本文へジャンプします。

ニフクラ ユーザーガイド

クラウド トップ>ユーザーガイド>コンピューティング>VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(Juniper SSG)

VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(Juniper SSG)

拠点側VPN装置にJuniper SSGシリーズを使用した場合の設定です。

下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ:VPNコネクション:作成

構成

VPNゲートウェイを利用し、ニフクラとお客様拠点をIPsec VPN(L3VPN)で接続するためには、以下の項目を事前にご確認ください。 以降の設定手順、確認手順では下記を検証環境、構成例として用います。

検証環境
製品 Juniper SSGシリーズ
ソフトウエア ScreenOS 6.2以上
構成例
VPNゲートウェイのIPアドレス 198.51.100.123
拠点VPN装置のIPアドレス 203.0.113.234
プライベートLAN CIDR 172.31.1.0/24
拠点CIDR 192.168.1.0/24
共有鍵 0582877a-3907-4357-8763-d32e9050eb08
トンネルインターフェース tunnel.1
WAN側のインターフェース Ethernet0/0
VPN設定ID 0x1
IKE設定名 ike_niftycloud
VPN設定名 vpn_niftycloud

※上記のトンネルインターフェースやVPN設定IDがすでに使用されている場合は適宜置き換えてください。

設定手順

  1. トンネルインターフェースのゾーンを「Untrust」に設定します。

    ssg> set interface tunnel.1 zone Untrust
  2. トンネルインターフェースとWAN側インターフェースの対応付けをします。

    ssg> set interface tunnel.1 ip unnumbered interface ethernet0/0
  3. IKEの設定を行います。

    ※「198.51.100.12」は実際のVPNゲートウエイのIPアドレスに、「0582877a-3907-4357-8763-d32e9050eb08」は実際の共有鍵にそれぞれ置き換えてください。

    ssg> set ike gateway ike_niftycloud address 198.51.100.123 main outgoing-interface ethernet0/0 preshare 0582877a-3907-4357-8763-d32e9050eb08 proposal pre-g2-aes128-sha
  4. DPDの設定を行います。

    ssg> set ike gateway ike_niftycloud dpd-liveness interval 15
    ssg> set ike gateway ike_niftycloud dpd-liveness always-send
    ssg> set ike gateway ike_niftycloud dpd-liveness retry 6
  5. VPNの設定を行います。

    ssg> set vpn vpn_niftycloud gateway ike_niftycloud no-replay tunnel idletime 0 proposal g2-esp-aes128-sha
  6. VPNの設定をトンネルインターフェースとバインドします。

    ssg> set vpn vpn_niftycloud id 0x1 bind interface tunnel.1
  7. IPsecトンネルに通すProxy IDの設定をします。

    ※「192.168.1.0/24」を実際の拠点CIDRの値に、「172.31.1.0/24」を実際のプライベートLAN CIDRの値に、それぞれ置き換えてください。

    ssg> set vpn vpn_niftycloud proxy-id local-ip 192.168.1.0/24 remote-ip 172.31.1.0/24 any
  8. プライベートLAN CIDR宛てのパケットがトンネルインターフェースを通るようルーティングの設定を行います。

    ※「172.31.1.0/24」を実際のプライベートLAN CIDRの値に置き換えてください。

    ssg> set route 172.31.1.0/24 interface tunnel.1
  9. saveで設定を保存します。

    ssg> save
    ssg>

確認手順

IKEのSAが正常に確立されているか確認する

get ike cookiesコマンドを実行します。
下記のようにActiveなIKEとして表示されれば正常に確立できています。

ssg> get ike cookies 

IKEv1 SA -- Active: 1, Dead: 0, Total 1

80182f/0003, 198.51.100.123:500->203.0.113.234:500, PRESHR/grp2/AES128/SHA, xchg(5) (ike_niftycloud/grp-1/usr-1)
resent-tmr 322 lifetime 28800 lt-recv 28800 nxt_rekey 28481 cert-expire 0
responder, err cnt 0, send dir 1, cond 0x0
nat-traversal map not available
ike heartbeat              : disabled
ike heartbeat last rcv time: 0
ike heartbeat last snd time: 0
XAUTH status: 0
DPD seq local 0, peer 0


IKEv2 SA -- Active: 0, Dead: 0, Total 0

ssg>
ESPのSAが正常に確立されているか確認する

get sa activeコマンドを実行します。
下記のように表示されれば正常に確立できています。

ssg> get sa active 
Total active sa: 1
total configured sa: 2
HEX ID    Gateway         Port Algorithm     SPI      Life:sec kb Sta   PID vsys
00000002
00000002>  198.51.100.123  500 esp:a128/sha1 353ca642  2556 unlim A/-    -1 0
ssg>

ニフティクラウド サイト内検索

ユーザーガイドメニュー

  • ツイッターでフォローしてください
  • ニフクラ公式フェイスブックページ

推奨画面サイズ 1024×768 以上