Juniper SSGとMicrosoft Azure仮想ネット
ワークとのサイト間
VPN接続の構成
Juniper Networks K.K.
2015年3月
はじめに
本資料では
、
日本マイクロソフト様
Microsoft Azure
クラウドサービスにおける仮想
ネットワークのゲートウェイ機能と
、
オンプレミスサイトとのサイト間
IPsec VPN
接続に
ついて
、
オンプレミス側
VPN
機器として
SSG
を使用した場合の構成例を説明していま
す
。
本構成例は
、
ご自身の責任のもとでご利用いただけますようお願いいたします
。
また本資料は
2015年3月現在の仕様に基いて作成されておりますので
、
仕様変更等
により画面デザインや設定方法が異なる場合がございます
。
3 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
Microsoft Azure 仮想ネットワークサイト間接続手順
1. 構成ネットワークと設定情報の確認
2. Microsoft Azure 管理ポータルから
、
Microsoft Azureを構成
§
Microsoft Azure仮想ネットワークの構成
§ローカルネットワークの構成
§共有キーとゲートウェイIPアドレスの確認
3. SSGの構成
§SSG設定サンプルコンフィグ入手(オプション)
§SSGのバージョン確認
§SSGの設定
4. 接続と確認
§Microsoft Azure仮想ネットワーク側
§SSG側
5. 接続できない時
§状態確認
§デバッグ
1. 構成ネットワークと設定情報の確認
VPNデバイスとネットワーク環境要件
Microsoft Azure仮想ネットワークとの接続には
、
グローバルな
IPv4アドレスおよび互換性のあ
る
VPN機器が必要です
。
詳細な仕様については下記を参照して下さい
。
https://msdn.microsoft.com/ja-jp/library/azure/jj156075.aspx
5 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
1. 構成ネットワークと設定情報の確認
構成ネットワーク例
ゲートウェイサブネット 10.10.32.0/29 サブネット1 10.10.0.0/24 仮想ネットワークアドレス空間 10.10.0.0/16 VPN ゲートウェイ Internet ゲートウェイIPアドレス A.A.A.A SSG WAN IPアドレス B.B.B.B ethernet0/9 untrust zone (今回は、ethernet0/9インタフェースで NTT フレッツ光ネクストにPPPoEで接続) オンプレミスネットワーク 172.27.0.0/16 SSG140 ethernet0/0 172.27.115.84/22 trust zone サブネット2 10.10.1.0/24 IPSec VPNMicrosoft Azure
2. Microsoft Azureの構成例
Microsoft Azureのポータルから ログイン後、ネットワークを選択
7 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
2. Microsoft Azureの構成例
仮想ネットワークの構成①
仮想ネットワーク名として任意の名前 を入力
2. Microsoft Azureの構成例
仮想ネットワークの構成②
サイト間VPNの構成を選択
プライベートのDNSサーバを
9 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
2. Microsoft Azureの構成例
オンプレミスネットワークの構成
オンプレミスネットワーク名として、 任意の名前を入力 B.B.B.B オンプレミスVPN機器(SSG)のIPsec 終端インタフェースのグローバルIPア ドレス オンプレミスネットワークのIPアドレス レンジを設定 後にSSGを設定する際には、local の Proxy-idの値として利用される2. Microsoft Azureの構成例
仮想ネットワークの構成③
仮想ネットワーク全体のIPアドレス レンジを設定 仮想ネットワークのサブネットを設定 “サブネットの追加”で複数設定可能 “ゲートウェイサブネットの追加”でゲー トウェイサブネットを設定11 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
2. Microsoft Azureの構成例
ゲートウェイの作成①
新しい仮想ネットワークが追加される ので、これを選択
2. Microsoft Azureの構成例
ゲートウェイの作成②
ゲートウェイの作成で、静的ルーティングまたは動的 ルーティングを選択して、ゲートウェイを作成(10分程 度かかる) 静的・動的はVPN構成により選択しますが、SSGは 両方のゲートウェイに対応13 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
2. Microsoft Azureの構成例
共有キーとゲートウェイ
IPアドレスの確認①
A.A.A.A
キーの管理を選択 自動的にゲートウェイIPアドレ スがアサインされるが、SSG で対向のVPNゲートウェイの IPアドレスとして設定する必 要があるため、メモを取る2. Microsoft Azureの構成例
共有キーとゲートウェイ
IPアドレスの確認②
共有キーが表示されるので、メモまた はコピー&ペーストで保存する 後にSSGを設定する際に、 PreShared-Keyとして設定する15 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
3. SSGの設定例
本資料での環境と注意事項
SSG140を使用
§
