Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

NAT-Tを使用したルートベースVPNおよびポリシーベースVPN

このトピックを読み、NAT-Tを使用したIPsec VPNについて理解してください。

ネットワークアドレス変換トラバーサル(NAT-T)は、IPsecで保護されたデータが、アドレス変換のためにNATで設定されたデバイスを通過するときに発生するNATアドレス変換関連の問題を管理するために使用される方法です。

機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。

プラットフォームに関連する注意事項については、「 IPsec VPNによるプラットフォーム固有のNAT-Tの動作 」セクションを参照してください。

NAT-Tについて

ネットワークアドレス変換トラバーサル(NAT-T)は、IPsecで保護されたデータがアドレス変換のためにNATデバイスを通過する際に発生するNATアドレス変換の問題を回避するための手法です。NATの機能であるIPアドレッシングを変更すると、IKEはパケットを破棄します。フェーズ1交換時にデータパスに沿って1つ以上のNATデバイスを検出した後、NAT-TはIPsecパケットにユーザーデータグラムプロトコル(UDP)カプセル化のレイヤーを追加し、アドレス変換後にパケットが廃棄されないようにします。NAT-Tは、IKEとESPの両方のトラフィックをUDP内でカプセル化し、ポート4500を送信元ポートと宛先ポートの両方として使用します。NATデバイスは古くなったUDP変換を期限切れにするため、ピア間でキープアライブメッセージが必要になります。

NAT-Tはデフォルトで有効になっているため、NAT-Tを無効にするには、[edit security ike gateway gateway-name階層レベルでno-nat-traversalステートメントを使用する必要があります。

NATには2つの大きなカテゴリーがあります。

  • 静的 NAT では、プライベート アドレスとパブリック アドレスの間に 1 対 1 の関係があります。静的 NAT は、インバウンドとアウトバウンドの両方の方向で機能します。

  • 動的NATでは、プライベートアドレスとパブリックアドレスの間に多対1または多対多の関係があります。動的 NAT は、アウトバウンド方向でのみ機能します。

NATデバイスの場所は、以下のようにできます。

  • IKEv1またはIKEv2開始側のみがNATデバイスの背後にあります。複数の開始側を別々のNATデバイスの背後に置くことができます。開始側は、複数の NAT デバイスを介して応答側に接続することもできます。

  • IKEv1またはIKEv2応答側のみがNATデバイスの背後にあります。

  • IKEv1またはIKEv2開始側と応答側の両方がNATデバイスの背後にあります。

動的エンドポイントVPNは、開始側のIKE外部アドレスが固定されておらず、応答側がそのアドレスを知らない状況に対応できます。これは、開始側のアドレスがISPによって動的に割り当てられたり、動的アドレスプールからアドレスを割り当てる動的NATデバイスを開始側の接続が超えたりする場合に発生する可能性があります。

応答側のみが NAT デバイスの背後にあるトポロジーと、開始側と応答側の両方が NAT デバイスの背後にあるトポロジーについて、NAT-NAT の設定例を示します。NAT-T のサイトツーサイト IKE ゲートウェイ設定は、開始側と応答側の両方でサポートされます。リモートIKE IDは、トンネルネゴシエーションのフェーズ1でピアのローカルIKE IDを検証するために使用IKE。開始側と応答側の両方で、 local-identityremote-identity の設定が必要です。

関連項目

例:NATデバイスの背後にあるレスポンダを使用したルートベースVPNの設定

この例では、支社と本社間の NAT デバイスの背後にレスポンダを使用したルートベース VPN を設定する方法を示します。

要件

開始する前に、 IPsecの概要をお読みください。

概要

この例では、ルートベースVPNを設定します。Host1は、VPNを使用してSRX2上の本社に接続します。

図1 は、NATデバイスの背後にあるレスポンダのみを使用したルートベースVPNのトポロジーの例を示しています。

図1:NATデバイスの背後にあるレスポンダのみを使用したルートベースVPNトポロジー Network diagram showing a route-based IPsec VPN between two sites with Juniper SRX firewalls. SRX1 and SRX2 have Trust and Untrust zones. Hosts in Trust zones have IPs 10.1.11.1, 10.1.11.2, 10.1.21.1, and 10.1.21.2. Secure tunnel connects SRX1 and SRX2 over the Internet using subnets 172.16.11.0/24 and 172.16.21.0/24. NAT is applied on SRX2 for public communication.

この例では、SRX1 のイニシエータと SRX2 のレスポンダの両方に対して、インターフェイス、IPsec、セキュリティ ポリシーを設定します。次に、IKEフェーズ1およびIPsecフェーズ2のパラメーターを設定します。

SRX1は、宛先アドレスが172.16.21.1のパケットを送信してVPNを確立します。NATデバイスは宛先アドレスを10.1.31.1に変換します。

例でイニシエーターに使用される特定の設定パラメーターについては、 表1 から 表3 を参照してください。

表1: SRX1のインターフェイス、ルーティングオプション、およびセキュリティパラメーター

機能

名前

設定パラメータ

インターフェイス

ge-0/0/1

172.16.11.1/24
 

ge-0/0/0

10.1.11.1/24
 

st0.0(トンネルインターフェイス)

10.1.100.1/24

スタティックルート

10.1.21.0/24

ネクストホップはst0.0です。
 

172.16.21.1/32

ネクストホップは 172.16.11.2 です。

セキュリティゾーン

信頼できない

  • IKEとpingのシステムサービス。

  • ge-0/0/1.0 および st0.0 インターフェイスはこのゾーンにバインドされています。
 

信頼

  • すべてのシステムサービスを許可します。

  • すべてのプロトコルを許可します。

  • ge-0/0/0.0インターフェイスは、このゾーンにバインドされています。

セキュリティポリシー

SRX2へ

trustゾーンの10.1.11.0/24からuntrustゾーンの10.1.21.0/24へのトラフィックを許可します。

SRX2から

untrustゾーンの10.1.21.0/24からtrustゾーンの10.1.11.0/24へのトラフィックを許可します。
表2: SRX1のIKEフェーズ1設定パラメータ

