Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

NAT-Tを使用したルートベースVPNおよびポリシーベースVPN

Network Address Translation-Traversal(NAT-T)は、IPsecで保護されたデータが、アドレス変換のためにNATで設定されたデバイスを通過する際に発生するIPアドレス変換関連の問題を管理するために使用される方法です。

NAT-Tについて

ネットワーク アドレス変換トラバーサル(NAT-T)とは、IPsec で保護されたデータがアドレス変換のために NAT デバイスを通過する際に発生する IP アドレス変換の問題を回避するための手法です。NAT の機能である IP アドレッシングの変更があった場合、IKE はパケットを破棄します。NAT-Tは、フェーズ1交換時にデータパスに沿って1つ以上のNATデバイスを検出した後、IPsecパケットにユーザーデータグラムプロトコル(UDP)カプセル化のレイヤーを追加し、アドレス変換後のパケットが廃棄されないようにします。NAT-T は、IKE と ESP の両方のトラフィックを UDP 内でカプセル化し、ポート 4500 を送信元と宛先の両方のポートとして使用します。NAT デバイスは古くなった UDP 変換を期限切れにするため、ピア間でキープアライブ メッセージが必要になります。

NAT-Tはデフォルトで有効化されているため、NAT-Tを無効にするには、階[edit security ike gateway gateway-name層レベルでステートno-nat-traversalメントを使用する必要があります。

NATには2つの大きなカテゴリーがあります。

  • 静的NATでは、プライベートアドレスとパブリックアドレスの間に1対1の関係があります。静的NATは、インバウンドとアウトバウンドの双方向で動作します。

  • 動的NATでは、プライベートアドレスとパブリックアドレスの間に多対1または多対多の関係があります。動的NATは、アウトバウンドの方向のみで動作します。

NAT デバイスの位置は、以下のようにできます。

  • IKEv1 または IKEv2 開始側のみが NAT デバイスの背後にあります。複数の開始側を別個の NAT デバイスの背後に置くことができます。開始側は、複数の NAT デバイスを介して応答側に接続することもできます。

  • IKEv1 または IKEv2 応答側のみが NAT デバイスの背後にあります。

  • IKEv1 または IKEv2 開始側と応答側の両方が NAT デバイスの後ろにあります。

動的エンドポイントVPNは、開始側のIKE外部アドレスが固定されておらず、応答側がそのアドレスを知らない状況に対応できます。これは、開始側のアドレスがISPによって動的に割り当てられたり、動的アドレスのプールからアドレスを割り当てる動的NATデバイスを開始側の接続が超えたりする場合に発生する可能性があります。

応答側のみがNATデバイスの背後にあるトポロジーと、開始側と応答側の双方がNATデバイスの背後にあるトポロジーについて、NAT-Tの設定例を提供します。NAT-TのサイトツーサイトIKEゲートウェイ設定は、開始側と応答側の双方でサポートされます。リモートIKE IDは、IKEトンネルネゴシエーションのフェーズ1の際にピアのローカルIKE IDを検証するのに利用されます。開始側と応答側の双方で、local-identityおよびremote-identityの設定が必要です。

SRX5400、SRX5600とSRX5800デバイスでは、IPsec NAT-Tトンネルのスケーリングと維持問題は次のようになります。

  • ある特定のプライベートIPアドレスにおいて、NATデバイスは500と4500のプライベートポートの双方を同じパブリックIPアドレスに変換するはずです。

  • 特定のパブリックな変換されたIPからのトンネルは合計1000個を超えることができません。

Junos OS Release 19.2R1以降では、NAT-T向けPowerMode IPSec(PMI)に対応するのは、SRX5K-SPC3サービスプロセシングカード(SPC)を搭載したSRX5400、SRX5600、SRX5800デバイスまたはvSRX仮想ファイアウォールのみです。

例:NATデバイスの背後にあるレスポンダを使用したルートベースVPNの構成

この例では、支社と本社間のNATデバイスの背後にレスポンダを使用したルートベースのVPNを設定する方法を示します。

要件

始める前に、IPsec の概要を読んでください。

概要

この例では、ルートベースのVPNを設定します。Host1は、VPNを使用して、SRX2で本社に接続します。

図 1は、NATデバイスの背後にあるレスポンダのみを使用したルートベースVPNのトポロジーの例を示しています。

図 1: NATデバイスの背後にあるレスポンダのみを使用したルートベースVPNのトポロジーNATデバイスの背後にあるレスポンダのみを使用したルートベースVPNのトポロジー

この例では、SRX1のイニシエータとSRX2のレスポンダの両方に対し、インターフェイス、IPsec、セキュリティポリシーを設定します。次に、IKEのフェーズ1およびIPsecのフェーズ2のパラメーターを設定します。