本資料では
SSG140を前提にインタフェース等の設定を行っており
、
ご使用される
SSGの
機種とはインタフェースの割り当てが異なる場合
、
読み替えて設定を行って下さい
。
アクセス回線としてフレッツ光ネクストを使用
§
検証目的のため
、
本資料では動的
IP割り当てのサービスを使用
。
Microsoft AzureのゲートウェイからVPN接続が行われることもあるため
、
固定
IPアドレス
の使用を推奨
。
Screen OS 6.3 R18を使用
§
ScreenOS
6.2および6.3が対応しているが
、
本資料では
IKEバージョン2が要件である
Microsoft Azure動的ルーティングVPNゲートウェイも利用しているため
、
IKEバージョン2
をサポートしている
ScreenOS 6.3を使用
。
Microsoft Azure仮想ネットワークVPNゲートウェイの種類
§
Microsoft Azure仮想ネットワークのVPNゲートウェイは静的または動的ゲートウェイを選
択可能であり
、
Ipsecの要件が異なるため
、
SSG側もそれぞれのゲートウェイの合わせた
設定が必要
。
またポリシーベース
、
ルートベース
VPN構成によってもSSG側の設定が異なる
。
本資料では のラベルで区別
ルートベース ポリシーベース。
静的ルーティング
VPNゲートウェイ使用時の
設定
17 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
3. SSGの設定例
① インタフェース設定
(LAN側インタフェース)
< CLI >
< GUI >
Network > Interfaces > Listより設定するインタフェースのEditを選択
SSG140->set interface ethernet0/0 ip 172.27.115.84/22
zoneを指定
IPアドレスを指定
ルートベース ポリシーベース
3. SSGの設定例
① インタフェース設定
(WAN側PPPoEインタフェース)
< GUI >
Network > PPP > PPPoE Profile より選択
Network > Interfaceより
使用するインタフェースを選択
作成したPPPoE Profileを指定
< CLI >
SSG140-> set pppoe name Flet's
SSG140-> set pppoe name Flet's username test@juniper.net password juniper SSG140-> set pppoe name Flet's interface ethernet0/9
SSG140-> set pppoe name Flet's authentication chap SSG140-> set pppoe name Flet's idle 0
ISPの認証情報を入力
zoneを指定
ルートベース ポリシーベース
19 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
3. SSGの設定例
① インタフェース設定
(Tunnelインタフェース)
< GUI >
Network > Interface より”Tunnel IF” , Newを選択
< CLI >
SSG140-> set interface tunnel.1 ip unnumbered interface ethernet0/9 SSG140-> set interface tunnel.1 zone "Untrust"
Unnumberedを選択
zoneを指定
WAN側で使用するインタフェースを選択
3. SSGの設定例
② ルーティング設定
< CLI >
SSG140-> set route 0.0.0.0/0 interface ethernet0/9
< GUI >
Network > Routing > Destination より”trust-vr” , Newを選択
デフォルトルートを指定
WAN側で使用するインタフェースを指定
ルートベース ポリシーベース
21 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
3. SSGの設定例
② ルーティング設定
< CLI >
SSG140-> set route 10.10.0.0/16 interface tunnel.1
< GUI >
Network > Routing > Destination より”trust-vr” , Newを選択
Microsoft Arure仮想ネットワークのアドレス空間を指定
①で作成したTunnelインタフェースを指定
3. SSGの設定例
③
IPsec IKE/Phase1設定
< GUI >
VPNs > AutoKey Advanced > P1 Proposal よりNewを選択
< CLI >
SSG140-> set ike p1-proposal "Azure-P1" preshare group2 esp aes256 sha-1 second 28800 ルートベース ポリシーベース
23 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
3. SSGの設定例
③
IPsec IKE/Phase1設定
< GUI >
VPNs > AutoKey Advanced > GatewayよりNewを選択
Microsoft Azure VPNゲートウェイIPアドレス
Advanced 設定へ移動
ルートベース ポリシーベース
IKEv1を選択 任意の名前を指定
3. SSGの設定例
③
IPsec IKE/Phase1設定
< GUI >
VPNs > AutoKey Advanced > GatewayのAdvanced設定