機能

名前

設定パラメータ

プロポーザル

ike_prop

  • 認証方法:事前共有キー

  • Diffie-Hellmanグループ:グループ2

  • 認証アルゴリズム:sha1

  • 暗号化アルゴリズム:3des-cbc

ポリシー

ike_pol

  • モード:メイン

  • プロポーザル リファレンス:ike_prop

  • IKEフェーズ1ポリシー認証方法:事前共有鍵ASCII-text

ゲートウェイ

GW1

  • IKEポリシーリファレンス:ike_pol

  • 外部インターフェイス:ge-0/0/1.0

  • ゲートウェイアドレス:172.16.21.1

  • ローカルピア(イニシエーター):branch_natt1@example.net

  • リモートピア(レスポンダー):responder_natt1@example.net
表3: SRX1のIPsecフェーズ2の設定パラメーター

機能

名前

設定パラメータ

プロポーザル

ipsec_prop

  • プロトコル:esp

  • 認証アルゴリズム:hmac-sha1-96

  • 暗号化アルゴリズム:3des-cbc

ポリシー

ipsec_pol

  • プロポーザル リファレンス:ipsec_prop

  • 完全転送機密保持(PFS)キー:group2

VPN

VPN1

  • IKEゲートウェイリファレンス:GW1

  • IPsecポリシーリファレンス:ipsec_pol

  • インターフェイスへのバインド:st0.0

  • トンネルを即時確立

例でレスポンダに使用される特定の設定パラメータについては、 表4 から 表6 を参照してください。

表4: SRX2のインターフェイス、ルーティングオプション、セキュリティパラメーター

機能

名前

設定パラメータ

インターフェイス

ge-0/0/1

10.1.31.1/24
 

ge-0/0/0

10.1.21.1/24
 

st0.0(トンネルインターフェイス)

10.1.100.2/24

スタティックルート

172.16.11.1/32

ネクストホップは 10.1.31.2 です。
 

10.1.11.0/24

ネクストホップはst0.0です。

セキュリティゾーン

信頼できない

  • IKEとpingシステムサービスを許可します。

  • ge-0/0/1.0 および st0.0 インターフェイスはこのゾーンにバインドされています。
 

信頼

  • すべてのシステムサービスを許可します。

    すべてのプロトコルを許可します。

  • ge-0/0/0.0インターフェイスは、このゾーンにバインドされています。

セキュリティポリシー

to-SRX1

trustゾーンの10.1.21.0/24からuntrustゾーンの10.1.11.0/24へのトラフィックを許可します。

from-SRX1

untrustゾーンの10.1.11.0/24からtrustゾーンの10.1.21.0/24へのトラフィックを許可します。
表5: SRX2のIKEフェーズ1設定パラメータ

機能

名前

設定パラメータ

プロポーザル

ike_prop

  • 認証方法:事前共有キー

  • Diffie-Hellmanグループ:グループ2

  • 認証アルゴリズム:sha1

  • 暗号化アルゴリズム:3des-cbc

ポリシー

ike_pol

  • モード:メイン

  • プロポーザル リファレンス:ike_prop

  • IKEフェーズ1ポリシー認証方法:事前共有鍵ASCII-text

ゲートウェイ

GW1

  • IKEポリシーリファレンス:ike_pol

  • 外部インターフェイス:ge-0/0/1.0

  • ゲートウェイ アドレス:172.16.11.1

  • ローカルピア(レスポンダー):responder_natt1@example.net

  • リモートピア(イニシエーター):branch_natt1@example.net
表6: SRX2のIPsecフェーズ2設定パラメータ

機能

名前

設定パラメータ

プロポーザル

ipsec_prop

  • プロトコル:esp

  • 認証アルゴリズム:hmac-sha1-96

  • 暗号化アルゴリズム:3des-cbc

ポリシー

ipsec_pol

  • プロポーザル リファレンス:ipsec_prop

  • PFSキー:group2

VPN

VPN1

  • IKEゲートウェイリファレンス:GW1

  • IPsecポリシーリファレンス:ipsec_pol

  • インターフェイスへのバインド:st0.0

  • トンネルを即時確立

設定

SRX1 のインターフェイス、ルーティング オプション、およびセキュリティ パラメーターの設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

インターフェイス、静的ルート、セキュリティパラメーターを設定するには:

  1. VPNに使用されるインターネット、Host1、インターフェイスに接続するインターフェイスを設定します。

  2. VPNを使用するトラフィックとSRX1の静的ルートを設定して、NATデバイスに到達します。

  3. untrustセキュリティゾーンを設定します。

  4. trustセキュリティ ゾーンを設定します。

  5. セキュリティポリシーで使用されるネットワークのアドレス帳を設定します。

  6. セキュリティポリシーを設定して、ホスト間のトラフィックを許可します。

結果

設定モードから、 show interfacesshow routing-optionsshow security コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

SRX1 の IKE の設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

IKEを設定するには:

  1. IKEフェーズ1のプロポーザルを作成します。

  2. IKEフェーズ1ポリシーを作成します。

  3. IKEフェーズ1ゲートウェイパラメータを設定します。ゲートウェイアドレスは、NATデバイスのIPである必要があります。

結果

設定モードから、 show security ike コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

SRX1のIPsecの設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

IPsecを設定するには:

  1. IPsecフェーズ2のプロポーザルを作成します。

  2. IPsecフェーズ2のポリシーを作成します。

  3. IPsec VPNパラメーターを設定します。

結果

設定モードから、 show security ipsec コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

SRX2のインターフェイス、ルーティングオプション、セキュリティパラメーターの設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

インターフェイス、静的ルート、セキュリティパラメーターを設定するには:

