Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ルートベースの IPsec Vpn

ルートベースの VPN は、宛先 IP アドレスに基づいてトンネルを通過するトラフィックを決定するルートによって、2つのエンドポイント間で作成された IPsec VPN トンネルを参照する構成です。

ルートベースの IPsec Vpn について

ルートベースの Vpn を使用すると、数十のセキュリティポリシーを設定して、2つのサイト間で1つの VPN トンネルを通過するトラフィックを規制できます。また、1セットの IKE と IPsec Sa のみが稼働しています。ポリシーベースの vpn では、ルートベースの vpn の場合とは異なり、ポリシーは VPN トンネルではなく宛先アドレスを指します。パケットJunos OS宛先アドレスへのトラフィック送信に使用するインターフェイスを見つけるルートを検索すると、セキュア トンネル インターフェイス(st0)を介するルートが見つけ出されます。x ) トンネルインターフェイスは特定の VPN トンネルにバインドされており、ポリシーアクションが許可されている場合、トラフィックはトンネルにルーティングされます。

セキュアトンネル (st0) インターフェイスは、1つの IPv4 アドレスと1つの IPv6 アドレスのみを同時にサポートしています。これは、ルートベースのすべての Vpn に適用されます。このdisableオプションは、st0 インターフェイスではサポートされていません。

ルートベースの Vpn の使用例は次のとおりです。

  • 2つの Lan 間に重複したサブネットまたは IP アドレスがある。

  • ハブアンドスポーク型 VPN トポロジがネットワークで使用されており、スポークツースポークのトラフィックが必要です。

  • プライマリおよびバックアップ Vpn が必要です。

  • 動的ルーティングプロトコル (OSPF、RIP、BGP など) は、VPN 全体で実行されています。

    Point-to-point VPN インターフェイスを介した RIP 需要回線の構成はサポートされていません。

複数のリモートサイト間で VPN を構成する場合は、ルートベースの VPN を使用することをお勧めします。ルートベースの VPN を使用すると、複数のリモートサイト間でのスポーク間のルーティングが可能になります。構成、監視、トラブルシューティングを容易に実行できます。

例:ルートベース VPN の構成

この例では、ルートベースの IPsec VPN を構成して、支社オフィスと本社オフィスの間でデータを安全に転送できるようにする方法を示します。

要件

この例では、以下のハードウェアを使用しています。

  • SRX シリーズデバイス

  • SSG140 デバイス

開始する前に、 IPSEC VPN の概要を読みます。

概要

この例では、トンネルリソースを節約しながら VPN トラフィックに対するきめ細かな制限を得るため、シカゴの支社にルートベースの VPN を構成します。シカゴ支店のユーザーは、カリフォルニア州 Sunnyvale で本社に接続するために VPN を使用します。

図 1は、ルートベースの VPN トポロジの例を示しています。このトポロジーでは、SRX シリーズ デバイスは Sunnyvale に、SSG シリーズ デバイス(またはサードパーティー デバイス)はシカゴにいます。

図 1: ルートベース VPN トポロジルートベース VPN トポロジ

この例では、インターフェイス、IPv4 のデフォルトルート、セキュリティゾーン、アドレスブックを構成します。次に、IKE、IPsec、セキュリティポリシー、TCP MSS の各パラメーターを構成します。この表 1表 5で使用されている特定の構成パラメーターについては、を参照してください。

表 1: インターフェイス, 静的ルート, セキュリティゾーン, アドレス帳の情報

機能

名前

構成パラメーター

インターフェイス

ge-0/0/0.0

192.0.2.1/24

 

ge-0/0/1.0

10.1.1.2/30

 

st 0.0 (トンネルインターフェイス)

10.10.11.10/24

スタティック ルート

0.0.0.0/0 (デフォルトルート)

次ホップは st 0.0 です。

セキュリティ ゾーン

トラスト

  • このゾーンには、ge-0/0/0.0 インターフェイスがバインドされています。

 

untrust

  • 許可されている唯一のシステムサービスは IKE です。

  • このゾーンには、ge-0/0/1.0 インターフェイスがバインドされています。

 