前項で作成したPhase 1 Proposalを選択 ModeはMainを選択 インタフェースを指定 Microsoft Azure VPNゲートウェイで表示された共有キー Intervalとして10秒を指定 ルートベース ポリシーベース
25 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
3. SSGの設定例
③
IPsec IKE/Phase1設定
< CLI >
SSG140-> set ike gateway "Azure-GW" address A.A.A.A Main outgoing-interface
"ethernet0/9" preshare "o+pRBYhzNeSf0JsuGYCW+0z1gonrA/HzppzG1gF7iAIyH201EIZuc3gU0/ HFO8lO4uQ3HZnAov4+" proposal "Azure-P1"
SSG140-> set ike gateway "Azure-GW“ dpd-liveness interval 10
ルートベース ポリシーベース
3. SSGの設定例
④
IPsec Phase2設定
< GUI >
VPNs > AutoKey Advanced > P2 Proposal よりNewを選択
< CLI >
SSG140-> set ike p2-proposal "Azure-P2" no-pfs esp aes256 sha-1 second 3600
ルートベース ポリシーベース
27 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
3. SSGの設定例
④
IPsec IKE/Phase2設定
< GUI >
VPNs > AutoKey IKE よりNewを選択
任意の名前を指定 Phase1で設定したGatewayを 指定
Advanced 設定へ移動
ルートベース ポリシーベース3. SSGの設定例
④
IPsec IKE/Phase2設定
< GUI >
VPNs > AutoKey IKE(前項)よりAdvancedを選択
< CLI >
SSG140-> set vpn "Azure" gateway "Azure-GW" tunnel idletime 0 proposal "Azure-P2“ SSG140-> set vpn "Azure" monitor optimized rekey
SSG140-> set vpn "Azure" bind interface tunnel.1
Compatibleを選択
Bindするtunnelインタフェースを指定
ルートベース
前項で作成したPhase 2 Proposalを選択
29 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
3. SSGの設定例
④
IPsec IKE/Phase2設定
< GUI >
VPNs > AutoKey IKE(前項)よりAdvancedを選択
< CLI >
SSG140-> set vpn "Azure" gateway "Azure-GW" tunnel idletime 0 proposal "Azure-P2“ SSG140-> set vpn "Azure" monitor optimized rekey
Bindするtunnelインタフェースを指定
ポリシーベース
3. SSGの設定例
④
IPsec Phase2設定
< GUI >
VPNs > AutoKey IKE より前項で設定した項目よりProxy IDを選択
< CLI >
SSG140-> set vpn "Azure" proxy-id local-ip 172.27.0.0/16 remote-ip 10.10.0.0/16 "ANY“
Microsoft Azure仮想ネットワークのアドレス空間 オンプレミスネットワークのサブネットワーク ルートベース ポリシーベース
ポリシーベースVPN構成では複数のProxy IDを設定することが出来ないので
、
それぞれのサブネット
ごとにAutoKey IKEを設定する
31 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
3. SSGの設定例
⑤
ポリシー設定
< CLI >
SSG140-> set address "Trust" "Onpremise-NW" 172.27.0.0 255.255.0.0 SSG140-> set address "Untrust" "Azure-NW" 10.10.0.0 255.255.0.0
< GUI >
Policy > Policy Elements > Addresses > List より”Trust”または”Untrust”を選択し
、
”New”でMicrosoft
Azure仮想ネットワークのアドレス空間とオンプレミスネットワークをアドレスオブジェクとして追加
ポリシーベース
任意の名前を指定
3. SSGの設定例
⑤
ポリシー設定
< CLI >
SSG140-> set policy id 1 from "Trust" to "Untrust" "Onpremise-NW" "Azure-NW" "ANY" permit
SSG140-> set policy id 2 from "Untrust" to "Trust" "Azure-NW" "Onpremise-NW" "ANY" permit
< GUI >
Policy > Policies より”From “ , “To” でZoneを選択し
、
”New”で作成
ルートベース
前項で設定したアドレスオブジェクトを指定
通信させるプロトコルを指定
33 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
3. SSGの設定例
⑤
ポリシー設定
< GUI >
