前回同様にScreenOSを使った拠点間VPN構成のまとめを作成する
今回は本社側がグローバルIPを持ったSSG、拠点側はPPPoEを使った動的グローバルIPを持ったSSGの構成とする
■前提条件
センター側
・SSG320
・ScreenOS:6.2
・NSRPを使った冗長構成
・固定グローバルIPをインターフェースに持っている
拠点側
・SSG5
・ScreenOS:6.2
・シングル構成
・PPPoEを終端している。しかし固定グローバルIPを持っていない。
■内容
今回拠点側は動的グローバルIPアドレスのため、電源を落としたりするとグローバルアドレスが変わってしまう可能性がある。そのため前回同様Aggressiveモードでの接続を行う。
拠点側からの接続でVPNを構成するのでローカル認証を行う。
■センター側コンフィグ
set interface ethernet0/2 ip 100.100.100.100/24
①
set zone id 102 "VPN_TEST2"
set zone "VPN_TEST2" tcp-rst
②
set interface "tunnel.2" zone "VPN_TEST2"
set interface tunnel.2 ip unnumbered interface ethernet0/0
③
set ike gateway "TEST2-GW" address 0.0.0.0 id "TEST2-VPN" Aggr local-id "TEST2-VPN" outgoing-interface "ethernet0/2" preshare "xxxxxxx" proposal "pre-g2-3des-sha"
set ike gateway "TEST2-GW" nat-traversal udp-checksum
set ike gateway "TEST2-GW" nat-traversal keepalive-frequency 5
set ike gateway "TEST2-GW" heartbeat hello 1
set ike gateway "TEST2-GW" heartbeat reconnect 60
④
set vpn "TEST2-IKE" gateway "TEST2-GW" replay tunnel idletime 0 proposal "g2-esp-3des-sha"
set vpn "TEST2-IKE" monitor source-interface ethernet0/0 destination-ip 10.1.2.254 rekey
set vpn "TEST2-IKE" id 0x1 bind interface tunnel.2
set vpn "TEST2-IKE" proxy-id check
set vpn "TEST2-IKE" proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 "ANY"
⑤
set route 10.1.2.0/24 interface tunnel.2
センター側のコンフィグは前回と全くの同様
------------------------------------------------------------------------------
■拠点側コンフィグ
★ポイント
set interface ethernet0/9 ip 2.2.2.2/24 ←WAN側 今回はPPPoEで動的に持ってきたグローバルIP
set interface bgroup0/0 ip 10.1.2.254/24 ←LAN側
set flow all-tcp-mss 1304
set pppoe name "TEST2_PPOE"
set pppoe name "TEST2_PPOE" username "aaaaaaa@bbbbb@cccccc" password "dddddddd"
set pppoe name "TEST2_PPOE" interface ethernet0/9
①
set zone id 102 "VPN2"
set zone "VPN2" tcp-rst
②
set interface "tunnel.2" zone "VPN2"
set interface tunnel.2 ip unnumbered interface bgroup0/0
set interface tunnel.2 mtu 1442
③
set ike gateway "TEST2-GW" address 1.1.1.1 Aggr local-id "TEST1-VPN" outgoing-interface "ethernet0/9" preshare "xxxxxxxx" proposal "pre-g2-3des-sha"
set ike gateway "TEST2-GW" nat-traversal
set ike gateway "TEST2-GW" nat-traversal udp-checksum
set ike gateway "TEST2-GW" nat-traversal keepalive-frequency 5
set ike respond-bad-spi 1
set ike gateway "TEST2-GW" heartbeat reconnect 60
set ike ikev2 ike-sa-soft-lifetime 60
unset ike ikeid-enumeration
unset ike dos-protection
unset ipsec access-session enable
set ipsec access-session maximum 5000
set ipsec access-session upper-threshold 0
set ipsec access-session lower-threshold 0
set ipsec access-session dead-p2-sa-timeout 0
unset ipsec access-session log-error
unset ipsec access-session info-exch-connected
unset ipsec access-session use-error-log
set vpn "TEST2-IKE" gateway "TEST2-GW" replay tunnel idletime 0 proposal "g2-esp-3des-sha"
set vpn "TEST2-IKE" monitor source-interface bgroup0/0 destination-ip 172.16.1.1 rekey
set vpn "TEST2-IKE" id 0x2 bind interface tunnel.2
set vpn "TEST2-IKE" proxy-id check
set vpn "TEST2-IKE" proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 "ANY"
⑤
set route 10.0.0.0/8 interface tunnel.2
set route 172.16.0.0/12 interface tunnel.2
set route 192.168.0.0/16 interface tunnel.2
①~⑤の変更点は前回同様変更無し
重要なのは事前のPPPoE設定によってWAN側のインターフェースがグローバルIPになっているところのみ
------------------------------------------------------------------------------
上記まででVPNが正常に張れるようになる筈
最後にポリシーの設定を忘れないようにする
もしVPNがうまく張れない場合はログを見ながらPhase1を突破しているか等を確認しながら切り分けしていく。
■終わり
今回はSSGでPPPoEを終端しているので割と安心感のある構成
ちゃんとPPPoEの情報を入れれば特に問題はない。
PPPoE接続をする場合はデフォルトルートは自動的に設定が入るのでルーティング周りにも気をつけよう
私の体験が誰かの生産性向上に役立っていただけることを祈って
0 件のコメント:
コメントを投稿