/vpn

St 0.0 インターフェイスはこのゾーンにバインドされています。

表 2: IKE 構成パラメーター

機能

名前

構成パラメーター

提案

ike-提案

  • 認証方法: rsa 署名

  • Diffie-hellman グループ: group14

  • 認証アルゴリズム: sha256

  • 暗号化アルゴリズム: aes-256-cbc

ポリシー

ike-ポリシー

  • モード重要

  • 提案の参考資料: ike-提案

  • IKE ポリシー認証方法: rsa 署名

活用

gw-sunnyvale

  • IKE ポリシーのリファレンス: ike-ポリシー

  • 外部インターフェイス: ge-0/0/1.0

  • ゲートウェイアドレス: 10.2.2.2

表 3: IPsec 構成パラメーター

機能

名前

構成パラメーター

提案

ipsec_prop

  • Protocol esp

  • 認証アルゴリズム: hmac-sha-256

  • 暗号化アルゴリズム: aes-256-cbc

ポリシー

ipsec_pol

  • 提案の参考資料: ipsec_prop

  • PF Diffie-hellman group2

VPN

ipsec_vpn1

  • IKE ゲートウェイリファレンス: gw-sunnyvale

  • IPsec ポリシー参照: ipsec_pol

  • インターフェイスへのバインド: st0.0

表 4: セキュリティポリシーの構成パラメーター

目的

名前

構成パラメーター

セキュリティポリシーにより、信頼ゾーンから vpn ゾーンへのトラフィックが許可されます。

/vpn

  • 条件の一致:

    • 発信元アドレス sunnyvale

    • 宛先/住所シカゴ

    • アプリケーションIKE

  • 対応許可

セキュリティポリシーにより、vpn ゾーンからトラストゾーンへのトラフィックが許可されます。

/vpn

  • 条件の一致:

    • 送信元/アドレスシカゴ

    • 宛先アドレス sunnyvale

    • アプリケーションIKE

  • 対応許可

表 5: TCP MSS 構成パラメーター

目的

構成パラメーター

Tcp MSS は TCP スリーウェイハンドシェイクの一部としてネゴシエートされ、tcp セグメントの最大サイズを制限して、ネットワークの MTU の制限に合わせます。VPN トラフィックの場合、IPsec カプセル化のオーバーヘッドと IP とフレームのオーバーヘッドにより、物理インターフェイスの MTU を超える ESP パケットが発生する可能性があります。この結果、フラグメンテーションが発生します。断片化によって、帯域幅とデバイスリソースが増加します。

1500以上の MTU を使用するほとんどのイーサネットベースのネットワークの出発点として、1350の価値をお勧めします。パフォーマンスを最適化するには、さまざまな TCP MSS 値を試してみる必要があるかもしれません。たとえば、パス内のいずれかのデバイスに低い MTU がある場合、または PPP やフレームリレーなど追加のオーバーヘッドがある場合は、値を変更する必要があるかもしれません。

MSS 値: 1350

構成

基本的なネットワークおよびセキュリティーゾーン情報の設定

CLI クイック構成

例のこのセクションを迅速に構成するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク構成に一致する必要がある詳細を変更し、コマンドを[edit]階層の CLI にコピー & ペーストします。レベルを選択し、 commit設定モードから入力します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

インターフェイス、静的ルート、セキュリティーゾーン、アドレスブックの情報を構成するには、以下の手順に従います。

  1. イーサネットインターフェイス情報を構成します。

  2. 静的なルート情報を構成します。

  3. セキュリティゾーンにインターフェイスを割り当てます。

  4. セキュリティゾーンに対して許可されるシステムサービスを指定します。

  5. 信頼セキュリティゾーンを構成します。

  6. インターフェイスを信頼セキュリティゾーンに割り当てます。

  7. Vpn セキュリティーゾーンを設定します。

  8. セキュリティゾーンにインターフェイスを割り当てます。

結果

構成モードからshow interfaces、、、 show routing-optionsshow security zones、およびshow security address-bookコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

IKE の構成

CLI クイック構成

例のこのセクションを迅速に構成するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク構成に一致する必要がある詳細を変更し、コマンドを[edit]階層の CLI にコピー & ペーストします。レベルを選択し、 commit設定モードから入力します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