  1. インターネット、Host2、およびVPNに使用されるインターフェイスに接続するインターフェイスを設定します。

  2. VPNを使用するトラフィックとSRX2の静的ルートを設定してSRX1に到達します。

  3. untrustセキュリティゾーンを設定します。

  4. trustセキュリティ ゾーンを設定します。

  5. セキュリティポリシーで使用されるネットワークのアドレス帳を設定します。

  6. セキュリティポリシーを設定して、ホスト間のトラフィックを許可します。

結果

設定モードから、 show interfacesshow routing-optionsshow security コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

SRX2 の IKE の設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

IKEを設定するには:

  1. IKEフェーズ1のプロポーザルを作成します。

  2. IKEフェーズ1ポリシーを作成します。

  3. IKEフェーズ1ゲートウェイパラメータを設定します。ゲートウェイアドレスはSRX1のIPである必要があります。

結果

設定モードから、 show security ike コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

SRX2 の IPsec の設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

IPsecを設定するには:

  1. IPsecフェーズ2のプロポーザルを作成します。

  2. IPsecフェーズ2のポリシーを作成します。

  3. IPsec VPNパラメーターを設定します。

結果

設定モードから、 show security ipsec コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

NATデバイスの設定

CLIクイックコンフィグレーション

この例では、静的 NAT を使用しています。静的 NAT は双方向性であるため、10.1.31.1 から 172.16.11.1 へのトラフィックも同じ NAT 設定を使用します。

この例をすばやく設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、以下のタスクを実行します。

SRX1 の IKE フェーズ 1 ステータスの確認

目的

IKEフェーズ1ステータスを確認します。

アクション

動作モードから、 show security ike security-associations コマンドを入力します。より詳細な出力には、 show security ike security-associations detail コマンドを使用します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシーパラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、以下の情報を確認します。

  • インデックス—この値はIKE SAごとに固有で、 show security ike security-associations index detail コマンドで使用すると、SAに関する詳細情報を得ることができます。

  • リモートアドレス—リモートIPアドレスが正しく、ポート4500がピアツーピア通信に使用されていることを確認します。NAT-T は、ポート 4500 で UDP 内の IKE トラフィックと ESP トラフィックの両方をカプセル化することを忘れないでください。

  • ロールイニシエータの状態

    • Up—フェーズ1 SAが確立されています。

    • Down - フェーズ 1 SA の確立に問題がありました。

    • IPsec SAペアの両方のピアがポート4500を使用しています。

    • ピア IKE ID—リモート アドレスが正しいことを確認します。

    • ローカルIDとリモートID—これらが正しいことを確認します。

  • モード—正しいモードが使用されていることを確認します。

設定で以下が適切か検証します。

  • 外部インターフェイス(インターフェイスはIKEパケットを受信するインターフェイスである必要があります)

  • IKEポリシーパラメータ

  • 事前共有鍵情報

  • フェーズ1のプロポーザルパラメーター(両方のピアで一致する必要があります)

show security ike security-associationsコマンドは、セキュリティアソシエーションに関する以下の追加情報を一覧表示します。

  • 使用される認証および暗号化アルゴリズム

  • フェーズ1のライフタイム

  • トラフィック統計情報(トラフィックが双方向に正しく流れていることを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行するのが最適です。

  • 開始側と応答側の情報

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

SRX1 での IPsec セキュリティ アソシエーションの確認

目的

IPsecステータスを確認します。

アクション

動作モードから、 show security ipsec security-associations コマンドを入力します。より詳細な出力には、 show security ipsec security-associations detail コマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、以下の情報が表示されます。

  • リモートゲートウェイのアドレスは172.16.21.1です。

  • IPsec SAペアの両方のピアがポート4500を使用しています。

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。2160/ unlim値は、フェーズ2のライフタイムが2160秒で期限が切れ、ライフサイズが指定されていないことを示し、無制限であることを示しています。フェーズ2のライフタイムはフェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しないためです。

  • 月曜の列にあるハイフンで示されているように、このSAではVPN監視が有効になっていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。

  • 仮想システム(vsys)はルート システムであり、常に 0 が表示されます。

SRX2 の IKE フェーズ 1 ステータスの確認

目的

IKEフェーズ1ステータスを確認します。

アクション

動作モードから、 show security ike security-associations コマンドを入力します。より詳細な出力には、 show security ike security-associations detail コマンドを使用します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシーパラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、以下の情報を確認します。

  • インデックス—この値はIKE SAごとに固有で、 show security ike security-associations detail コマンドで使用すると、SAに関する詳細情報を得ることができます。

  • リモートアドレス—リモートIPアドレスが正しく、ポート4500がピアツーピア通信に使用されていることを確認します。

  • ロールレスポンダーの状態

    • Up:フェーズ1SAが確立されました。

    • Down - フェーズ 1 SA の確立に問題がありました。

    • ピア IKE ID—アドレスが正しいことを確認します。

    • ローカルIDとリモートID—これらのアドレスが正しいことを確認してください。

  • モード—正しいモードが使用されていることを確認します。

設定で以下が適切か検証します。

  • 外部インターフェイス(インターフェイスはIKEパケットを受信するインターフェイスである必要があります)

  • IKEポリシーパラメータ

  • 事前共有鍵情報

  • フェーズ1のプロポーザルパラメーター(両方のピアで一致する必要があります)

show security ike security-associationsコマンドは、セキュリティアソシエーションに関する以下の追加情報を一覧表示します。

  • 使用される認証および暗号化アルゴリズム

  • フェーズ1のライフタイム

  • トラフィック統計情報(トラフィックが双方向に正しく流れていることを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行するのが最適です。

  • 開始側と応答側の情報

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

SRX2 での IPsec セキュリティ アソシエーションの検証

目的

IPsecステータスを確認します。

アクション

動作モードから、 show security ipsec security-associations コマンドを入力します。より詳細な出力には、 show security ipsec security-associations detail コマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、以下の情報が表示されます。