Policy > Policies より”From “ , “To” でZoneを選択し
、
”New”で作成
前項で設定したアドレスオブジェクトを指定
ポリシーベース
VPNで設定したVPN Nameを指定 通信させるプロトコルを指定
3. SSGの設定例
⑤
ポリシー設定
< CLI >
SSG140-> set policy id 19 from "Trust" to "Untrust" "Onpremise-NW" "Azure-NW" "ANY" tunnel vpn "Azure" pair-policy 20
SSG140-> set policy id 20 from "Untrust" to "Trust" "Azure-NW" "Onpremise-NW" "ANY" tunnel vpn "Azure" pair-policy 19
35 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
動的ルーティング
VPNゲートウェイ使用時の
3. SSGの設定例
① インタフェース設定
(LAN側インタフェース)
< CLI >
< GUI >
Network > Interfaces > Listより設定するインタフェースのEditを選択
SSG140->set interface ethernet0/0 ip 172.27.115.84/22
zoneを指定
IPアドレスを指定
ルートベース ポリシーベース
37 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
3. SSGの設定例
① インタフェース設定
(WAN側PPPoEインタフェース)
< GUI >
Network > PPP > PPPoE Profile より選択
Network > Interfaceより
使用するインタフェースを選択
作成したPPPoE Profileを指定
< CLI >
SSG140-> set pppoe name Flet's
SSG140-> set pppoe name Flet's username test@juniper.net password juniper SSG140-> set pppoe name Flet's interface ethernet0/9
SSG140-> set pppoe name Flet's authentication chap SSG140-> set pppoe name Flet's idle 0
ISPの認証情報を入力
zoneを指定
ルートベース ポリシーベース
3. SSGの設定例
① インタフェース設定
(Tunnelインタフェース)
< GUI >
Network > Interface より”Tunnel IF” , Newを選択
< CLI >
SSG140-> set interface tunnel.1 ip unnumbered interface ethernet0/9 SSG140-> set interface tunnel.1 zone "Untrust"
Unnumberedを選択
zoneを指定
WAN側で使用するインタフェースを選択
39 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
3. SSGの設定例
② ルーティング設定
< CLI >
SSG140-> set route 0.0.0.0/0 interface ethernet0/9
< GUI >
Network > Routing > Destination より”trust-vr” , Newを選択
デフォルトルートを指定
WAN側で使用するインタフェースを指定
ルートベース ポリシーベース
3. SSGの設定例
② ルーティング設定
< CLI >
SSG140-> set route 10.10.0.0/16 interface tunnel.1
< GUI >
Network > Routing > Destination より”trust-vr” , Newを選択
Microsoft Azure仮想ネットワークのアドレス空間を指定
①で作成したTunnelインタフェースを指定
41 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
3. SSGの設定例
③
IPsec IKE/Phase1設定
< GUI >
VPNs > AutoKey Advanced > GatewayよりNewを選択
Microsoft Azure VPNゲートウェイIPアドレス
Advanced 設定へ移動
IKEv2を選択 任意の名前を指定
ルートベース ポリシーベース
3. SSGの設定例
③
IPsec IKE/Phase1設定
< GUI >
VPNs > AutoKey Advanced > GatewayのAdvanced設定
Compatibleを選択 インタフェースを指定 Microsoft Azure VPNゲートウェイで表示された共有キー Intervalとして10秒を指定 ルートベース ポリシーベース
43 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
3. SSGの設定例
③
IPsec IKE/Phase1設定
< CLI >
SSG140-> set ike gateway ikev2 "Azure-GW" address A.A.A.A outgoing-interface "ethernet0/9" preshare "e6lasZb9N+Sp3Is0KKCji/pxY0nIysufP7vgeztS8fGoVIXsm/KAuS5v +wzDI5ClekVx6dIH7+zQ" sec-level compatible