SRX1は、パケットを宛先アドレス172.16.21.1で送信し、VPNを確立します。NATデバイスは宛先アドレスを10.1.31.1に変換します。

例でイニシエーターに使用する固有の設定パラメーターについては、表 1表 3を参照してください。

表 1: SRX1のインターフェイス、ルーティングオプション、セキュリティパラメータ

機能

お名前

設定パラメータ

インターフェイス

ge-0/0/1

172.16.11.1/24

 

ge-0/0/0

10.1.11.1/24

 

st0.0(トンネルインターフェイス)

10.1.100.1/24

静的ルート

10.1.21.0/24

ネクストホップはst0.0です。

 

172.16.21.1/32

ネクストホップは172.16.11.2です。

セキュリティ ゾーン

untrust

  • IKEおよびpingのシステムサービス

  • ge-0/0/1.0とst0.0インターフェイスはこのゾーンにバインドされています。

 

trust

  • すべてのシステムサービスを許可します。

  • すべてのプロトコルを許可します。

  • ge-0/0/0.0インターフェイスは、このゾーンにバインドされています。

セキュリティ ポリシー

to-SRX2

trustゾーンの10.1.11.0/24からuntrustゾーンの10.1.21.0/24へのトラフィックを許可します。

from-SRX2

アントラストゾーンの10.1.21.0/24からトラストゾーンの10.1.11.0/24へのトラフィックを許可します。

表 2: SRX1のIKEフェーズ1設定パラメータ

機能

お名前

設定パラメータ

プロポーザル

ike_prop

  • 認証方法:pre-shared-keys

  • Diffie-Hellmanグループ:group2

  • 認証アルゴリズム:sha1

  • 暗号化アルゴリズム3des-cbc

ポリシー

ike_pol

  • モード:メイン

  • プロポーザル リファレンス:ike_prop

  • IKEフェーズ1ポリシー認証方法:pre-shared-key ascii-text

ゲートウェイ

gw1

  • IKE ポリシーの参照:ike_pol

  • 外部インターフェイス:ge-0/0/1.0

  • ゲートウェイ アドレス:172.16.21.1

  • ローカルピア(イニシエーター):branch_natt1@example.net

  • リモートピア(レスポンダー):responder_natt1@example.net

表 3: SRX1のIPsecフェーズ2設定パラメータ

機能

お名前

設定パラメータ

プロポーザル

ipsec_prop

  • プロトコル:esp

  • 認証アルゴリズム:hmac-sha1-96

  • 暗号化アルゴリズム3des-cbc

ポリシー

ipsec_pol

  • プロポーザル リファレンス:ipsec_prop

  • 完全転送機密保持(PFS)キーgroup2

VPN

vpn1

  • IKEゲートウェイ リファレンス:gw1

  • IPsecポリシー リファレンス:ipsec_pol

  • インターフェイスへのバインド:st0.0

  • トンネルを即時確立

この例のレスポンダーで使われた特定の設定パラメーターについては、表 4表 6 をご覧ください。

表 4: SRX2のインターフェイス、ルーティングオプション、セキュリティパラメータ

機能

お名前

設定パラメータ

インターフェイス

ge-0/0/1

10.1.31.1/24

 

ge-0/0/0

10.1.21.1/24

 

st0.0(トンネルインターフェイス)

10.1.100.2/24

静的ルート

172.16.11.1/32

ネクストホップは10.1.31.2です。

 

10.1.11.0/24

ネクストホップはst0.0です。

セキュリティ ゾーン

untrust

  • IKEとpingシステムサービスを許可します。

  • ge-0/0/1.0とst0.0インターフェイスはこのゾーンにバインドされています。

 