  • リモートゲートウェイのIPアドレスは172.16.11.1です。

  • IPsec SAペアの両方のピアがポート4500を使用しています。

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。1562/unlim値は、フェーズ2のライフタイムの期限が1562秒であり、ライフサイズが指定されていないことを示し、無制限であることを示しています。フェーズ2のライフタイムはフェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しないためです。

  • 月曜の列にあるハイフンで示されているように、このSAではVPN監視が有効になっていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。

  • 仮想システム(vsys)はルート システムであり、常に 0 が表示されます。

show security ipsec security-associations index index_iddetailコマンドからの出力には、以下の情報が表示されます。

  • ローカル ID とリモート ID により、SA のプロキシ ID が構成されます。

    プロキシIDの不一致は、フェーズ2の失敗で最もよくある原因の1つです。IPsec SAが表示されない場合は、プロキシID設定を含むフェーズ2のプロポーザルが両方のピアで正しいことを確認します。ルートベースVPNの場合、デフォルトのプロキシIDはローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、サービス = anyです。同じピアIPからの複数のルートベースVPNで問題が発生する可能性があります。この場合、各IPsec SAに固有のプロキシIDを指定する必要があります。一部のサードパーティベンダーでは、プロキシIDを手動で入力して照合する必要があります。

  • フェーズ2の失敗でよくある理由のもう1つに、STインターフェイスのバインディングが指定されていないことがあります。IPsecを完了できない場合は、kmdログを確認するか、トレースオプションを設定します。

ホスト間到達可能性の検証

目的

Host1がHost2に到達できることを確認します。

アクション

Host1からHost2にpingを実行します。トラフィックがVPNを使用しているかどうかを確認するには、SRX1でコマンド show security ipsec statistics を使用します。pingコマンドを実行する前に、コマンド clear security ipsec statistics を使用して統計情報をクリアします。

意味

この出力は、Host1がHost2にpingを実行できること、トラフィックがVPNを使用していることを示しています。

関連項目

例:NATデバイスの背後にイニシエーターとレスポンダーの両方を備えたポリシーベースのVPNを構成する

この例では、NATデバイスの背後にイニシエーターとレスポンダーの両方を備えたポリシーベースのVPNを設定し、支社と本社の間で安全にデータを転送する方法を示します。

要件

開始する前に、 IPsecの概要をお読みください。

概要

この例では、イリノイ州シカゴにある支社にポリシーベースのVPNを設定します。それは、トンネルリソースを節約しながらも、VPNトラフィックをきめ細かく制限することを目的とするからです。支店のユーザーは、このVPNを使用してカリフォルニア州サニーベールの本社に接続します。

この例では、イニシエーターとレスポンダーの両方に対して、インターフェイス、ルーティングオプション、セキュリティゾーン、セキュリティポリシーを設定します。

図2 は、静的NATデバイスの背後にイニシエーターとレスポンダーの両方を備えたVPNのトポロジーの例を示しています。

図2:NATデバイスの背後にイニシエーターとレスポンダーの両方を備えたポリシーベースのVPNトポロジー Network topology with two SRX Series firewalls linked by a policy-based VPN tunnel. Chicago initiates VPN with IPs: 10.1.99.1/24 (trust) and 12.168.99.1/24 (untrust). Sunnyvale responds with IPs: 10.2.99.1/24 (trust) and 13.168.11.100/24 (untrust). NAT routers translate IPs for internet communication; Chicago to 1.1.100.23 and Sunnyvale to 1.1.100.22. Orange line indicates VPN tunnel for secure site-to-site communication.

この例では、インターフェイス、IPv4 デフォルト ルート、およびセキュリティ ゾーンを設定します。次に、ローカルピアとリモートピアを含むIKEフェーズ1、IPsecフェーズ2、セキュリティポリシーを設定します。なお、上記の例では、レスポンダーのプライベート IP アドレス 13.168.11.1 は静的 NAT デバイスによって非表示にされ、パブリック IP アドレス 1.1.100.1 にマップされています。

例でイニシエーターに使用される特定の設定パラメーターについては、 表7 から 表10 を参照してください。

表7:イニシエーターのインターフェイス、ルーティングオプション、およびセキュリティゾーン

機能

名前

設定パラメータ

インターフェイス

ge-0/0/0

12.168.99.100/24
 

ge-0/0/1

10.1.99.1/24

スタティックルート

10.2.99.0/24(デフォルトルート)

ネクスト ホップは 12.168.99.100 です。
 

1.1.100.0/24

12.168.99.100

セキュリティゾーン

信頼

  • すべてのシステム サービスが許可されます。

  • すべてのプロトコルが許可されます。

  • ge-0/0/1.0インターフェイスは、このゾーンにバインドされています。
 

信頼できない

  • ge-0/0/0.0インターフェイスは、このゾーンにバインドされています。
表8:イニシエーターのIKEフェーズ1設定パラメーター

機能

名前

設定パラメータ

プロポーザル

ike_prop

  • 認証方法:事前共有キー

  • Diffie-Hellmanグループ:グループ2

  • 認証アルゴリズム:md5

  • 暗号化アルゴリズム:3des-cbc

ポリシー

ike_pol

  • モード:メイン

  • プロポーザル リファレンス:ike_prop

  • IKEフェーズ1ポリシー認証方法:事前共有鍵ASCII-text

ゲートウェイ

ゲート

  • IKEポリシーリファレンス:ike_pol

  • 外部インターフェイス:ge-0/0/1.0

  • ゲートウェイアドレス:1.1.100.23

  • ローカル ピアのホスト名は chicago

  • リモート ピアのホスト名は sunnyvale
表9:イニシエーターのIPsecフェーズ2の設定パラメーター

機能

名前

設定パラメータ

プロポーザル

ipsec_prop

  • プロトコル:esp

  • 認証アルゴリズム:hmac-md5-96

  • 暗号化アルゴリズム:3des-cbc

ポリシー

ipsec_pol

  • プロポーザル リファレンス:ipsec_prop

  • 完全転送機密保持(PFS):グループ1

VPN

first_vpn

  • IKEゲートウェイリファレンス:ゲート

  • IPsecポリシーリファレンス:ipsec_pol
表10:イニシエーターのセキュリティポリシー設定パラメーター

目的

名前

設定パラメータ

セキュリティポリシーは、trustゾーンからuntrustゾーンへのトンネルトラフィックを許可します。

POL1

  • 一致する条件:

