Juniper
- 印刷する
- PDF
Juniper
- 印刷する
- PDF
Article Summary
Share feedback
Thanks for sharing your feedback!
Classic環境で利用できます。
IPsec VPN Tunnel作成のために顧客 VPNゲートウェイでリソースを構成する方法について説明します。VPNゲートウェイデバイスが Juniper社の SRXシリーズ製品である場合は、次の内容をご参照くだい。
参考
ここでは、ローカルネットワークが顧客ネットワーク、リモートネットワークが NAVERクラウドプラットフォームの Private Subnetになります。Peer IPまたは NAVERクラウドプラットフォームの VPNゲートウェイのグローバル IPアドレスになります。
インターフェイス IPの設定
インターフェイス IPを設定する方法は以下のとおりです。
IPインターフェイス設定
set interfaces ge-0/0/0 unit 0 family inet address <グローバル IPアドレス> set interfaces ge-0/0/1 unit 0 family inet address <内部プライベート IPアドレス>
トンネルインターフェイス設定
set interfaces st0 unit 0 family inet
security zone作成およびインターフェイスを割り当て
- trust zoneに内部インターフェイスを割り当て
set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0
- untrust zoneに外部およびトンネルインターフェイスを割り当て
set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces st0.0
- trust zoneに内部インターフェイスを割り当て
security zoneのポリシー設定
set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit set security policies from-zone untrust to-zone trust policy untrust-to-trust match source-address any set security policies from-zone untrust to-zone trust policy untrust-to-trust match destination-address any set security policies from-zone untrust to-zone trust policy untrust-to-trust match application any set security policies from-zone untrust to-zone trust policy untrust-to-trust then permit
ルーティング設定
外部ルーティング、内部ルーティング、Peerトンネルのプライベートルーティングをそれぞれ設定します。
外部ルーティング設定
set routing-options static route 0.0.0.0/0 next-hop <VPNゲートウェイのグローバル IPアドレス>
内部ルーティングおよびトラフィックセレクタの設定
set routing-options static route <内部プライベート IPアドレス> next-hop <内部ゲートウェイ IP> set security ipsec vpn ike-vpn-DE_QA traffic-selector t1 local-ip 100.1.1.0/24 set security ipsec vpn ike-vpn-DE_QA traffic-selector t1 remote-ip 192.168.100.0/24
Peerトンネルのプライベート ルーティング(proxy-ID)設定
set routing-options static route <リモートネットワークのプライベート IPアドレス> next-hop st0.0
IKE設定
IKEを設定するには、IKEv1と IKEv2を構成する必要があります。
参考
パスワードおよび認証アルゴリズムの設定値が NAVERクラウドプラットフォームコンソールで作成した IPsec VPN Gatewayの設定値と同じである必要があります。
IKEv1構成
IKEv1を構成する方法は以下のとおりです。
set security ike proposal <proposal 1の名前> authentication-method pre-shared-keys
set security ike proposal <proposal 1の名前> dh-group group2
set security ike proposal <proposal 1の名前> authentication-algorithm sha1
set security ike proposal <proposal 1の名前> encryption-algorithm aes-128-cbc
set security ike proposal <proposal 1の名前> lifetime-seconds 28800
set security ike policy <policy 1の名前> mode main
set security ike policy <policy 1の名前> proposals <proposal 1の名前>
set security ike policy <policy 1の名前> pre-shared-key ascii-text <pre-sharedキー値>
set security ipsec policy <policy 1の名前> perfect-forward-secrecy keys group2
set security ipsec vpn <VPNの名前> ike proxy-identity local <Peer IP>
set security ipsec vpn <VPNの名前> ike proxy-identity remote <ローカルネットワーク>
set security ipsec vpn <VPNの名前> ike proxy-identity service any
set security ike gateway <VPN gatewayの名前> ike-policy <policy 1の名前>
set security ike gateway <VPN gatewayの名前> address <Peer IP>
set security ike gateway <VPN gatewayの名前> external-interface ge-0/0/0
set security ike gateway <VPN gatewayの名前> version v1-only *(基本値)
- D-Hグループ: 2
- 暗号化アルゴリズム: aes-128
- ハッシュアルゴリズム: sha-1
- lifetime: 28800
IKEv2構成
IKEv2を構成する方法は以下のとおりです。
set security ipsec proposal <proposal 2の名前> protocol esp
set security ipsec proposal <proposal 2の名前> authentication-algorithm hmac-sha1-96
set security ipsec proposal <proposal 2の名前> encryption-algorithm aes-128-cbc
set security ipsec proposal <proposal 2の名前> lifetime-seconds 3600
set security ipsec policy <policy 2の名前> proposals <proposal 2の名前>
set security ipsec vpn <VPNの名前> bind-interface st0.0
set security ipsec vpn <VPNの名前> ike gateway <VPN gatewayの名前>
set security ipsec vpn <VPNの名前> ike ipsec-policy <policy 2の名前>
set security ipsec vpn <VPNの名前> establish-tunnels immediately
set security ipsec vpn ike-vpn-DE_QA traffic-selector t1 local-ip 100.1.1.0/24
set security ipsec vpn ike-vpn-DE_QA traffic-selector t1 remote-ip 192.168.100.0/24
- プロトコル: esp
- 暗号化アルゴリズム: aes-128
- ハッシュアルゴリズム: sha-1
- lifetime: 3600
IKEトンネルの確認
すべてのプロセスを終えると、IKEトンネル状態を確認できます。確認の例は以下のとおりです。
IKEv1
hostname# show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 4789230 UP d2a027bc622f8ec6 d79c7b79fab2e1cb Main <Peer IP>
IKEv2
hostname# show security ipsec security-associations Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:aes-cbc-128/sha1 4e82e2b4 3429/4607971 - root 500 <Peer IP> >131073 ESP:aes-cbc-128/sha1 58407288 3429/4607971 - root 500 <Peer IP>
この記事は役に立ちましたか?