はじめに本資料では日本マイクロソフト様 Microsoft Azure クラウドサービスにおける仮想ネットワークのゲートウェイ機能とオンプレミスサイトとのサイト間 IPsec VPN 接続についてオンプレミス側 VPN 機器として SSG を使用した場合の構成例を説明しています本構成例は

(1)

Juniper SSGとMicrosoft Azure仮想ネット

ワークとのサイト間

_{VPN接続の構成}

Juniper Networks K.K.

2015年3月

(2)

はじめに

本資料では

、

日本マイクロソフト様

Microsoft Azure

クラウドサービスにおける仮想

ネットワークのゲートウェイ機能と

、

オンプレミスサイトとのサイト間

IPsec VPN

接続に

ついて

、

オンプレミス側

VPN

機器として

SSG

を使用した場合の構成例を説明していま

す

。

本構成例は

、

ご自身の責任のもとでご利用いただけますようお願いいたします

。

また本資料は

2015年3月現在の仕様に基いて作成されておりますので

、

仕様変更等

により画面デザインや設定方法が異なる場合がございます

。

(3)

Microsoft Azure 仮想ネットワークサイト間接続手順

1. 構成ネットワークと設定情報の確認

2. Microsoft Azure 管理ポータルから

、

Microsoft Azureを構成

§ 

Microsoft Azure仮想ネットワークの構成

§ 

ローカルネットワークの構成

§ 

共有キーとゲートウェイIPアドレスの確認

3. SSGの構成

§ 

SSG設定サンプルコンフィグ入手（オプション）

§ 

SSGのバージョン確認

§ 

SSGの設定

4. 接続と確認

§ 

Microsoft Azure仮想ネットワーク側

§ 

SSG側

5. 接続できない時

§ 

状態確認

§ 

デバッグ

(4)

1. 構成ネットワークと設定情報の確認

VPNデバイスとネットワーク環境要件

Microsoft Azure仮想ネットワークとの接続には

、

グローバルな

IPv4アドレスおよび互換性のあ

る

VPN機器が必要です

。

詳細な仕様については下記を参照して下さい

。

https://msdn.microsoft.com/ja-jp/library/azure/jj156075.aspx

(5)

1. 構成ネットワークと設定情報の確認

構成ネットワーク例

ゲートウェイサブネット 10.10.32.0/29 サブネット1 10.10.0.0/24 仮想ネットワークアドレス空間 10.10.0.0/16 VPN　ゲートウェイ Internet ゲートウェイIPアドレス A.A.A.A SSG WAN IPアドレス B.B.B.B ethernet0/9 untrust zone （今回は、ethernet0/9インタフェースで NTT フレッツ光ネクストにPPPoEで接続）オンプレミスネットワーク 172.27.0.0/16 SSG140 ethernet0/0 172.27.115.84/22 trust zone サブネット2 10.10.1.0/24 IPSec VPN

Microsoft Azure

(6)

2. Microsoft Azureの構成例

Microsoft Azureのポータルからログイン後、ネットワークを選択

(7)

2. Microsoft Azureの構成例

仮想ネットワークの構成①

仮想ネットワーク名として任意の名前を入力

(8)

2. Microsoft Azureの構成例

仮想ネットワークの構成②

サイト間VPNの構成を選択

プライベートのDNSサーバを

(9)

2. Microsoft Azureの構成例

オンプレミスネットワークの構成

オンプレミスネットワーク名として、任意の名前を入力 B.B.B.B オンプレミスVPN機器(SSG)のIPsec 終端インタフェースのグローバルIPアドレスオンプレミスネットワークのIPアドレスレンジを設定後にSSGを設定する際には、local の Proxy-idの値として利用される

(10)

2. Microsoft Azureの構成例

仮想ネットワークの構成③

仮想ネットワーク全体のIPアドレスレンジを設定仮想ネットワークのサブネットを設定 “サブネットの追加”で複数設定可能 “ゲートウェイサブネットの追加”でゲートウェイサブネットを設定

(11)