trust

  • すべてのシステムサービスを許可します。

    すべてのプロトコルを許可します。

  • ge-0/0/0.0インターフェイスは、このゾーンにバインドされています。

セキュリティ ポリシー

to-SRX1

トラストゾーンの10.1.21.0/24からアントラストゾーンの10.1.11.0/24へのトラフィックを許可します。

from-SRX1

untrustゾーンの10.1.11.0/24からtrustゾーンの10.1.21.0/24へのトラフィックを許可します。

表 5: SRX2用のIKEフェーズ1設定パラメータ

機能

お名前

設定パラメータ

プロポーザル

ike_prop

  • 認証方法:pre-shared-keys

  • Diffie-Hellmanグループ:group2

  • 認証アルゴリズム:sha1

  • 暗号化アルゴリズム3des-cbc

ポリシー

ike_pol

  • モード:メイン

  • プロポーザル リファレンス:ike_prop

  • IKEフェーズ1ポリシー認証方法:pre-shared-key ascii-text

ゲートウェイ

gw1

  • IKE ポリシーの参照:ike_pol

  • 外部インターフェイス:ge-0/0/1.0

  • ゲートウェイ アドレス:172.16.11.1

  • ローカルピア(レスポンダー):responder_natt1@example.net

  • リモートピア(イニシエーター):branch_natt1@example.net

表 6: SRX2のIPsecフェーズ2設定パラメータ

機能

お名前

設定パラメータ

プロポーザル

ipsec_prop

  • プロトコル:esp

  • 認証アルゴリズム:hmac-sha1-96

  • 暗号化アルゴリズム3des-cbc

ポリシー

ipsec_pol

  • プロポーザル リファレンス:ipsec_prop

  • PFSキー:group2

VPN

vpn1

  • IKEゲートウェイ リファレンス:gw1

  • IPsecポリシー リファレンス:ipsec_pol

  • インターフェイスへのバインド:st0.0

  • トンネルを即時確立

設定

SRX1のインターフェイス、ルーティングオプション、セキュリティパラメータの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

インターフェイス、静的ルート、およびセキュリティパラメータを設定するには:

  1. VPNに使用されるインターネット、Host1、インターフェイスに接続するインターフェイスを設定します。

  2. VPNを使用するトラフィックとSRX1の静的ルートを設定して、NATデバイスにつなげます。

  3. untrustセキュリティ ゾーンを設定します。

  4. trustセキュリティ ゾーンを設定します。

  5. セキュリティポリシーで使用されるネットワークのアドレス帳を設定します。

  6. セキュリティポリシーを設定して、ホスト間のトラフィックを許可します。

結果

構成モードから、show interfacesshow routing-options、およびshow securityの各コマンドを入力し、構成を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

SRX1のIKEの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IKEを設定するには、次の手順に従います。

  1. IKEフェーズ1のプロポーザルを作成します。

  2. IKEポリシー1のポリシーを作成します。

  3. IKEフェーズ1ゲートウェイパラメータを設定します。ゲートウェイアドレスはNATデバイスのIPである必要があります。

結果

設定モードから、show security ikeコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

SRX1のIPsecの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IPsecを設定するには、次の手順に従います。

  1. IPsecフェーズ2のプロポーザルを作成します。

  2. IPsecフェーズ2のポリシーを作成します。

  3. IPSec VPNパラメータを設定します

結果

設定モードから、show security ipsecコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

SRX2のインターフェイス、ルーティングオプション、セキュリティパラメータの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

インターフェイス、静的ルート、およびセキュリティパラメータを設定するには:

  1. VPNに使用されるインターネット、Host2、インターフェイスに接続するインターフェイスを設定します。

  2. VPNを使用するトラフィックとSRX2の静的ルートを設定してSRX1に到達します。

  3. untrustセキュリティ ゾーンを設定します。

  4. trustセキュリティ ゾーンを設定します。

  5. セキュリティポリシーで使用されるネットワークのアドレス帳を設定します。

  6. セキュリティポリシーを設定して、ホスト間のトラフィックを許可します。

結果

構成モードから、、、およびの各コマshow interfacesshow routing-optionsドを入力show securityし、構成を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

SRX2のIKEの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IKEを設定するには、次の手順に従います。

  1. IKEフェーズ1のプロポーザルを作成します。

  2. IKEポリシー1のポリシーを作成します。

  3. IKEフェーズ1ゲートウェイパラメータを設定します。ゲートウェイアドレスはSRX1のIPである必要があります。

結果

設定モードから、show security ikeコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

SRX2のIPsecの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IPsecを設定するには、次の手順に従います。

  1. IPsecフェーズ2のプロポーザルを作成します。

  2. IPsecフェーズ2のポリシーを作成します。

  3. IPSec VPNパラメータを設定します

結果

設定モードから、show security ipsecコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

NATデバイスの設定

CLIクイック構成

この例では、静的NATを使用します。静的NATは双方向性です。つまり、10.1.31.1から172.16.11.1へのトラフィックも同じNAT設定を使用します。

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

SRX1のIKEフェーズ1のステータスの確認

目的

IKEフェーズ1ステータスを確認します。

アクション

動作モードからshow security ike security-associationsコマンドを入力します。より詳細な出力には、show security ike security-associations detailコマンドを使用します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、次の情報を確認します。

  • インデックス—この値は、各IKE SAに固有のもので、show security ike security-associations index detail コマンドで使用すると、SAの詳細な情報を得ることができます。

