Juniper

Prev Next

Classic環境で利用できます。

IPsec VPN Tunnel作成のために顧客 VPNゲートウェイでリソースを構成する方法について説明します。VPNゲートウェイデバイスが Juniper社の SRXシリーズ製品である場合は、次の内容をご参照くだい。

参考

ここでは、ローカルネットワークが顧客ネットワーク、リモートネットワークが NAVERクラウドプラットフォームの Private Subnetになります。Peer IPまたは NAVERクラウドプラットフォームの VPNゲートウェイのグローバル IPアドレスになります。

インターフェイス IPの設定

インターフェイス IPを設定する方法は以下のとおりです。

  • IPインターフェイス設定

    set interfaces ge-0/0/0 unit 0 family inet address <グローバル IPアドレス>
set interfaces ge-0/0/1 unit 0 family inet address <内部プライベート IPアドレス>

  • トンネルインターフェイス設定

    set interfaces st0 unit 0 family inet

  • security zone作成およびインターフェイスを割り当て

    • trust zoneに内部インターフェイスを割り当て
      set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone trust interfaces ge-0/0/1.0
    • untrust zoneに外部およびトンネルインターフェイスを割り当て
      set security zones security-zone untrust host-inbound-traffic system-services all
set security zones security-zone untrust host-inbound-traffic protocols all
set security zones security-zone untrust interfaces ge-0/0/0.0
set security zones security-zone untrust interfaces st0.0

  • security zoneのポリシー設定

    set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any
set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit

set security policies from-zone untrust to-zone trust policy untrust-to-trust match source-address any
set security policies from-zone untrust to-zone trust policy untrust-to-trust match destination-address any
set security policies from-zone untrust to-zone trust policy untrust-to-trust match application any
set security policies from-zone untrust to-zone trust policy untrust-to-trust then permit

ルーティング設定

外部ルーティング、内部ルーティング、Peerトンネルのプライベートルーティングをそれぞれ設定します。

  • 外部ルーティング設定

    set routing-options static route 0.0.0.0/0 next-hop <VPNゲートウェイのグローバル IPアドレス>

  • 内部ルーティングおよびトラフィックセレクタの設定

    set routing-options static route <内部プライベート IPアドレス> next-hop <内部ゲートウェイ IP>

set security ipsec vpn ike-vpn-DE_QA traffic-selector t1 local-ip 100.1.1.0/24
set security ipsec vpn ike-vpn-DE_QA traffic-selector t1 remote-ip 192.168.100.0/24

  • Peerトンネルのプライベート ルーティング(proxy-ID)設定

    set routing-options static route <リモートネットワークのプライベート IPアドレス> next-hop st0.0

IKE設定

IKEを設定するには、IKEv1と IKEv2を構成する必要があります。

参考

パスワードおよび認証アルゴリズムの設定値が NAVERクラウドプラットフォームコンソールで作成した IPsec VPN Gatewayの設定値と同じである必要があります。

IKEv1構成

IKEv1を構成する方法は以下のとおりです。

set security ike proposal <proposal 1の名前> authentication-method pre-shared-keys
set security ike proposal <proposal 1の名前> dh-group group2
set security ike proposal <proposal 1の名前> authentication-algorithm sha1
set security ike proposal <proposal 1の名前> encryption-algorithm aes-128-cbc
set security ike proposal <proposal 1の名前> lifetime-seconds 28800

set security ike policy <policy 1の名前> mode main
set security ike policy <policy 1の名前> proposals <proposal 1の名前>
set security ike policy <policy 1の名前> pre-shared-key ascii-text <pre-sharedキー値>

set security ipsec policy <policy 1の名前> perfect-forward-secrecy keys group2
set security ipsec vpn <VPNの名前> ike proxy-identity local <Peer IP>
set security ipsec vpn <VPNの名前> ike proxy-identity remote <ローカルネットワーク>
set security ipsec vpn <VPNの名前> ike proxy-identity service any

set security ike gateway <VPN gatewayの名前> ike-policy <policy 1の名前>
set security ike gateway <VPN gatewayの名前> address <Peer IP>
set security ike gateway <VPN gatewayの名前> external-interface ge-0/0/0
set security ike gateway <VPN gatewayの名前> version v1-only *(基本値)
  • D-Hグループ: 2
  • 暗号化アルゴリズム: aes-128
  • ハッシュアルゴリズム: sha-1
  • lifetime: 28800

IKEv2構成

IKEv2を構成する方法は以下のとおりです。

set security ipsec proposal <proposal 2の名前> protocol esp
set security ipsec proposal <proposal 2の名前> authentication-algorithm hmac-sha1-96
set security ipsec proposal <proposal 2の名前> encryption-algorithm aes-128-cbc
set security ipsec proposal <proposal 2の名前> lifetime-seconds 3600
set security ipsec policy <policy 2の名前> proposals <proposal 2の名前>

set security ipsec vpn <VPNの名前> bind-interface st0.0
set security ipsec vpn <VPNの名前> ike gateway <VPN gatewayの名前>
set security ipsec vpn <VPNの名前> ike ipsec-policy <policy 2の名前>
set security ipsec vpn <VPNの名前> establish-tunnels immediately

set security ipsec vpn ike-vpn-DE_QA traffic-selector t1 local-ip 100.1.1.0/24
set security ipsec vpn ike-vpn-DE_QA traffic-selector t1 remote-ip 192.168.100.0/24
  • プロトコル: esp
  • 暗号化アルゴリズム: aes-128
  • ハッシュアルゴリズム: sha-1
  • lifetime: 3600

IKEトンネルの確認

すべてのプロセスを終えると、IKEトンネル状態を確認できます。確認の例は以下のとおりです。

  • IKEv1

    hostname# show security ike security-associations
Index  State  Initiator cookie   Responder cookie  Mode  Remote Address
4789230 UP    d2a027bc622f8ec6   d79c7b79fab2e1cb  Main  <Peer IP>

  • IKEv2

    hostname# show security ipsec security-associations
 Total active tunnels: 1
ID     Algorithm      SPI      Life:sec/kb     Mon lsys  Port  Gateway
<131073 ESP:aes-cbc-128/sha1   4e82e2b4 3429/4607971 - root  500 <Peer IP>
>131073 ESP:aes-cbc-128/sha1   58407288 3429/4607971 - root  500 <Peer IP>