SSG140-> set ike gateway "Azure-GW“ dpd-liveness interval 10
ルートベース ポリシーベース
3. SSGの設定例
④
IPsec IKE/Phase2設定
< GUI >
VPNs > AutoKey IKE よりNewを選択
任意の名前を指定 Phase1で設定したGatewayを 指定
Advanced 設定へ移動
ルートベース ポリシーベース45 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
3. SSGの設定例
④
IPsec IKE/Phase2設定
< GUI >
VPNs > AutoKey IKE(前項)よりAdvancedを選択
< CLI >
SSG140-> set vpn "Azure" gateway "Azure-GW" tunnel idletime 0 sec-level compatible SSG140-> set vpn "Azure" bind interface tunnel.1
SSG140-> set vpn "Azure" monitor optimized rekey
Compatibleを選択
Bindするtunnelインタフェースを指定
3. SSGの設定例
④
IPsec IKE/Phase2設定
< GUI >
VPNs > AutoKey IKE(前項)よりAdvancedを選択
< CLI >
SSG140-> set vpn "Azure" gateway "Azure-GW" tunnel idletime 0 sec-level compatible SSG140-> set vpn "Azure" monitor optimized rekey
Compatibleを選択
47 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
3. SSGの設定例
⑤
ポリシー設定
< CLI >
SSG140-> set address "Trust" "Onpremise-NW" 172.27.0.0 255.255.0.0 SSG140-> set address "Untrust" "Azure-NW" 10.10.0.0 255.255.0.0
< GUI >
Policy > Policy Elements > Addresses > List より”Trust”または”Untrust”を選択し
、
”New”でMicrosoft
Azure仮想ネットワークのアドレス空間とオンプレミスネットワークをアドレスオブジェクとして追加
ポリシーベース
任意の名前を指定
3. SSGの設定例
⑤
ポリシー設定
< CLI >
SSG140-> set policy id 1 from "Trust" to "Untrust" "Onpremise-NW" "Azure-NW" "ANY" permit
SSG140-> set policy id 2 from "Untrust" to "Trust" "Azure-NW" "Onpremise-NW" "ANY" permit
< GUI >
Policy > Policies より”From “ , “To” でZoneを選択し
、
”New”で作成
ルートベース
前項で設定したアドレスオブジェクトを指定
通信させるプロトコルを指定
49 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
3. SSGの設定例
⑤
ポリシー設定
< GUI >
Policy > Policies より”From “ , “To” でZoneを選択し
、
”New”で作成
前項で設定したアドレスオブジェクトを指定
ポリシーベース
VPNで設定したVPN Nameを指定 通信させるプロトコルを指定
3. SSGの設定例
⑤
ポリシー設定
< CLI >
SSG140-> set policy id 19 from "Trust" to "Untrust" "Onpremise-NW" "Azure-NW" "ANY" tunnel vpn "Azure" pair-policy 20
SSG140-> set policy id 20 from "Untrust" to "Trust" "Azure-NW" "Onpremise-NW" "ANY" tunnel vpn "Azure" pair-policy 19
51 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
A.A.A.A
4. 接続と確認
Microsoft Azureからの接続リクエスト
4. 接続と確認
Microsoft Azure接続確認
接続される
53 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
5. 接続できない・通信ができない時
よくある問題
Proxy-IDとポリシーオブジェクトの不一致
§
IPsec Phase2設定のProxy IDのLocal/Remote
IPと該当するセキュリティポリシーの
source-address/destination-addressが一致していないと
、
Proxy IDのネゴシエーション
が失敗します
。
VPN設定と
、
ポリシーのこれら値が一致していることを確認してください
。
失敗している場合
、
eventログに下記のログが出力されるので
、
どの
Local/Remote IPの
設定が間違っているか確認する事が出来ます
。
IKE A.A.A.A Phase 2: No policy exists for the proxy ID received: local ID
(192.168.0.0/255.255.0.0, 0, 0) remote ID (10.10.0.0/255.255.0.0, 0, 0).