2. Microsoft Azureの構成例

ゲートウェイの作成①

新しい仮想ネットワークが追加されるので、これを選択

(12)

2. Microsoft Azureの構成例

ゲートウェイの作成②

ゲートウェイの作成で、静的ルーティングまたは動的ルーティングを選択して、ゲートウェイを作成(10分程度かかる) 静的・動的はVPN構成により選択しますが、SSGは両方のゲートウェイに対応

(13)

2. Microsoft Azureの構成例

共有キーとゲートウェイ

IPアドレスの確認①

A.A.A.A

キーの管理を選択自動的にゲートウェイIPアドレスがアサインされるが、SSG で対向のVPNゲートウェイの IPアドレスとして設定する必要があるため、メモを取る

(14)

2. Microsoft Azureの構成例

共有キーとゲートウェイ

IPアドレスの確認②

共有キーが表示されるので、メモまたはコピー&ペーストで保存する後にSSGを設定する際に、 PreShared-Keyとして設定する

(15)

3. SSGの設定例

本資料での環境と注意事項

　

SSG140を使用

§

 

本資料では

SSG140を前提にインタフェース等の設定を行っており

、

ご使用される

SSGの

機種とはインタフェースの割り当てが異なる場合

、

読み替えて設定を行って下さい

。

アクセス回線としてフレッツ光ネクストを使用

§

 

検証目的のため

、

本資料では動的

IP割り当てのサービスを使用

。

Microsoft AzureのゲートウェイからVPN接続が行われることもあるため

、

固定

IPアドレス

の使用を推奨

。

Screen OS 6.3 R18を使用

§

 

ScreenOS

6.2および6.3が対応しているが

、

本資料では

IKEバージョン2が要件である

Microsoft Azure動的ルーティングVPNゲートウェイも利用しているため

、

IKEバージョン2

をサポートしている

ScreenOS 6.3を使用

。

Microsoft Azure仮想ネットワークVPNゲートウェイの種類

§

 

Microsoft Azure仮想ネットワークのVPNゲートウェイは静的または動的ゲートウェイを選

択可能であり

、

Ipsecの要件が異なるため

、

SSG側もそれぞれのゲートウェイの合わせた

設定が必要

。

またポリシーベース

、

ルートベース

VPN構成によってもSSG側の設定が異なる

。

本資料では　　　　　　のラベルで区別

ルートベースポリシーベース

。

(16)

静的ルーティング

_{VPNゲートウェイ使用時の}

設定

(17)

3. SSGの設定例

① インタフェース設定

(LAN側インタフェース)

< CLI >

< GUI >

Network > Interfaces > Listより設定するインタフェースのEditを選択

SSG140->set interface ethernet0/0 ip 172.27.115.84/22

zoneを指定

IPアドレスを指定

(18)

3. SSGの設定例

① インタフェース設定

(WAN側PPPoEインタフェース)

< GUI >

Network > PPP > PPPoE Profile より選択

Network > Interfaceより

_{使用するインタフェースを選択}

作成したPPPoE Profileを指定

< CLI >

SSG140-> set pppoe name Flet's

SSG140-> set pppoe name Flet's username test@juniper.net password juniper SSG140-> set pppoe name Flet's interface ethernet0/9

SSG140-> set pppoe name Flet's authentication chap SSG140-> set pppoe name Flet's idle 0

ISPの認証情報を入力

zoneを指定

(19)

3. SSGの設定例

① インタフェース設定

(Tunnelインタフェース)

< GUI >

Network > Interface より”Tunnel IF” , Newを選択

< CLI >

SSG140-> set interface tunnel.1 ip unnumbered interface ethernet0/9 SSG140-> set interface tunnel.1 zone "Untrust"

Unnumberedを選択

zoneを指定

WAN側で使用するインタフェースを選択

(20)

3. SSGの設定例

② ルーティング設定

< CLI >

SSG140-> set route 0.0.0.0/0 interface ethernet0/9

< GUI >

Network > Routing > Destination より”trust-vr” , Newを選択

デフォルトルートを指定

WAN側で使用するインタフェースを指定

(21)