IKE を設定するには

  1. IKE 案を作成します。

  2. IKE 提案認証方法を定義します。

  3. IKE 提案の Diffie-hellman グループを定義します。

  4. IKE 提案認証アルゴリズムを定義します。

  5. IKE 提案の暗号化アルゴリズムを定義します。

  6. IKE ポリシーを作成します。

  7. IKE ポリシーモードを設定します。

  8. IKE 案への参照を指定します。

  9. IKE ポリシーの認証方法を定義します。

  10. IKE ゲートウェイを作成し、外部インターフェイスを定義します。

  11. IKE ポリシーのリファレンスを定義します。

  12. IKE ゲートウェイアドレスを定義します。

  13. IKE ゲートウェイのバージョンを定義します。

結果

設定モードから、 show security ikeコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

IPsec の構成

CLI クイック構成

例のこのセクションを迅速に構成するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク構成に一致する必要がある詳細を変更し、コマンドを[edit]階層の CLI にコピー & ペーストします。レベルを選択し、 commit設定モードから入力します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

IPsec を構成するには

  1. IPsec トレースオプションを有効にします。

  2. IPsec の提案を作成します。

  3. IPsec 提案プロトコルを指定します。

  4. IPsec 提案認証アルゴリズムを指定します。

  5. IPsec 提案の暗号化アルゴリズムを指定します。

  6. IPsec ポリシーを作成します。

  7. IPsec 提案の参照を指定します。

  8. IKE ゲートウェイを指定します。

  9. IPsec ポリシーを指定します。

  10. バインドするインターフェイスを指定します。

結果

設定モードから、 show security ipsecコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

セキュリティポリシーの設定

CLI クイック構成

例のこのセクションを迅速に構成するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク構成に一致する必要がある詳細を変更し、コマンドを[edit]階層の CLI にコピー & ペーストします。レベルを選択し、 commit設定モードから入力します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

セキュリティーポリシーを設定するには、次のようにします。

  1. セキュリティポリシーを作成して、信頼ゾーンから vpn ゾーンへのトラフィックを許可します。

  2. Vpn ゾーンからトラストゾーンへのトラフィックを許可するセキュリティーポリシーを作成します。

結果

設定モードから、 show security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

TCP MSS の構成

CLI クイック構成

例のこのセクションを迅速に構成するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク構成に一致する必要がある詳細を変更し、コマンドを[edit]階層の CLI にコピー & ペーストします。レベルを選択し、 commit設定モードから入力します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

TCP MSS 情報を構成するには、次のようにします。

  1. TCP MSS 情報を構成します。

結果

設定モードから、 show security flowコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

SSG シリーズデバイスの構成

CLI クイック構成

SSG シリーズデバイスの構成については、こちらを参照してください。デバイスの設定についてSSG シリーズ、 の「ScreenOSリファレンス ガイドの概念と例」をhttp://www.juniper.net/techpubs。

例のこのセクションを迅速に構成するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク構成に一致する必要がある詳細を変更し、コマンドを[edit]階層の CLI にコピー & ペーストします。レベルを選択し、 commit設定モードから入力します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

IKE のステータスを確認する

目的

IKE のステータスを確認します。

アクション

検証プロセスを開始する前に、192.0.2.10/24 ネットワーク内のホストから 198.51.100.10/24 ネットワーク内のホストにトラフィックを送信する必要があります。ルートベースの Vpn では、トラフィックを SRX シリーズデバイスからトンネルを通って開始できます。IPsec トンネルをテストする場合、VPN の片側の別のデバイスから VPN のもう一方の側の2番目のデバイスにテストトラフィックを送信することをお勧めします。たとえば、192.0.2.10 から198.51.100.10 に ping を開始します。

動作モードから、 show security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、 show security ike security-associations index index_number detailコマンドを使用します。

このshow security ike security-associationsコマンドは、アクティブな IKE sa をすべて表示します。Sa が記載されていない場合は、IKE の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。

Sa が表示されている場合は、以下の情報を確認します。

  • インデックス — この値は SA の各IKE一意です。SA に関する詳しい情報を取得するために コマンド show security ike security-associations index detail で使用できます。

  • リモート アドレス —リモート IP アドレスが正しいか検証します。

  • 都道府県

    • アップ — 現在IKE SA が確立されています。

    • ダウン— SAの確立時に問題がIKEしました。

  • モード — 正しいモードが使用されていることを検証します。

構成において以下のことが正しいことを確認します。

  • 外部インターフェイス (インターフェイスは、IKE パケットを受信するものである必要があります)

  • IKE ポリシーパラメーター

  • 事前共有鍵情報

  • 提案パラメーター (両方のピアで一致する必要があります)