Microsoft Azure管理ポータルのステータス
§
Microsoft Azure管理ポータルでは
、
接続
/切断を実行後にもVPNのステータスがすぐに
は反映されないことがあります
。
Microsoft Azure管理ポータルでVPNが接続/切断で
あっても
、
SSG側で正常に接続/切断されている状態のときは
、
ステータスが更新される
までお待ち下さい
。
TCP MSS最適化
§
VPNトラフィックに対して
、
下記コマンドで
mssを設定
。
5. 接続と確認
SSG側接続確認: IPsec VPN接続ステータス
SSG140-> get sa active Total active sa: 2 total configured sa: 2
HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys
0000000b< A.A.A.A 500 esp:3des/sha1 a73e1b79 3523 unlim A/- -1 0
0000000b> A.A.A.A 500 esp:3des/sha1 cce5f86a 3523 unlim A/- -1 0
00000015< B.B.B.B 500 esp:3des/sha1 a73e1b78 3399 unlim A/- -1 0
00000015> B.B.B.B 500 esp:3des/sha1 8441bbfc 3399 unlim A/- -1 0
SSG140-> get sa id 11
index 6, name Azure-APAC, peer gateway ip A.A.A.A. vsys<Root>
auto key. tunnel if binding node, tunnel mode, policy id in:<-1> out:<-1> vpngrp:<-1>. sa_list_nxt:<-1>. tunnel id 11, peer id 2, NSRP Local. site-to-site. Local interface is ethernet0/0 <X.X.X.X>.
esp, group 0, 3des encryption, sha1 authentication autokey, IN inactive, OUT inactive
monitor<0>, latency: -1, availability: 0 DF bit: clear
app_sa_flags: 0x440020
proxy id: local 0.0.0.0/0.0.0.0, remote 0.0.0.0/0.0.0.0, proto 0, port 0/0 ike activity timestamp: 588081534
DSCP-mark : disabled
nat-traversal map not available
incoming: SPI a73e1b79, flag 00004000, tunnel info 4000000b, pipeline life 3600 sec, 3272 remain, 0 kb, 0 bytes remain
anti-replay off, idle timeout value <0>, idled 28 seconds next pak sequence number: 0x0
bytes/paks:1827318/28305; sw bytes/paks:1827318/28305
outgoing: SPI cce5f86a, flag 00000000, tunnel info 4000000b, pipeline life 3600 sec, 3272 remain, 0 kb, 0 bytes remain
anti-replay off, idle timeout value <0>, idled 328 seconds next pak sequence number: 0x0
bytes/paks:2637361/34757; sw bytes/paks:2637361/34757
Activeの数値がカウントされる
55 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
5. 接続と確認
SSG側接続確認: セッション確認
SSG140-> get session
nat used ipv6 addr: allocated 0/maximum 192256
alloc 9/max 48064, alloc failed 0, mcast alloc 0, di alloc failed 0
total reserved 0, free sessions in shared pool 48055id 16020/s**,vsys 0,flag 00000040/0000/0001/0000,policy 12,time 2, dip 0 module 0
if 20(nspflag 2801):10.136.32.0/24568->172.27.0.0/1,1,000000000000,sess token 4,vlan 0,tun 4000000b,vsd 0,route 16
if 11(nspflag 800800):10.136.32.0/24568<-172.27.0.0/1,1,0010dbff4090,sess token 3,vlan 0,tun 0,vsd 0,route 5
id 16029/s**,vsys 0,flag 00000040/0080/0021/0010,policy 320002,time 6, dip 0 module 0 if 0(nspflag 4601):A.A.A.A/500->X.X.X.X/500,17,000000000000,sess token 4,vlan 0,tun 0,vsd
0,route 0
if 3(nspflag 2002010):A.A.A.A/500<-X.X.X.X/500,17,000000000000,sess token 5,vlan 0,tun 0,vsd 0,route 0
id 16032/s**,vsys 0,flag 00000040/0000/0001/0000,policy 12,time 2, dip 0 module 0
if 20(nspflag 2801):10.136.48.0/12109->172.27.0.0/1,1,000000000000,sess token 4,vlan 0,tun 40000015,vsd 0,route 17
if 11(nspflag 800800):10.136.48.0/12109<-172.27.0.0/1,1,0010dbff4090,sess token 3,vlan 0,tun 0,vsd 0,route 5
id 16037/s**,vsys 0,flag 00000040/0000/0001/0000,policy 12,time 2, dip 0 module 0