3. SSGの設定例

② ルーティング設定

< CLI >

SSG140-> set route 10.10.0.0/16 interface tunnel.1

< GUI >

Network > Routing > Destination より”trust-vr” , Newを選択

Microsoft Arure仮想ネットワークのアドレス空間を指定

①で作成したTunnelインタフェースを指定

(22)

3. SSGの設定例

③

IPsec IKE/Phase1設定

< GUI >

VPNs > AutoKey Advanced > P1 Proposal よりNewを選択

< CLI >

SSG140-> set ike p1-proposal "Azure-P1" preshare group2 esp aes256 sha-1 second 28800 ルートベースポリシーベース

(23)

3. SSGの設定例

③

IPsec IKE/Phase1設定

< GUI >

VPNs > AutoKey Advanced > GatewayよりNewを選択

Microsoft Azure VPNゲートウェイIPアドレス

Advanced 設定へ移動

IKEv1を選択任意の名前を指定

(24)

3. SSGの設定例

③

IPsec IKE/Phase1設定

< GUI >

VPNs > AutoKey Advanced > GatewayのAdvanced設定

前項で作成したPhase 1 Proposalを選択 ModeはMainを選択インタフェースを指定 Microsoft Azure VPNゲートウェイで表示された共有キー Intervalとして10秒を指定ルートベースポリシーベース

(25)

3. SSGの設定例

③

IPsec IKE/Phase1設定

< CLI >

SSG140-> set ike gateway "Azure-GW" address A.A.A.A Main outgoing-interface

"ethernet0/9" preshare "o+pRBYhzNeSf0JsuGYCW+0z1gonrA/HzppzG1gF7iAIyH201EIZuc3gU0/ HFO8lO4uQ3HZnAov4+" proposal "Azure-P1"

SSG140-> set ike gateway "Azure-GW“ dpd-liveness interval 10

(26)

3. SSGの設定例

④

IPsec Phase2設定

< GUI >

VPNs > AutoKey Advanced > P2 Proposal よりNewを選択

< CLI >

SSG140-> set ike p2-proposal "Azure-P2" no-pfs esp aes256 sha-1 second 3600

(27)

3. SSGの設定例

④

IPsec IKE/Phase2設定

< GUI >

VPNs > AutoKey IKE よりNewを選択

任意の名前を指定 Phase1で設定したGatewayを指定

Advanced 設定へ移動

(28)

3. SSGの設定例

④

IPsec IKE/Phase2設定

< GUI >

VPNs > AutoKey IKE(前項)よりAdvancedを選択

< CLI >

SSG140-> set vpn "Azure" gateway "Azure-GW" tunnel idletime 0 proposal "Azure-P2“ SSG140-> set vpn "Azure" monitor optimized rekey

SSG140-> set vpn "Azure" bind interface tunnel.1

Compatibleを選択

Bindするtunnelインタフェースを指定

ルートベース

前項で作成したPhase 2 Proposalを選択

(29)

3. SSGの設定例

④

IPsec IKE/Phase2設定

< GUI >

VPNs > AutoKey IKE(前項)よりAdvancedを選択

< CLI >

SSG140-> set vpn "Azure" gateway "Azure-GW" tunnel idletime 0 proposal "Azure-P2“ SSG140-> set vpn "Azure" monitor optimized rekey

ポリシーベース

(30)

3. SSGの設定例

④

IPsec Phase2設定

< GUI >

VPNs > AutoKey IKE より前項で設定した項目よりProxy IDを選択

< CLI >

SSG140-> set vpn "Azure" proxy-id local-ip 172.27.0.0/16 remote-ip 10.10.0.0/16 "ANY“

Microsoft Azure仮想ネットワークのアドレス空間オンプレミスネットワークのサブネットワークルートベースポリシーベース

ポリシーベースVPN構成では複数のProxy IDを設定することが出来ないので

、

それぞれのサブネット

ごとにAutoKey IKEを設定する

(31)