    • 送信元アドレス任意

    • 宛先アドレス任意

    • アプリケーション任意

  • アクション:ipsec-vpn first_vpnトンネル許可

セキュリティポリシーは、untrustゾーンからtrustゾーンへのトンネルトラフィックを許可します。

POL1

  • 一致する条件:

    • アプリケーション任意

  • アクション:ipsec-vpn first_vpnトンネル許可

例でレスポンダに使用される特定の設定パラメータについては、 表11 から 表14 を参照してください。

表11:レスポンダーのインターフェイス、ルーティングオプション、およびセキュリティゾーン

機能

名前

設定パラメータ

インターフェイス

ge-0/0/0

13.168.11.100/24
 

ge-0/0/1

10.2.99.1/24

スタティックルート

10.1.99.0/24(デフォルトルート)

ネクスト ホップは 13.168.11.100 です
 

1.1.100.0/24

13.168.11.100

セキュリティゾーン

信頼

  • すべてのシステム サービスが許可されます。

  • すべてのプロトコルが許可されます。

  • ge-0/0/1.0インターフェイスは、このゾーンにバインドされています。
 

信頼できない

  • ge-0/0/0.0インターフェイスは、このゾーンにバインドされています。
表12:レスポンダーのIKEフェーズ1設定パラメーター

機能

名前

設定パラメータ

プロポーザル

ike_prop

  • 認証方法:事前共有キー

  • Diffie-Hellmanグループ:グループ2

  • 認証アルゴリズム:md5

  • 暗号化アルゴリズム:3des-cbc

ポリシー

ike_pol

  • モード:メイン

  • プロポーザル リファレンス:ike_prop

  • IKEフェーズ1ポリシー認証方法:事前共有鍵ASCII-text

ゲートウェイ

ゲート

  • IKEポリシーリファレンス:ike_pol

  • 外部インターフェイス:ge-0/0/1.0

  • ゲートウェイアドレス:1.1.100.22

  • 常にデッドピア検出を送信する

  • ローカル ピアのホスト名は sunnyvale

  • リモート ピアのホスト名は chicago
表13:レスポンダーのIPsecフェーズ2設定パラメーター

機能

名前

設定パラメータ

プロポーザル

ipsec_prop

  • プロトコル:esp

  • 認証アルゴリズム:hmac-md5-96

  • 暗号化アルゴリズム:3des-cbc

ポリシー

ipsec_pol

  • プロポーザル リファレンス:ipsec_prop

  • 完全転送機密保持(PFS):グループ1

VPN

first_vpn

  • IKEゲートウェイリファレンス:ゲート

  • IPsecポリシーリファレンス:ipsec_pol
表14:レスポンダーのセキュリティポリシー設定パラメーター

目的

名前

設定パラメータ

セキュリティポリシーは、trustゾーンからuntrustゾーンへのトンネルトラフィックを許可します。

POL1

  • 一致する条件:

    • 送信元アドレス任意

    • 宛先アドレス任意

    • アプリケーション任意

  • アクション:ipsec-vpn first_vpnトンネル許可

セキュリティポリシーは、untrustゾーンからtrustゾーンへのトンネルトラフィックを許可します。

POL1

  • 一致する条件:

    • アプリケーション任意

  • アクション:ipsec-vpn first_vpnトンネル許可

設定

イニシエーターのインターフェイス、ルーティング オプション、およびセキュリティ ゾーンの設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

インターフェイス、静的ルート、セキュリティゾーンを設定するには:

  1. イーサネット インターフェイス情報を設定します。

  2. 静的ルート情報を設定します。

  3. trustセキュリティ ゾーンを設定します。

  4. trustセキュリティゾーンにインターフェイスを割り当てます。

  5. trust セキュリティ ゾーンのシステム サービスを指定します。

  6. untrustセキュリティゾーンにインターフェイスを割り当てます。

結果

設定モードから、 show interfacesshow routing-optionsshow security zones コマンドを入力して設定を確認します。 出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

イニシエーターの IKE の設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

IKEを設定するには:

  1. IKEフェーズ1のプロポーザルを作成します。

  2. IKEプロポーザルの認証方法を定義します。

  3. IKEプロポーザルのDiffie-Hellmanグループを定義します。

  4. IKEプロポーザルの認証アルゴリズムを定義します。

  5. IKEプロポーザルの暗号化アルゴリズムを定義します。

  6. IKEフェーズ1ポリシーを作成します。

  7. IKEフェーズ1ポリシーモードを設定します。

  8. IKEプロポーザルへのリファレンスを指定します。

  9. IKEフェーズ1ポリシー認証方法を定義します。

  10. IKEフェーズ1ゲートウェイを作成し、その外部インターフェイスを定義します。

  11. IKEフェーズ1ゲートウェイアドレスを作成します。

  12. IKEフェーズ1ポリシーリファレンスを定義します。

  13. ローカルピアの local-identity を設定します。

結果

設定モードから、 show security ike コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

イニシエーターのIPsecの設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

IPsecを設定するには:

  1. IPsecフェーズ2のプロポーザルを作成します。

  2. IPsecフェーズ2のプロポーザルプロトコルを指定します。

  3. IPsecフェーズ2のプロポーザル認証アルゴリズムを指定します。

  4. IPsecフェーズ2のプロポーザルの暗号化アルゴリズムを指定します。

  5. IPsecフェーズ2のプロポーザルのリファレンスを指定します。

  6. PFS(完全転送秘密)グループ1を使用するIPsecフェーズ2を指定します。

  7. IKEゲートウェイを指定します。

  8. IPsecフェーズ2ポリシーを指定します。

結果

設定モードから、 show security ipsec コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

