４．VPNの設定:Netscreen/SSGの設定

2006年07月16日

「VPNの設定」の記事一覧

博士　問題です

（博士）この章では、VPNの説明をします。
VPN接続はPhase１やPhase２などの概念が難しく、理解が難しいと思う。まずは、この解説に忠実に実施してください。

あこ笑顔

（アコ）博士も始めてVPNを接続されたときは苦労されたと聞きました。本当ですか？

博士　問題です

（博士）そうなんだ。
当時はインターネットで検索しても設定方法がかかれたサイトは一切無く、夜遅くまで悩み倒したよ。
そんな苦労もあって、このサイトを立ち上げたんだけどね。

［記事一覧］
①設定環境
②初期設定
③Trust（LAN）側の設定
④Tunnelインターフェースの作成　１
⑤Tunnelインターフェースの作成　２
⑥Untrustの設定（PPPoEの場合）
⑦Phase１の設定
⑧Phase2の設定
⑨Phase2の設定（続き）
⑩Routingの設定
⑪設定の完了
⑫ログの確認
⑬VPN接続の確認方法

05:15 │コメント(0)

2006年06月06日

設定環境

今回の設定例で紹介する環境は以下です。

【拠点A】
設定を紹介している拠点です。
LANセグメント：192.168.1.0/24
NetscreenIPアドレス（LAN：Trust側）：192.168.1.200
NetscreenIPアドレス（WAN：Untrust側）：200.1.1.1
NetscreenIPアドレス（仮想IF：TunnelIF）：10.10.1.1

【拠点B】
LANセグメント：192.168.2.0/24
NetscreenIPアドレス（LAN：Trust側）：192.168.2.200
NetscreenIPアドレス（WAN：Untrust側）：200.1.1.2
NetscreenIPアドレス（仮想IF：TunnelIF）：10.10.1.2

03:20 │コメント(0)

2006年05月30日

初期設定

１．Netscreenの電源を入れます。（Netscreenは初期化されているとします。）

２．PCとNetscreenをストレートケーブルで接続します。
NetscreenのポートはTrust側

３．Netscreenとインターネット回線を接続します。
NetscreenのUntrust側をADSLモデムやBフレッツのONUと接続します。

４．PCの設定
DHCPでIPアドレスを自動取得する設定にし、NetscreenからIPの割り当てを受けます。
※恐らく192.168.1.0/24のIPアドレスが割り振られる
※デフォルトゲートウェイが192.168.1.1になっているか確認。

５．Netscreenへのアクセス
http://192.168.1.1　へブラウザを通じてアクセスする。

６．ログイン
ユーザ名:netscreen
password:netscreen

23:06 │コメント(0)

2006年05月28日

Trust（LAN）側の設定

LAN側インターフェースの設定をします。
IPアドレスを変更する場合には、設定変更後に再ログインが必要です。また、場合によっては端末のIPアドレスを変更する必要があります。

【設定方法】
①サイドメニューから Network > Interfaces を開く
②インターフェースの一覧が表示される。→「Name」が「trust」の「Configure」を「Edit」（クリック）
③trustインターフェースの画面が表示される。→IP Address / Netmask　を設定する。

④OKを押すと、設定完了

【オプションの設定】
①ManageIP
・ManageIPを設定すると、管理用のIPが割り振られ、このIP
で管理者は管理する。（設定しなくてよいでしょう）
②Interface Mode
「NAT」にする。（Routeでもよいが、NATの方が用途が広がる）
③Service Options　
最低限WebUIとTelnet、Pingを許可しておこう。WebUIによりブラウザによる設定が可能になる。Telnetはコマンドからしかでない処理をするときに便利。Pingは通信の切り分けに便利。

23:31 │コメント(0)

2006年05月27日

Tunnelインターフェースの作成　１

Tunnelインターフェースの設定をします。この設定により、一つの物理インターフェースに対して複数の仮想インターフェースを作成できます。

この設定は必須ではありません。ただ、多拠点とVPN通信をする際にはとても便利です。（このサイトでは、Tunnelインターフェースを作成する設定をご紹介してます。）

【設定方法】
①サイドメニューから Network > Interfaces を開く
②インターフェースの一覧が表示される。→右上のプルダウンボックスが「Tunnel IF」となっていることを確認した上で
その左の「New」ボタンを押す。
③Tunnelインターフェースの画面が表示される。→Fixed IPを設定する。それ以外の設定はデフォルトのまま。

仮想IPアドレスなので、何でもいいのですが、次の条件を守ってください。
（ア）プライベートIPアドレスとすること
（イ）他のインターフェースと重複しないセグメントにすること
（ウ）対抗のTunnelインターフェースIPアドレスと同一セグメントにすること
例えば、このNetscreenのTunnelIPを10.10.1.1/30、対抗のNetscreenのTunnelIPは10.10.1.2/30
④OKを押すと、設定完了

10:00 │コメント(0)

Tunnelインターフェースの作成　２

Tunnelインターフェースが作成された画面です。

tunnel-if

09:00 │コメント(0)

2006年05月25日

Untrust側の設定

PPPoEで接続する場合が多いと思います。その場合は以下を参考にしてください。
http://www.viva-netscreen.net/archives/cat_50018634.html

Untrust側の補足説明をします。
untrust2

①Managed IP
管理者用のIPアドレス設定ができます。
実際のIPアドレスと管理用のIPアドレスを分ける場合に使います。

①Interface Mode
NATでもRouteでもどちらでもよいです。
NATの場合はNAPTするので、通常はこちらでしょう。
Routeの場合でも、Policyの設定でNATできます。よってどちらでも同じ利用方法ができます。

②Service Opitons
untrust側は基本的にすべて禁止してください。
使うとしてもPing試験など用に一時的にONにする程度でしょう。

06:45 │コメント(0)

2006年05月24日

Phase１の設定

①VPNs > AutoKey Advanced > Gateway　で「new」を押す

gateway

②Gateway Name　を入力（わかりやすい名で）
③Static IP Address　に対地にグローバルIPアドレスを入力する
④Preshared Keyを入力する。（対地とあわせる）
⑤Outgoing Interfaceは「untrust」であることを確認
⑥OKで設定完了

※Advancedにより様々な設定を行うことが出来るが、
ここでは割愛する（別途記載します。）

23:52 │コメント(0)

2006年05月23日

Phase2の設定

①VPNs > AutoKey IKE　で「new」を押す

vpn

②VPN Name を適切に設定
③Remote Gateway　は先ほど作成したもの（今回は「GW」）を選択

続く

23:56 │コメント(0)

2006年05月22日

Phase2の設定（続き）

phase2

⑤「Bind to」「Tunnel Interface」を先ほど作成した
Tunnnelインターフェースにする。
⑥「Return」
⑦「OK」で完了

【参考：パラメータ詳細】
G2（Diffe-Hellman Group2）：かぎ交換の仕組み
Nopfs（No Perfect Forwarding Secrecy）： Phase1のkeyをPhase2で利用する。
Des（Data Encryption Standard）：共通鍵暗号方式の標準
3des（Triple-DES）：DESの強化版
Aes（Advanced Encryption Standard）：3DESよりはるかに強固。
Md5（Message Digest version5）：メッセージダイジェスト128ビット
Sha-1（Secure Hash Algorithm1）：メッセージダイジェスト160ビット
Esp（Encapsulating Security Payload）：暗号化の方式。他にAHがある

00:01 │コメント(0)

次のページへ