3. SSGの設定例

⑤

ポリシー設定

< CLI >

SSG140-> set address "Trust" "Onpremise-NW" 172.27.0.0 255.255.0.0 SSG140-> set address "Untrust" "Azure-NW" 10.10.0.0 255.255.0.0

< GUI >

Policy > Policy Elements > Addresses > List より”Trust”または”Untrust”を選択し

、

”New”でMicrosoft

Azure仮想ネットワークのアドレス空間とオンプレミスネットワークをアドレスオブジェクとして追加

任意の名前を指定

(32)

3. SSGの設定例

⑤

ポリシー設定

< CLI >

SSG140-> set policy id 1 from "Trust" to "Untrust" "Onpremise-NW" "Azure-NW" "ANY" permit

SSG140-> set policy id 2 from "Untrust" to "Trust" "Azure-NW" "Onpremise-NW" "ANY" permit

< GUI >

Policy > Policies より”From “ , “To” でZoneを選択し

、

”New”で作成

ルートベース

前項で設定したアドレスオブジェクトを指定

通信させるプロトコルを指定

(33)

3. SSGの設定例

⑤

ポリシー設定

< GUI >

Policy > Policies より”From “ , “To” でZoneを選択し

、

”New”で作成

VPNで設定したVPN Nameを指定通信させるプロトコルを指定

(34)

3. SSGの設定例

⑤

ポリシー設定

< CLI >

SSG140-> set policy id 19 from "Trust" to "Untrust" "Onpremise-NW" "Azure-NW" "ANY" tunnel vpn "Azure" pair-policy 20

SSG140->　set policy id 20 from "Untrust" to "Trust" "Azure-NW" "Onpremise-NW" "ANY" tunnel vpn "Azure" pair-policy 19

(35)

動的ルーティング

_{VPNゲートウェイ使用時の}

(36)

3. SSGの設定例

① インタフェース設定

(LAN側インタフェース)

< CLI >

< GUI >

Network > Interfaces > Listより設定するインタフェースのEditを選択

SSG140->set interface ethernet0/0 ip 172.27.115.84/22

zoneを指定

IPアドレスを指定

(37)

3. SSGの設定例

① インタフェース設定

(WAN側PPPoEインタフェース)

< GUI >

Network > PPP > PPPoE Profile より選択

Network > Interfaceより

_{使用するインタフェースを選択}

作成したPPPoE Profileを指定

< CLI >

SSG140-> set pppoe name Flet's

SSG140-> set pppoe name Flet's username test@juniper.net password juniper SSG140-> set pppoe name Flet's interface ethernet0/9

SSG140-> set pppoe name Flet's authentication chap SSG140-> set pppoe name Flet's idle 0

ISPの認証情報を入力

zoneを指定

(38)

3. SSGの設定例

① インタフェース設定

(Tunnelインタフェース)

< GUI >

Network > Interface より”Tunnel IF” , Newを選択

< CLI >

SSG140-> set interface tunnel.1 ip unnumbered interface ethernet0/9 SSG140-> set interface tunnel.1 zone "Untrust"

Unnumberedを選択

zoneを指定

WAN側で使用するインタフェースを選択

(39)

3. SSGの設定例

② ルーティング設定

< CLI >

SSG140-> set route 0.0.0.0/0 interface ethernet0/9

< GUI >

Network > Routing > Destination より”trust-vr” , Newを選択

デフォルトルートを指定

WAN側で使用するインタフェースを指定

(40)

3. SSGの設定例

② ルーティング設定

< CLI >

SSG140-> set route 10.10.0.0/16 interface tunnel.1

< GUI >

Network > Routing > Destination より”trust-vr” , Newを選択

Microsoft Azure仮想ネットワークのアドレス空間を指定

①で作成したTunnelインタフェースを指定

(41)

3. SSGの設定例

③

IPsec IKE/Phase1設定

< GUI >

VPNs > AutoKey Advanced > GatewayよりNewを選択

Microsoft Azure VPNゲートウェイIPアドレス

Advanced 設定へ移動

IKEv2を選択任意の名前を指定

(42)

