|
|
 |
 |
ここでは、ポリシー情報を基にVPNを構築する方法について演習します。 |
|
目次
・WebUIでの設定
・CLIでの設定
WebUIでの設定
ルーティングベースVPNとは異なり、まずはルーティングから設定します。
この演習では、FW2(SSG5)の設定を見ていきます。
メニューから、Network > Routing >Destinationを選び、プルダウンメニューから「trust-vr」を選択して「New」ボタンをクリックします。
次の項目を設定します。
IP Address/Netmask:デフォルトルートを設定します。
Next Hop
Gateway:Gatewayのラジオボタンをクリックしてから、Interfaceにプルダウンメニューからethernet0/0を選びます。
「OK」をクリックすると、Routing Entriesにデフォルトルート0.0.0.0/0が設定されていることが確認できます。
次にPhase1(Gateway)を設定します。
メニューから、VPNs > AutoKey Advanced > Gatewayを選び、画面右上の「New」ボタンをクリックします。
Phase1の画面が表示されるので、以下の項目を設定します。
Gateway Name:識別しやすい名前を入力します。
Remote Gateway
Static IP Address:対向機器のUntrustのアドレスを記入します。ここでは、FW1のUntrustのアドレスになるので、172.30.1.1を記入します。
「Advanced」ボタンをクリックすると、次の画面に移るので、以下の項目を設定します。
Preshared Key:対向機器と同じキーワードを入力します。
Outgoing Interface:FW2のUntrustのインターフェイスであるethernet0/0をプルダウンメニューから選択します。
Security Level:Preshared:今回はStandardを選択します。
「OK」をクリックすると、元の画面に戻るので、もう一度「OK」をクリックすると、Phase1の設定が終了となります。
次にPhase2(VPN)を設定します。
メニューから、VPNs > AutoKey IKEを選び、画面右上の「New」をクリックします。
Phase2の設定画面に移るので、以下の項目を設定します。
VPN Name:識別しやすい名前を入力します。
Remote Gateway
Predefined:ここでは、Phase1で設定したものを使うのでプルダウンメニューから、Phase1で設定した「Gateway」の設定を選びます。
Create a Simple Gateway:ここの設定は不要のはずなのですが、Predefinedで「Outgoing Interface」がbri0/0等、演習で使っているUntrustのインターフェイスではないものに設定されているなどで(設定ミス?)、疎通がうまくいかない場合は、ここでPhase1の内容を入力し直してください。
「OK」ボタンをクリックすると、Phase2の設定は終了となります。
次に、ポリシーを設定します。
メニューから、Policiesを選び、画面上部で、Fromを「Untrust」、Toを「Trust」にして、「New」ボタンをクリックします。
ポリシーの設定画面になりますので、次の項目を設定します。
Name:識別しやすい名前を記入します。
Source Address:送信元アドレスを記入します。FW2のUntrustからの送信元アドレスは192.168.1.0/24となります。
Destination Address:宛先アドレスを記入します。FW2のTrustへの宛先アドレスは、192.168.2.0/24となります。
Action:Tunnelを選択します。
Tunnel:Phase2で設定した名前をプルダウンメニューから選択します。
Modify matching bidirectional VPN policyにチェックを入れると、自動的にTrust → Untrustのポリシーも作成されます。
「OK」をクリックすると、設定は終了です。
ポリシーが下図のようになっていることを確認します。
対向機器のFW1も同様に設定します。
ルーティングベースVPNとの違いは、このVPNにはトンネルインターフェイスの設定がないということと、UntrustのアドレスにUnnumberdが使えないというがあげられます。
最後にサーバに接続してサイトが表示されることを確認しておきましょう。
CLIでの設定
・FW1(NetScreen-5GT)
アドレスの設定
set interface trust ip 192.168.1.254/24
set interface trust route
set interface untrust ip 172.30.1.1/30
set interface untrust route
アドレスブックの設定
set address "Trust" "FW1-PC" 192.168.1.0 255.255.255.0
set address "Untrust" "SERVER" 192.168.2.0 255.255.255.0
Phase1(Gateway)の設定
set ike gateway "PbVPN-GW" address 172.30.1.2 Main outgoing-interface
"untrust" preshare "対向機器の同じキーワードを設定" sec-level standard
Phase2(VPN)の設定
set vpn "PbVPN" gateway "PbVPN-GW" no-replay tunnel
idletime 0 sec-level standard
ポリシーの設定
set policy id 7 name "Pb-VPN" from "Untrust" to "Trust" "SERVER" "FW1-PC" "ANY" tunnel vpn "PbVPN" id 7 pair-policy 8 log
set policy id 7
exit
set policy id 8 name "Pb-VPN" from "Trust" to "Untrust" "FW1-PC" "SERVER" "ANY" tunnel vpn "PbVPN" id 7 pair-policy 7 log
set policy id 8
exit
ルーティングの設定
set route 0.0.0.0/0 interface untrust preference 20
・FW2(SSG5)の設定
アドレスの設定
set interface "ethernet0/0" zone "Untrust"
set interface "bgroup0" zone "Trust"
set interface bgroup0 port ethernet0/2
set interface bgroup0 port ethernet0/3
set interface bgroup0 port ethernet0/4
set interface bgroup0 port ethernet0/5
set interface bgroup0 port ethernet0/6
set interface ethernet0/0 ip 172.30.1.2/30
set interface ethernet0/0 route
set interface bgroup0 ip 192.168.2.254/24
set interface bgroup0 route
アドレスブックの設定
set address "Trust" "SERVER" 192.168.2.0 255.255.255.0
set address "Untrust" "FW1-PC" 192.168.1.0 255.255.255.0
Phase1(Gateway)の設定
set ike gateway "PbVPN-GW" address 172.30.1.1 Main outgoing-interface
"ethernet0/0" preshare "対向機器と同じキーワードを設定" sec-level
standard
Phase2(VPN)の設定
set vpn "PbVPN" gateway "PbVPN-GW" no-replay tunnel
idletime 0 sec-level standard
ポリシーの設定
set policy id 10 name "Pb-VPN" from "Untrust" to "Trust" "FW1-PC" "SERVER" "ANY" tunnel vpn "PbVPN" id 0xa pair-policy 11
set policy id 10
exit
set policy id 11 name "Pb-VPN" from "Trust" to "Untrust" "SERVER" "FW1-PC" "ANY" tunnel vpn "PbVPN" id 0xa pair-policy 10
set policy id 11
exit
ルーティングの設定
set route 0.0.0.0/0 interface ethernet0/0 preference 20
演習目次に戻る
総合案内に戻る
|
|
|