if 20(nspflag 2801):10.136.32.0/24570->10.0.0.0/1,1,000000000000,sess token 4,vlan 0,tun 4000000b,vsd 0,route 16
if 13(nspflag 0800):10.136.32.0/24570<-10.0.0.0/1,1,000000000000,sess token 3,vlan 0,tun 0,vsd 0,route 13
id 16046/s**,vsys 0,flag 00000040/0080/0021/0010,policy 320002,time 6, dip 0 module 0 if 0(nspflag 4601):B.B.B.B/500->X.X.X.X/500,17,000000000000,sess token 4,vlan 0,tun 0,vsd
0,route 0
if 3(nspflag 2002010):B.B.B.B/500<-X.X.X.X/500,17,000000000000,sess token 5,vlan 0,tun 0,vsd 0,route 0
id 16050/s**,vsys 0,flag 00000040/0000/0001/0000,policy 12,time 2, dip 0 module 0
if 20(nspflag 2801):10.136.48.0/12111->10.0.0.0/1,1,000000000000,sess token 4,vlan 0,tun 40000015,vsd 0,route 17
if 13(nspflag 0800):10.136.48.0/12111<-10.0.0.0/1,1,000000000000,sess token 3,vlan 0,tun 0,vsd 0,route 13 IKE セッションが確立している
5. 接続できない時
SSG側接続確認: SSG ScreenOSバージョン
SSG140-> get system version Encoding: 1
Version: 6.3.0.1.0.0.0.0 DM Version: 1
57 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
5. 接続できない時
SSG側接続確認: インタフェース状態確認
SSG140-> get interface eth0/9 Interface ethernet0/9:
description ethernet0/9
number 13, if_info 10504, if_index 0, mode route
link up, phy-link up/full-duplex, admin status up
status change:5, last change:04/11/2013 20:51:53 vsys Root, zone Untrust, vr trust-vr
dhcp client disabled PPPoE enable
admin mtu 0, operating mtu 1500, default mtu 1500 *ip X.X.X.X/28 mac 0017.cb43.f48d
*manage ip X.X.X.X, mac 0017.cb43.f48d route-deny disable
pmtu-v4 disabled
ping disabled, telnet disabled, SSH disabled, SNMP disabled web disabled, ident-reset disabled, SSL disabled
DNS Proxy disabled, webauth disabled, g-arp enabled, webauth-ip 0.0.0.0 OSPF disabled OSPFv3 disabled BGP disabled RIP disabled RIPng disabled mtrace disabled
PIM: not configured IGMP not configured MLD not configured
NHRP disabled
bandwidth: physical 100000kbps, configured egress [gbw 0kbps mbw 0kbps] configured ingress mbw 0kbps, current bw 0kbps
total allocated gbw 0kbps DHCP-Relay disabled at interface level DHCP-server disabled
WAN側インタフェースがup で無い時はPPPoEの接続に 問題あり
5. 接続できない時
SSG側接続確認: ルーティング確認
SSG140-> get route
IPv4 Dest-Routes for <untrust-vr> (0 entries)
--- H: Host C: Connected S: Static A: Auto-Exported
I: Imported R: RIP/RIPng P: Permanent D: Auto-Discovered N: NHRP
iB: IBGP eB: EBGP O: OSPF/OSPFv3 E1: OSPF external type 1 E2: OSPF/OSPFv3 external type 2 trailing B: backup route
IPv4 Dest-Routes for <trust-vr> (7 entries)
--- ID IP-Prefix Interface Gateway P Pref Mtr Vsys --- * 15 10.10.0.0/16 tun.1 0.0.0.0 S 20 1 Root * 16 0.0.0.0/0 eth0/9 X.X.X.Z S 20 1 Root * 12 X.X.X.X/32 eth0/9 0.0.0.0 H 0 0 Root * 11 X.X.X.X/28 eth0/9 0.0.0.0 C 0 0 Root * 3 172.27.112.0/22 eth0/0 0.0.0.0 C 0 0 Root * 4 172.27.115.84/32 eth0/0 0.0.0.0 H 0 0 Root * 5 172.27.0.0/16 eth0/0 172.27.112.1 S 20 1 Root
59 Copyright © 2015 Juniper Networks, Inc. www.juniper.net
5. 接続できない時
SSGのイベントログの確認
SSG140-> get event
2015-03-12 10:33:01 system info 00536 IKE 191.234.20.158 IKESA : Completed IKESA negotiations with CREATE CHILD SA.