3. SSGの設定例

③

IPsec IKE/Phase1設定

< GUI >

VPNs > AutoKey Advanced > GatewayのAdvanced設定

Compatibleを選択インタフェースを指定 Microsoft Azure VPNゲートウェイで表示された共有キー Intervalとして10秒を指定ルートベースポリシーベース

(43)

3. SSGの設定例

③

IPsec IKE/Phase1設定

< CLI >

SSG140-> set ike gateway ikev2 "Azure-GW" address A.A.A.A outgoing-interface "ethernet0/9" preshare "e6lasZb9N+Sp3Is0KKCji/pxY0nIysufP7vgeztS8fGoVIXsm/KAuS5v +wzDI5ClekVx6dIH7+zQ" sec-level compatible

SSG140-> set ike gateway "Azure-GW“ dpd-liveness interval 10

(44)

3. SSGの設定例

④

IPsec IKE/Phase2設定

< GUI >

VPNs > AutoKey IKE よりNewを選択

任意の名前を指定 Phase1で設定したGatewayを指定

Advanced 設定へ移動

(45)

3. SSGの設定例

④

IPsec IKE/Phase2設定

< GUI >

VPNs > AutoKey IKE(前項)よりAdvancedを選択

< CLI >

SSG140-> set vpn "Azure" gateway "Azure-GW" tunnel idletime 0 sec-level compatible SSG140-> set vpn "Azure" bind interface tunnel.1

SSG140-> set vpn "Azure" monitor optimized rekey

Compatibleを選択

(46)

3. SSGの設定例

④

IPsec IKE/Phase2設定

< GUI >

VPNs > AutoKey IKE(前項)よりAdvancedを選択

< CLI >

SSG140-> set vpn "Azure" gateway "Azure-GW" tunnel idletime 0 sec-level compatible SSG140-> set vpn "Azure" monitor optimized rekey

Compatibleを選択

(47)

3. SSGの設定例

⑤

ポリシー設定

< CLI >

SSG140-> set address "Trust" "Onpremise-NW" 172.27.0.0 255.255.0.0 SSG140-> set address "Untrust" "Azure-NW" 10.10.0.0 255.255.0.0

< GUI >

Policy > Policy Elements > Addresses > List より”Trust”または”Untrust”を選択し

、

”New”でMicrosoft

Azure仮想ネットワークのアドレス空間とオンプレミスネットワークをアドレスオブジェクとして追加

任意の名前を指定

(48)

3. SSGの設定例

⑤

ポリシー設定

< CLI >

SSG140-> set policy id 1 from "Trust" to "Untrust" "Onpremise-NW" "Azure-NW" "ANY" permit

SSG140-> set policy id 2 from "Untrust" to "Trust" "Azure-NW" "Onpremise-NW" "ANY" permit

< GUI >

Policy > Policies より”From “ , “To” でZoneを選択し

、

”New”で作成

ルートベース

通信させるプロトコルを指定

(49)

3. SSGの設定例

⑤

ポリシー設定

< GUI >

Policy > Policies より”From “ , “To” でZoneを選択し

、

”New”で作成

VPNで設定したVPN Nameを指定通信させるプロトコルを指定

(50)

3. SSGの設定例

⑤

ポリシー設定

< CLI >

SSG140-> set policy id 19 from "Trust" to "Untrust" "Onpremise-NW" "Azure-NW" "ANY" tunnel vpn "Azure" pair-policy 20

SSG140->　set policy id 20 from "Untrust" to "Trust" "Azure-NW" "Onpremise-NW" "ANY" tunnel vpn "Azure" pair-policy 19

(51)

A.A.A.A

4. 接続と確認

Microsoft Azureからの接続リクエスト

(52)

4. 接続と確認

Microsoft Azure接続確認

接続される

(53)

5. 接続できない・通信ができない時

よくある問題

Proxy-IDとポリシーオブジェクトの不一致

§

 

IPsec Phase2設定のProxy IDのLocal/Remote

IPと該当するセキュリティポリシーの

source-address/destination-addressが一致していないと

、

Proxy IDのネゴシエーション

が失敗します

。

VPN設定と

、

ポリシーのこれら値が一致していることを確認してください

。

失敗している場合

、

eventログに下記のログが出力されるので

、

どの

Local/Remote IPの

設定が間違っているか確認する事が出来ます

。

IKE A.A.A.A Phase 2: No policy exists for the proxy ID received: local ID

(192.168.0.0/255.255.0.0, 0, 0) remote ID (10.10.0.0/255.255.0.0, 0, 0).