このshow security ike security-associations index 1 detailコマンドは、インデックス番号1のセキュリティアソシエーションに関する追加情報をリストします。

  • 使用される認証および暗号化アルゴリズム

  • トラフィック統計 (トラフィックが双方向で正しく流れることを確認するために使用できます)

  • ロール情報

    トラブルシューティングは、応答側ロールを使用してピア上で実行することをお勧めします。

  • 開始側とレスポンダーの情報

  • 作成された IPsec Sa の数

  • 進行中の交渉数

IPsec のステータスを確認する

目的

IPsec のステータスを確認します。

アクション

動作モードから、 show security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、 show security ipsec security-associations index index_number detailコマンドを使用します。

show security ipsec security-associationsコマンドからの出力には、以下の情報が表示されます。

  • ID 番号は16384です。この値をコマンドとshow security ipsec security-associations indexともに使用して、この特定の SA に関する詳細情報を取得します。

  • 1つの IPsec SA ペアがポート500を使用しているため、NAT トラバーサルが実装されていないことを示しています。(NAT トラバースでは、ポート4500またはその他のランダムな乱数ポートが使用します。

  • 両方の方向について、Spi、有効期限 (秒)、使用制限 (KB 単位) が表示されます。3363/lim 値は、有効期間が3363秒で有効期限切れになっており、lifesize が指定されていないことを示しています。これは無制限であることを示しています。IPsec は VPN が稼働している IKE に依存していないため、有効期間は有効期間とは異なる可能性があります。

  • 月曜日列にハイフンが記載されているため、この SA に対して VPN 監視が有効になっていません。VPN 監視が有効になっている場合、U は監視が稼働していることを示し、D は監視が停止していることを示します。

  • 仮想システム (vsys) はルートシステムであり、常に0をリストします。

show security ipsec security-associations index 16384 detailコマンドからの出力には、以下の情報が表示されます。

  • ローカルアイデンティティとリモートアイデンティティによって SA のプロキシ ID が構成されます。

    プロキシ ID の不一致は、IPsec エラーの最も一般的な原因の1つです。IPsec SA が一覧に表示されない場合は、プロキシ ID 設定などの IPsec 提案が両方のピアに対して適切であることを確認します。ルートベースの Vpn の場合、デフォルトのプロキシ ID はローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、service = any になります。同じピア IP から複数のルートベースの Vpn を使用すると、問題が発生する可能性があります。この場合、各 IPsec SA の固有のプロキシ ID を指定する必要があります。一部のサードパーティーベンダーでは、プロキシ ID を手動で入力して照合する必要があります。

  • IPsec 障害のもう1つの一般的な原因は、ST インターフェイスバインディングを指定していないことです。IPsec を完了できない場合は、kmd ログを確認するか、トレースオプションを設定してください。

IPsec セキュリティアソシエーションの統計とエラーを確認する

目的

IPsec セキュリティアソシエーションの ESP および認証ヘッダーのカウンターとエラーを確認します。

アクション

動作モードから、統計情報show security ipsec statistics index index_numberを表示する VPN のインデックス番号を使用してコマンドを入力します。

このshow security ipsec statisticsコマンドを使用して、すべての sa の統計とエラーを確認することもできます。

すべての IPsec 統計情報を消去するclear security ipsec statisticsには、このコマンドを使用します。

VPN 全体でパケットロスの問題が発生した場合、またshow security ipsec statisticsshow security ipsec statistics detail何回かのコマンドを実行して、暗号化および暗号化解除されたパケットカウンターが増加していることを確認できます。また、他のエラーカウンターが増加しているかどうかも確認する必要があります。

VPN 全体でのトラフィックフローのテスト

目的

VPN 全体のトラフィックフローを確認します。

アクション

SRX シリーズデバイスのコマンドpingを使用して、リモートホスト PC へのトラフィックフローをテストできます。ルートルックアップが正しく、適切なセキュリティゾーンがポリシールックアップ時に参照されるように、ソースインターフェイスを指定していることを確認してください。

動作モードから、 pingコマンドを入力します。

SSG シリーズデバイスのpingコマンドを使用することもできます。

SRX シリーズまたpingは Ssg シリーズデバイスからコマンドが失敗した場合は、ルーティング、セキュリティポリシー、エンドホスト、または ESP パケットの暗号化と復号化に問題がある可能性があります。