2015年3月15日日曜日

ScreenOSを使った拠点間VPNの設定方法まとめ(本社:グローバルIP、拠点:PPPoE固定グローバルIPの場合)

■目的
 前回同様にScreenOSを使った拠点間VPN構成のまとめを作成する
今回は本社側がグローバルIPを持ったSSG、拠点側もPPPoEを使った固定グローバルIPを持ったSSGの構成と
最も安心感のある構成

■前提条件
センター側
・SSG320
・ScreenOS:6.2
・NSRPを使った冗長構成
・固定グローバルIPをインターフェースに持っている

拠点側
・SSG5
・ScreenOS:6.2
・シングル構成
・PPPoEを終端している。固定グローバルIP

■内容
今回は最もオーソドックスなサイトtoサイトの接続方法となる



■センター側コンフィグ
set interface ethernet0/2 ip 100.100.100.100/24 

 ① 
set zone id 103 "VPN_TEST3"
set zone "VPN_TEST3" tcp-rst
set interface "tunnel.3" zone "VPN_TEST3" 
set interface tunnel.3 ip unnumbered interface ethernet0/0 

 ③★ポイント 
set ike gateway "TEST3-GW" address 3.3.3.3 Main outgoing-interface "ethernet0/2" preshare "xxxxxxx" proposal "pre-g2-3des-sha" 
set ike gateway "TEST3-GW" heartbeat hello 1 
set ike gateway "TEST3-GW" heartbeat reconnect 60 
set vpn "TEST3-IKE" gateway "TEST3--GW" replay tunnel idletime 0 proposal "g2-esp-3des-sha" 
set vpn "TEST3-IKE" monitor rekey 
set vpn "TEST3-IKE" id 0x3 bind interface tunnel.3 
set vpn "TEST3-IKE" proxy-id check 
set vpn "TEST3-IKE" proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 "ANY"  

 ⑤  
set route 10.1.3.0/24 interface tunnel.3

 センター側のコンフィグは前回とほぼ同様
ポイントは③のところでPhase1-GWの設定がmainモードになっているところ

 ------------------------------------------------------------------------------

 ■拠点側コンフィグ

 ★ポイント
set interface ethernet0/9 ip 3.3.3.3/24 ←WAN側 今回はPPPoEで動的に持ってきたグローバルIP
set interface bgroup0/0 ip 10.1.2.254/24 ←LAN側
set flow all-tcp-mss 1304

 set pppoe name "TEST3_PPOE"
set pppoe name "TEST3_PPOE" username "aaaaaaa@bbbbb@cccccc" password "dddddddd"
set pppoe name "TEST3_PPOE" interface ethernet0/9
set zone id 103 "VPN3"
set zone "VPN3" tcp-rst
set interface "tunnel.3" zone "VPN3"
set interface tunnel.3 ip unnumbered interface bgroup0/0
set interface tunnel.3 mtu 1442

 ③ポイント
set ike gateway "TEST3-GW" address 100.100.100.100 Main outgoing-interface "ethernet0/9" preshare "xxxxxxx" proposal "pre-g2-3des-sha"
set vpn "TEST3-IKE" gateway "TEST3-GW" replay tunnel idletime 0 proposal "g2-esp-3des-sha" 
set vpn "TEST3-IKE" monitor source-interface ethernet0/0 destination-ip 172.16.1.1 rekey
set vpn "TEST3-IKE" id 0x3 bind interface tunnel.3
set route 10.0.0.0/8 interface tunnel.3
set route 172.16.0.0/12 interface tunnel.3
set route 192.168.0.0/16 interface tunnel.3
センター側同様③のところでPhase1-GWの設定がmainモードになっているところがポイント

------------------------------------------------------------------------------

上記まででVPNが正常に張れるようになる筈
最後にポリシーの設定を忘れないようにする

もしVPNがうまく張れない場合はログを見ながらPhase1を突破しているか等を確認しながら切り分けしていく。

■終わり
この構成が割りと多い構成
今後SSG-Cisco間でのVPN設定や、VPNのトンネルインターフェースを使ったアドレス変換等を掲載予定

私の体験が誰かの生産性向上に役立っていただけることを祈って
投稿者 時刻:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)