Microsoft Azure管理ポータルのステータス

§

 

Microsoft Azure管理ポータルでは

、

接続

/切断を実行後にもVPNのステータスがすぐに

は反映されないことがあります

。

Microsoft Azure管理ポータルでVPNが接続/切断で

あっても

、

SSG側で正常に接続/切断されている状態のときは

、

ステータスが更新される

までお待ち下さい

。

TCP MSS最適化

§

 

VPNトラフィックに対して

、

下記コマンドで

mssを設定

。

(54)

5. 接続と確認

SSG側接続確認: IPsec VPN接続ステータス

SSG140-> get sa active Total active sa: 2 total configured sa: 2

HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys

0000000b< A.A.A.A 500 esp:3des/sha1 a73e1b79 3523 unlim A/- -1 0

0000000b> A.A.A.A 500 esp:3des/sha1 cce5f86a 3523 unlim A/- -1 0

00000015< B.B.B.B 500 esp:3des/sha1 a73e1b78 3399 unlim A/- -1 0

00000015> B.B.B.B 500 esp:3des/sha1 8441bbfc 3399 unlim A/- -1 0

SSG140-> get sa id 11

index 6, name Azure-APAC, peer gateway ip A.A.A.A. vsys<Root>

auto key. tunnel if binding node, tunnel mode, policy id in:<-1> out:<-1> vpngrp:<-1>. sa_list_nxt:<-1>. tunnel id 11, peer id 2, NSRP Local. site-to-site. Local interface is ethernet0/0 <X.X.X.X>.

esp, group 0, 3des encryption, sha1 authentication autokey, IN inactive, OUT inactive

monitor<0>, latency: -1, availability: 0 DF bit: clear

app_sa_flags: 0x440020

proxy id: local 0.0.0.0/0.0.0.0, remote 0.0.0.0/0.0.0.0, proto 0, port 0/0 ike activity timestamp: 588081534

DSCP-mark : disabled

nat-traversal map not available

incoming: SPI a73e1b79, flag 00004000, tunnel info 4000000b, pipeline life 3600 sec, 3272 remain, 0 kb, 0 bytes remain

anti-replay off, idle timeout value <0>, idled 28 seconds next pak sequence number: 0x0

bytes/paks:1827318/28305; sw bytes/paks:1827318/28305

outgoing: SPI cce5f86a, flag 00000000, tunnel info 4000000b, pipeline life 3600 sec, 3272 remain, 0 kb, 0 bytes remain

anti-replay off, idle timeout value <0>, idled 328 seconds next pak sequence number: 0x0

bytes/paks:2637361/34757; sw bytes/paks:2637361/34757

Activeの数値がカウントされる

(55)

5. 接続と確認

SSG側接続確認: セッション確認

SSG140-> get session

nat used ipv6 addr: allocated 0/maximum 192256

alloc 9/max 48064, alloc failed 0, mcast alloc 0, di alloc failed 0

total reserved 0, free sessions in shared pool 48055id 16020/s**,vsys 0,flag 00000040/0000/0001/0000,policy 12,time 2, dip 0 module 0

if 20(nspflag 2801):10.136.32.0/24568->172.27.0.0/1,1,000000000000,sess token 4,vlan 0,tun 4000000b,vsd 0,route 16

if 11(nspflag 800800):10.136.32.0/24568<-172.27.0.0/1,1,0010dbff4090,sess token 3,vlan 0,tun 0,vsd 0,route 5

id 16029/s**,vsys 0,flag 00000040/0080/0021/0010,policy 320002,time 6, dip 0 module 0 if 0(nspflag 4601):A.A.A.A/500->X.X.X.X/500,17,000000000000,sess token 4,vlan 0,tun 0,vsd