イニシエーターのセキュリティポリシーの設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

セキュリティポリシーを設定するには:

  1. trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを作成します。

  2. untrust ゾーンから trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

結果

設定モードから、 show security policies コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

イニシエーターの NAT の設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

NATを提供するイニシエーターを設定するには:

  1. インターフェイスを設定します。

  2. ゾーンを設定します。

  3. NATを設定します。

  4. デフォルトのセキュリティポリシーを設定します。

  5. ルーティングオプションを設定します。

結果

設定モードから、 show security nat コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

レスポンダーのインターフェイス、ルーティング オプション、セキュリティ ゾーンの設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

インターフェイス、静的ルート、セキュリティゾーン、セキュリティポリシーを設定するには:

  1. イーサネット インターフェイス情報を設定します。

  2. 静的ルート情報を設定します。

  3. untrustセキュリティゾーンにインターフェイスを割り当てます。

  4. trustセキュリティ ゾーンを設定します。

  5. trustセキュリティゾーンにインターフェイスを割り当てます。

  6. trust セキュリティ ゾーンで許可されたシステム サービスを指定します。

結果

設定モードから、 show interfacesshow routing-optionsshow security zones コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

レスポンダの IKE の設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

IKEを設定するには:

  1. IKEプロポーザルの認証方法を定義します。

  2. IKEプロポーザルのDiffie-Hellmanグループを定義します。

  3. IKEプロポーザルの認証アルゴリズムを定義します。

  4. IKEプロポーザルの暗号化アルゴリズムを定義します。

  5. IKEフェーズ1ポリシーを作成します。

  6. IKEフェーズ1ポリシーモードを設定します。

  7. IKEプロポーザルへのリファレンスを指定します。

  8. IKEフェーズ1ポリシー認証方法を定義します。

  9. IKEフェーズ1ゲートウェイを作成し、その動的ホスト名を定義します。

  10. IKEフェーズ1ゲートウェイを作成し、その外部インターフェイスを定義します。

  11. IKEフェーズ1ポリシーリファレンスを定義します。

結果

設定モードから、 show security ike コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

レスポンダのIPsecの設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

IPsecを設定するには:

  1. IPsecフェーズ2のプロポーザルを作成します。

  2. IPsecフェーズ2のプロポーザルプロトコルを指定します。

  3. IPsecフェーズ2のプロポーザル認証アルゴリズムを指定します。

  4. IPsecフェーズ2のプロポーザルの暗号化アルゴリズムを指定します。

  5. IPsecフェーズ2のポリシーを作成します。

  6. Perfect Forward Secrecy(PFS)グループ1を使用するようにIPsecフェーズ2を設定します。

  7. IPsecフェーズ2のプロポーザルのリファレンスを指定します。

  8. IKEゲートウェイを指定します。

  9. IPsecフェーズ2ポリシーを指定します。

結果

設定モードから、 show security ipsec コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

レスポンダのセキュリティポリシーの設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

セキュリティポリシーを設定するには:

  1. trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを作成します。

  2. untrust ゾーンから trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

結果

設定モードから、 show security policies コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

レスポンダーの NAT の設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

NAT を提供するレスポンダを設定するには:

  1. インターフェイスを設定します。

  2. ゾーンを設定します。

  3. NATを設定します。

  4. デフォルトのセキュリティポリシーを設定します。

  5. ルーティングオプションを設定します。

結果

設定モードから、 show security nat コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、以下のタスクを実行します。

イニシエーターの IKE フェーズ 1 ステータスの確認

目的

IKEフェーズ1ステータスを確認します。

アクション

検証プロセスを開始する前に、10.1.99.0ネットワーク内のホストから10.2.99.0ネットワーク内のホストにトラフィックを送信する必要があります。ルートベースVPNの場合、ファイアウォールはトンネルを介してトラフィックを開始します。IPsecトンネルをテストする場合は、VPNの片側にある別のデバイスからVPNの反対側にある第2デバイスにテストトラフィックを送信することをお勧めします。例えば、10.1.99.2 から 10.2.99.2 に ping 操作を開始します。

動作モードから、 show security ike security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、 show security ike security-associations index index_number detail コマンドを使用します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシーパラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、以下の情報を確認します。

  • インデックス—この値はIKE SAごとに固有で、 show security ike security-associations index detail コマンドで使用すると、SAに関する詳細情報を得ることができます。

  • リモートアドレス—リモートIPアドレスが正しく、ポート4500がピアツーピア通信に使用されていることを確認します。

  • ロールイニシエータの状態

    • Up:フェーズ1SAが確立されました。

    • Down - フェーズ 1 SA の確立に問題がありました。

    • IPsec SAペアの両方のピアがポート4500を使用しています。これはNAT-Tが実装されたことを示しています。(NAT-T は、ポート 4500 またはその他のランダムな大きな番号のポートを使用します)。

    • ピア IKE ID—リモート(レスポンダー)ID が正しいことを確認します。この例のホスト名はsunnyvaleです。

    • ローカルIDとリモートID—これらが正しいことを確認します。

  • モード—正しいモードが使用されていることを確認します。

設定で以下が適切か検証します。

  • 外部インターフェイス(インターフェイスはIKEパケットを受信するインターフェイスである必要があります)

  • IKEポリシーパラメータ

  • 事前共有鍵情報

  • フェーズ1のプロポーザルパラメーター(両方のピアで一致する必要があります)

show security ike security-associationsコマンドは、セキュリティアソシエーションに関する以下の追加情報を一覧表示します。

  • 使用される認証および暗号化アルゴリズム

  • フェーズ1のライフタイム

  • トラフィック統計情報(トラフィックが双方向に正しく流れていることを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行するのが最適です。

