - serial 0.0.0.0/0 Null 0010.db85.a6a6 - D - tun.1 unnumbered VPN untrust - D - vlan1 0.0.0.0/0 VLAN 0010.db85.a6af 1 D - null 0.0.0.0/0 Null N/A - U 0
VPN設定
PHASE 1設定。
pre shared key, proposalはvyattaで設定したものと同様に。
ns5gt-> set ike gateway vyatta-gw address 10.0.0.254 Main outgoing-interface untrust preshare presharedkey proposal pre-g2-aes128-sha
PHASE 2設定。
proposalはvyattaと同様にし、先程作成したトンネルインタフェースをバインドします。
ns5gt-> set vpn vyatta-ike gateway vyatta-gw no-replay tunnel idletime 0 proposal g2-esp-aes128-sha ns5gt-> set vpn vyatta-ike monitor source-interface trust destination-ip 10.0.100.1 rekey ns5gt-> set vpn vyatta-ike id 1 bind interface tunnel.1 ns5gt-> set vpn vyatta-ike proxy-id local-ip 192.168.1.0/24 remote-ip 10.0.100.0/24 ANY
以上の設定が適用されればIPsec SAがアクティブになるはずです。
ns5gt-> get sa active Total active sa: 1 total configured sa: 1 HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys 00000001< 10.0.0.254 500 esp:a128/sha1 13a4ad0b 3563 unlim A/U -1 0 00000001> 10.0.0.254 500 esp:a128/sha1 b73f1236 3563 unlim A/U -1 0
ルーティング設定
VPN向けのルーティング設定です。
宛て先はトンネルインタフェースになります。
ns5gt-> set route 10.0.100.0/24 interface tunnel.1
ポリシー設定
最後にお好みでポリシー設定をします。
下記は全解放にしています。 :-)
ns5gt-> set policy from trust to VPN any any any permit ns5gt-> set policy from VPN to trust any any any permit ns5gt-> save
動作確認
それぞれのルータ配下のマシンからPINGでも打って動作確認します。
ns5gt-> ping 10.0.100.1 from trust Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 10.0.100.1, timeout is 1 seconds from trust !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=3/3/4 ms