0,route 0

if 3(nspflag 2002010):A.A.A.A/500<-X.X.X.X/500,17,000000000000,sess token 5,vlan 0,tun 0,vsd 0,route 0

id 16032/s**,vsys 0,flag 00000040/0000/0001/0000,policy 12,time 2, dip 0 module 0

if 20(nspflag 2801):10.136.48.0/12109->172.27.0.0/1,1,000000000000,sess token 4,vlan 0,tun 40000015,vsd 0,route 17

if 11(nspflag 800800):10.136.48.0/12109<-172.27.0.0/1,1,0010dbff4090,sess token 3,vlan 0,tun 0,vsd 0,route 5

if 20(nspflag 2801):10.136.32.0/24570->10.0.0.0/1,1,000000000000,sess token 4,vlan 0,tun 4000000b,vsd 0,route 16

if 13(nspflag 0800):10.136.32.0/24570<-10.0.0.0/1,1,000000000000,sess token 3,vlan 0,tun 0,vsd 0,route 13

id 16046/s**,vsys 0,flag 00000040/0080/0021/0010,policy 320002,time 6, dip 0 module 0 if 0(nspflag 4601):B.B.B.B/500->X.X.X.X/500,17,000000000000,sess token 4,vlan 0,tun 0,vsd

0,route 0

if 3(nspflag 2002010):B.B.B.B/500<-X.X.X.X/500,17,000000000000,sess token 5,vlan 0,tun 0,vsd 0,route 0

if 20(nspflag 2801):10.136.48.0/12111->10.0.0.0/1,1,000000000000,sess token 4,vlan 0,tun 40000015,vsd 0,route 17

if 13(nspflag 0800):10.136.48.0/12111<-10.0.0.0/1,1,000000000000,sess token 3,vlan 0,tun 0,vsd 0,route 13 _{IKE セッションが確立している}

(56)

5. 接続できない時

SSG側接続確認: SSG ScreenOSバージョン

SSG140-> get system version Encoding: 1

Version: 6.3.0.1.0.0.0.0 DM Version: 1

(57)

5. 接続できない時

SSG側接続確認: インタフェース状態確認

SSG140-> get interface eth0/9 Interface ethernet0/9:

description ethernet0/9

number 13, if_info 10504, if_index 0, mode route

link up, phy-link up/full-duplex, admin status up

status change:5, last change:04/11/2013 20:51:53 vsys Root, zone Untrust, vr trust-vr

dhcp client disabled PPPoE enable

admin mtu 0, operating mtu 1500, default mtu 1500 *ip X.X.X.X/28 mac 0017.cb43.f48d

*manage ip X.X.X.X, mac 0017.cb43.f48d route-deny disable

pmtu-v4 disabled

ping disabled, telnet disabled, SSH disabled, SNMP disabled web disabled, ident-reset disabled, SSL disabled

DNS Proxy disabled, webauth disabled, g-arp enabled, webauth-ip 0.0.0.0 OSPF disabled OSPFv3 disabled BGP disabled RIP disabled RIPng disabled mtrace disabled

PIM: not configured IGMP not configured MLD not configured

NHRP disabled

bandwidth: physical 100000kbps, configured egress [gbw 0kbps mbw 0kbps] configured ingress mbw 0kbps, current bw 0kbps

total allocated gbw 0kbps DHCP-Relay disabled at interface level DHCP-server disabled

WAN側インタフェースがup で無い時はPPPoEの接続に問題あり

(58)

5. 接続できない時

SSG側接続確認: ルーティング確認

SSG140-> get route

IPv4 Dest-Routes for <untrust-vr> (0 entries)

--- H: Host C: Connected S: Static A: Auto-Exported

I: Imported R: RIP/RIPng P: Permanent D: Auto-Discovered N: NHRP

iB: IBGP eB: EBGP O: OSPF/OSPFv3 E1: OSPF external type 1 E2: OSPF/OSPFv3 external type 2 trailing B: backup route