  • 開始側と応答側の情報

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

イニシエーターのIPsecセキュリティ関連付けの確認

目的

IPsecステータスを確認します。

アクション

動作モードから、 show security ipsec security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、 show security ipsec security-associations index index_number detail コマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、以下の情報が表示されます。

  • リモートゲートウェイのNATアドレスは13.168.11.100です。

  • IPsec SAペアの両方のピアがポート4500を使用しています。これはNAT-Tが実装されたことを示しています。(NAT-T は、ポート 4500 またはその他のランダムな大きな番号のポートを使用します)。

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。3390/ unlimited という値は、フェーズ2のライフタイムの有効期限は3390秒であり、ライフサイズは指定されていないため、無制限であることを示しています。フェーズ2のライフタイムはフェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しないためです。

  • 月曜の列にあるハイフンで示されているように、このSAではVPN監視が有効になっていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。

  • 仮想システム(vsys)はルート システムであり、常に 0 が表示されます。

レスポンダーの IKE フェーズ 1 ステータスの確認

目的

IKEフェーズ1ステータスを確認します。

アクション

動作モードから、 show security ike security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、 show security ike security-associations index index_number detail コマンドを使用します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシーパラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、以下の情報を確認します。

  • インデックス—この値はIKE SAごとに固有で、 show security ike security-associations index detail コマンドで使用すると、SAに関する詳細情報を得ることができます。

  • リモートアドレス—リモートIPアドレスが正しく、ポート4500がピアツーピア通信に使用されていることを確認します。

  • ロールレスポンダーの状態

    • Up:フェーズ1SAが確立されました。

    • Down - フェーズ 1 SA の確立に問題がありました。

    • ピア IKE ID - ピアのローカル ID が正しいことを確認します。この例のホスト名はchicagoです。

    • ローカルIDとリモートID—これらが正しいことを確認します。

  • モード—正しいモードが使用されていることを確認します。

設定で以下が適切か検証します。

  • 外部インターフェイス(インターフェイスはIKEパケットを受信するインターフェイスである必要があります)

  • IKEポリシーパラメータ

  • 事前共有鍵情報

  • フェーズ1のプロポーザルパラメーター(両方のピアで一致する必要があります)

show security ike security-associationsコマンドは、セキュリティアソシエーションに関する以下の追加情報を一覧表示します。

  • 使用される認証および暗号化アルゴリズム

  • フェーズ1のライフタイム

  • トラフィック統計情報(トラフィックが双方向に正しく流れていることを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行するのが最適です。

  • 開始側と応答側の情報

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

レスポンダーのIPsecセキュリティ関連付けの確認

目的

IPsecステータスを確認します。

アクション

動作モードから、 show security ipsec security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、 show security ipsec security-associations index index_number detail コマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、以下の情報が表示されます。

  • リモートゲートウェイのNATアドレスは1.1.100.23です。

  • IPsec SAペアの両方のピアがポート4500を使用しています。これはNAT-Tが実装されたことを示しています。(NAT-T は、ポート 4500 またはその他のランダムな大きな番号のポートを使用します)。

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。3571/unlim値は、フェーズ2のライフタイムが3571秒で終了し、ライフサイズが指定されていないことを示し、無制限であることを示しています。フェーズ2のライフタイムはフェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しないためです。

  • 月曜の列にあるハイフンで示されているように、このSAではVPN監視が有効になっていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。

  • 仮想システム(vsys)はルート システムであり、常に 0 が表示されます。

関連項目

例:動的エンドポイントVPNによるNAT-Tの設定

この例では、IKEv2イニシエーターがNATデバイスの背後にある動的エンドポイントであるルートベースのVPNを設定する方法を示しています。

要件

この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。

  • シャーシクラスター内に設定された2台のファイアウォール

  • NATを提供する1つのファイアウォール

  • 支社にネットワークアクセスを提供する1つのファイアウォール

  • IKEv2 NAT-TをサポートするJunos OSリリース

概要

この例では、支社(IKEv2イニシエーター)と本社(IKEv2レスポンダー)の間にIPsec VPNを設定し、2つの拠点間のネットワークトラフィックを保護します。支社は NAT デバイスの背後にあります。支社のアドレスは動的に割り当てられ、レスポンダーには分かりません。イニシエータには、トンネルネゴシエーション用にレスポンダーのリモートIDが設定されます。この設定により、NATデバイスを介したピア間に動的なエンドポイントVPNが確立されます。

図3 は、NATトラバーサル(NAT-T)と動的エンドポイントVPNを使用したトポロジーの例を示しています。

図3:NAT-Tと動的なエンドポイントVPN Network topology diagram showing IPSec VPN tunnel connecting headquarters and branch office via internet. Headquarters in Trust Zone uses IPs 192.179.1.10 and 100.10.1.50. Branch office in Trust Zone uses IPs 192.179.100.50 and 192.179.2.20. NAT device in Untrust Zone facilitates connection.