2015-03-12 10:30:12 system info 00536 IKE 191.234.20.158 child sa with CREATE CHILD SA: Completed
negotiations with SPI a73e1b5e, tunnel ID 11, and lifetime 3600 seconds/0 KB. 2015-03-12 10:28:06 system info 00536 IKE 104.46.232.175 child sa with
CREATE CHILD SA: Completed
negotiations with SPI a73e1b5d, tunnel ID 21, and lifetime 3600 seconds/0 KB. 2015-03-12 10:24:11 system info 00536 IKE 191.234.20.158 child sa with
CREATE CHILD SA: Completed
negotiations with SPI a73e1b5c, tunnel ID 11, and lifetime 3600 seconds/0 KB.
イベントログを確認してどのようなエ ラーが出ているか確認できる
5. 接続できない時
接続時
IKE debug取得方法
SSG140-> debug ike detail SSG140-> undebug all
SSG140-> get dbuf stream
## 2015-03-12 12:13:36 : IKE<A.A.A.A> ike packet, len 88, action 0
## 2015-03-12 12:13:36 : IKE<A.A.A.A> Catcher: received 60 bytes from socket.
## 2015-03-12 12:13:36 : IKE<A.A.A.A> ****** Recv packet if <ethernet0/0> of vsys <Root> ******
## 2015-03-12 12:13:36 : IKE<A.A.A.A> Catcher: get 60 bytes. src port 500
## 2015-03-12 12:13:36 : IKE<0.0.0.0 > found existing ike sa node 2a4b0fc ## 2015-03-12 12:13:36 : IKE<A.A.A.A> Search IKE_SA table, found 2a4b0fc.
## 2015-03-12 12:13:36 : Duplicated pkt checking ...
## 2015-03-12 12:13:36 : len in wind 60, hash in wind -1057538087, len 60, hash -564505166
## 2015-03-12 12:13:36 : hash in SA is de5a55b2, len 60
## 2015-03-12 12:13:36 : start seq no is 966, avil seq no is 0, win size is 1 ## 2015-03-12 12:13:36 : return seq no 966 as Responder
## 2015-03-12 12:13:36 : start seq no is 967, avil seq no is 0, win size is 1
## 2015-03-12 12:13:36 : IKE<A.A.A.A> ISAKMP msg: ver 20, len 28, nxp 0 exch 37[INFO], flag 08(I(1) R(0) V(0)), msgid 966
## 2015-03-12 12:13:36 : init cookie
## 2015-03-12 12:13:36 : 4d 1b df 06 b8 96 3d 17 ## 2015-03-12 12:13:36 : resp cookie
## 2015-03-12 12:13:36 : 7c e5 cf 13 e6 cd 67 4b
## 2015-03-12 12:13:36 : current state is 7, exch is 37, response is 0 ## 2015-03-12 12:13:36 : ikev2_ex.c process_informational_req 495
61 Copyright © 2015 Juniper Networks, Inc. www.juniper.net