IPv4 Dest-Routes for <trust-vr> (7 entries)

--- ID IP-Prefix Interface Gateway P Pref Mtr Vsys --- * 15 10.10.0.0/16 tun.1 0.0.0.0 S 20 1 Root * 16 0.0.0.0/0 eth0/9 X.X.X.Z S 20 1 Root * 12 X.X.X.X/32 eth0/9 0.0.0.0 H 0 0 Root * 11 X.X.X.X/28 eth0/9 0.0.0.0 C 0 0 Root * 3 172.27.112.0/22 eth0/0 0.0.0.0 C 0 0 Root * 4 172.27.115.84/32 eth0/0 0.0.0.0 H 0 0 Root * 5 172.27.0.0/16 eth0/0 172.27.112.1 S 20 1 Root

(59)

5. 接続できない時

SSGのイベントログの確認

SSG140-> get event

2015-03-12 10:33:01 system info 00536 IKE 191.234.20.158 IKESA : Completed IKESA negotiations with CREATE CHILD SA.

2015-03-12 10:30:12 system info 00536 IKE 191.234.20.158 child sa with CREATE CHILD SA: Completed

negotiations with SPI a73e1b5e, tunnel ID 11, and lifetime 3600 seconds/0 KB. 2015-03-12 10:28:06 system info 00536 IKE 104.46.232.175 child sa with

CREATE CHILD SA: Completed

negotiations with SPI a73e1b5d, tunnel ID 21, and lifetime 3600 seconds/0 KB. 2015-03-12 10:24:11 system info 00536 IKE 191.234.20.158 child sa with

CREATE CHILD SA: Completed

negotiations with SPI a73e1b5c, tunnel ID 11, and lifetime 3600 seconds/0 KB.

イベントログを確認してどのようなエラーが出ているか確認できる

(60)

5. 接続できない時 

接続時

IKE debug取得方法

SSG140-> debug ike detail SSG140-> undebug all

SSG140-> get dbuf stream

## 2015-03-12 12:13:36 : IKE<A.A.A.A> ike packet, len 88, action 0

## 2015-03-12 12:13:36 : IKE<A.A.A.A> Catcher: received 60 bytes from socket.

## 2015-03-12 12:13:36 : IKE<A.A.A.A> ****** Recv packet if <ethernet0/0> of vsys <Root> ******

## 2015-03-12 12:13:36 : IKE<A.A.A.A> Catcher: get 60 bytes. src port 500

## 2015-03-12 12:13:36 : IKE<0.0.0.0 > found existing ike sa node 2a4b0fc ## 2015-03-12 12:13:36 : IKE<A.A.A.A> Search IKE_SA table, found 2a4b0fc.

## 2015-03-12 12:13:36 : Duplicated pkt checking ...

## 2015-03-12 12:13:36 : len in wind 60, hash in wind -1057538087, len 60, hash -564505166

## 2015-03-12 12:13:36 : hash in SA is de5a55b2, len 60

## 2015-03-12 12:13:36 : start seq no is 966, avil seq no is 0, win size is 1 ## 2015-03-12 12:13:36 : return seq no 966 as Responder

## 2015-03-12 12:13:36 : start seq no is 967, avil seq no is 0, win size is 1

## 2015-03-12 12:13:36 : IKE<A.A.A.A> ISAKMP msg: ver 20, len 28, nxp 0 exch 37[INFO], flag 08(I(1) R(0) V(0)), msgid 966

## 2015-03-12 12:13:36 : init cookie

## 2015-03-12 12:13:36 : 4d 1b df 06 b8 96 3d 17 ## 2015-03-12 12:13:36 : resp cookie

## 2015-03-12 12:13:36 : 7c e5 cf 13 e6 cd 67 4b

## 2015-03-12 12:13:36 : current state is 7, exch is 37, response is 0 ## 2015-03-12 12:13:36 : ikev2_ex.c process_informational_req 495