この例では、デバイスに動的に割り当てられたイニシエータのIPアドレス192.179.100.50は、NATデバイスによって隠され、100.10.1.253に変換されます。

この例では、以下の設定オプションが適用されます。

  • イニシエーターで設定されたローカルIDは、レスポンダーで設定されたリモートゲートウェイIDと一致する必要があります。

  • フェーズ1とフェーズ2のオプションは、イニシエーターとレスポンダー間で一致する必要があります。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。 「セキュリティポリシーの概要」を参照してください。

設定

支社デバイス(IKEv2イニシエーター)の設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

支社デバイスを設定するには:

  1. インターフェイスを設定します。

  2. ルーティングオプションを設定します。

  3. ゾーンを設定します。

  4. フェーズ1のオプションを設定します。

  5. フェーズ2のオプションを設定します。

  6. セキュリティポリシーを設定します。

結果

設定モードから、 show interfacesshow routing-optionsshow security zonesshow security ikeshow security ipsec、および show security policies コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

NATデバイスの設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

NAT を提供する中間ルーターを設定するには:

  1. インターフェイスを設定します。

  2. ゾーンを設定します。

  3. NATを設定します。

  4. デフォルトのセキュリティポリシーを設定します。

結果

設定モードから、 show interfacesshow security zonesshow security nat sourceshow security policies コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

本社デバイス(IKEv2レスポンダー)の設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

  1. 2つのノードをシャーシクラスターとして設定します。

  2. インターフェイスを設定します。

  3. ルーティングオプションを設定します。

  4. ゾーンを設定します。

  5. フェーズ1のオプションを設定します。

  6. フェーズ2のオプションを設定します。

  7. デフォルトのセキュリティポリシーを設定します。

結果

設定モードから、 show chassis clustershow interfacesshow routing-optionsshow security zonesshow security ikeshow security ipsec、および show security policies コマンドを入力して、設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

検証

設定が正常に機能していることを確認します。

レスポンダーの IKE フェーズ 1 ステータスの確認

目的

IKEフェーズ1ステータスを確認します。

アクション

ノード0の動作モードから、 show security ike security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、 show security ike security-associations detail コマンドを使用します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシーパラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、以下の情報を確認します。

  • インデックス—この値はIKE SAごとに固有で、 show security ike security-associations index index_id detail コマンドで使用すると、SAに関する詳細情報を得ることができます。

  • リモートアドレス—ローカルIPアドレスが正しいことと、ポート4500がピアツーピア通信に使用されていることを確認します。

  • ロールレスポンダーの状態

    • Up:フェーズ1SAが確立されました。

    • Down - フェーズ 1 SA の確立に問題がありました。

    • ピア IKE ID—アドレスが正しいことを確認します。

    • ローカルIDとリモートID—これらのアドレスが正しいことを確認してください。

  • モード—正しいモードが使用されていることを確認します。

設定で以下が適切か検証します。

  • 外部インターフェイス(インターフェイスはIKEパケットを送信するインターフェイスである必要があります)

  • IKEポリシーパラメータ

  • 事前共有鍵情報

  • フェーズ1のプロポーザルパラメーター(両方のピアで一致する必要があります)

show security ike security-associationsコマンドは、セキュリティアソシエーションに関する以下の追加情報を一覧表示します。

  • 使用される認証および暗号化アルゴリズム

  • フェーズ1のライフタイム

  • トラフィック統計情報(トラフィックが双方向に正しく流れていることを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行するのが最適です。

  • 開始側と応答側の情報

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

レスポンダーのIPsecセキュリティ関連付けの確認

目的

IPsecステータスを確認します。

アクション

ノード0の動作モードから、 show security ipsec security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、 show security ipsec security-associations detail コマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、以下の情報が表示されます。

  • リモートゲートウェイのIPアドレスは100.10.1.253です。

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。ライフタイムという値は、フェーズ2のライフタイムの有効期限は7186秒であり、ライフサイズは指定されていないため、無制限であることを示しています。フェーズ2のライフタイムはフェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しないためです。

  • 仮想システム(vsys)はルート システムであり、常に 0 が表示されます。

show security ipsec security-associations index index_id detailコマンドからの出力には、以下の情報が表示されます。

  • ローカル ID とリモート ID により、SA のプロキシ ID が構成されます。

    プロキシIDの不一致は、フェーズ2の失敗で最もよくある原因の1つです。IPsec SAが表示されない場合は、プロキシIDの設定を含むフェーズ2のプロポーザルが両方のピアで一致することを確認します。ルートベースVPNの場合、デフォルトのプロキシIDはローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、サービス = anyです。同じピアIPからの複数のルートベースVPNで問題が発生する可能性があります。この場合、各IPsec SAに固有のプロキシIDを指定する必要があります。一部のサードパーティベンダーでは、プロキシIDを手動で入力して照合する必要があります。

  • フェーズ2の失敗でよくある理由のもう1つに、STインターフェイスのバインディングが指定されていないことがあります。IPsecを完了できない場合は、kmdログを確認するか、トレースオプションを設定します。

関連項目

IPsec VPNの動作を持つプラットフォーム固有のNAT-T

機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。

お使いのプラットフォームに固有の動作を確認するには、以下の表を使用して下さい。

表15:プラットフォーム固有の動作
プラットフォーム 違い
SRXシリーズ

  • IPsec VPNでNAT-TをサポートするSRX5400、SRX5600、およびSRX5800デバイスでは、以下のトンネル拡張制限があります。

    • 特定のプライベートIPアドレスの場合、NATデバイスは500と4500の両方のプライベートポートを同じパブリックIPアドレスに変換する必要があります。

    • 特定のパブリック変換されたIPからのトンネルの合計数は、1000トンネルを超えることはできません。

  • 動的エンドポイントVPNを備えたNAT-TをサポートするSRX5600およびSRX5800デバイスの場合:

    • NAT-TとのIKEネゴシエーションは、ネゴシエーション中にIKEパケットの送信元IPアドレスを変更するNATデバイスの背後にIKEピアがある場合、IKE IKE は機能しません。たとえば、NAT デバイスに動的 IP を設定した場合、IKE プロトコルが UDP ポートを 500 から 5400 に切り替えるため、NAT デバイスは送信元 IP を変更します。

関連ドキュメント

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース
説明
24.2R1
NAT-Tリモートポートが変更されると、デッドピア検出(DPD)の受信中にピアデバイスが新しいセッションを作成し、セッションの不一致やトラフィックの中断が発生する可能性があります。これを防ぐためには、最適化されたデッドピア検出を有効にすることができます。コマンドset security ike gateway gateway-name dead-peer-detection optimizedを使用して、既存のNAT-Tセッションを新しいポート番号で更新し、トラフィックが再開されるようにします。