  • リモートアドレス—リモートIPアドレスが正しく、ポート4500がピアツーピア通信に使用されていることを確認します。NAT-Tは、ポート4500でUDP内のIKEとESトラフィックの両方をカプセル化することを忘れないでください。

  • ロールイニシエータの状態

    • Up—フェーズ1SAが確立されています。

    • Down - フェーズ 1 SA の確立に問題がありました。

    • IPsec SAペアの両ピアが、ポート4500を使用しています。

    • ピアIKE ID—リモートアドレスが正しいかを確認します。

    • ローカルIDとリモートID—これらが正しいことを確認します。

  • Mode:正しいモードが使用されていることを確認してください。

設定で以下が適切か検証します。

  • 外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)

  • IKEポリシー パラメータ

  • 事前共有鍵情報

  • フェーズ1のプロポーザルパラメーター(両ピアで一致する必要があります)

show security ike security-associationsコマンドは、セキュリティアソシエーションに関する以下に示す追加情報を一覧表示します。

  • 使用している認証および暗号化アルゴリズム

  • フェーズ1のライフタイム

  • トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。

  • イニシエータとレスポンダの情報

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

SRX1のIPsecセキュリティアソシエーションの確認

目的

IPsecステータスを検証します。

アクション

動作モードからshow security ipsec security-associationsコマンドを入力します。より詳細な出力には、show security ipsec security-associations detailコマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。

  • リモートゲートウェイには172.16.21.1のアドレスがあります。

  • IPsec SAペアの両ピアが、ポート4500を使用しています。

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。2160/unlim値は、フェーズ2の有効期間が2160秒で切れ、ライフサイズが指定されていないことを示します。これは、無制限であることを示します。フェーズ2のライフタイムは フェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しなくなるからです。

  • 月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。

  • 仮想システム(vsys)はルート システムであり、常に0が表示されます。

SRX2のIKEフェーズ1のステータスの確認

目的

IKEフェーズ1ステータスを確認します。

アクション

動作モードからshow security ike security-associationsコマンドを入力します。より詳細な出力には、show security ike security-associations detailコマンドを使用します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、次の情報を確認します。

  • インデックス—この値は、各IKE SAに固有のもので、show security ike security-associations detail コマンドで使用すると、SAの詳細な情報を得ることができます。

  • リモートアドレス—リモートIPアドレスが正しく、ポート4500がピアツーピア通信に使用されていることを確認します。

  • ロールレスポンダーの状態

    • UP:フェーズ1 SAが確立されました。

    • Down - フェーズ 1 SA の確立に問題がありました。

    • Peer IKE ID:アドレスが正しいことを確認してください。

    • ローカルIDおよびリモートID:これらのアドレスが正しいことを確認してください。

  • Mode:正しいモードが使用されていることを確認してください。

設定で以下が適切か検証します。

  • 外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)

  • IKEポリシー パラメータ

  • 事前共有鍵情報

  • フェーズ1のプロポーザルパラメーター(両ピアで一致する必要があります)

show security ike security-associationsコマンドは、セキュリティアソシエーションに関する以下に示す追加情報を一覧表示します。

  • 使用している認証および暗号化アルゴリズム

  • フェーズ1のライフタイム

  • トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。

  • イニシエータとレスポンダの情報

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

SRX2のIPsecセキュリティアソシエーションの確認

目的

IPsecステータスを検証します。

アクション

動作モードからshow security ipsec security-associationsコマンドを入力します。より詳細な出力には、show security ipsec security-associations detailコマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。

  • リモートゲートウェイには172.16.11.1のIPアドレスがあります。

  • IPsec SAペアの両ピアが、ポート4500を使用しています。

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。1562/unlim値は、フェーズ2の有効期間が1562秒であり、ライフサイズが指定されていないことを示しており、無制限であることを示しています。フェーズ2のライフタイムは フェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しなくなるからです。

  • 月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。

  • 仮想システム(vsys)はルート システムであり、常に0が表示されます。

show security ipsec security-associations index index_iddetailコマンドからの出力には、次の情報が表示されます。

  • ローカル アイデンティティとリモート アイデンティティにより、SAのプロキシIDが構成されます。

    プロキシIDの不一致は、フェーズ2の失敗で最もよくある原因の1つです。IPsec SAがリストにない場合、プロキシID設定を含むフェーズ2のプロポーザルが両方のピアで正しいことを確認します。ルートベースVPNの場合、デフォルトのプロキシIDは、ローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、サービス = anyです。同じピアIPからの複数のルートベースVPNで問題が発生する可能性があります。この場合、各IPsec SAに固有のプロキシIDを指定する必要があります。一部のサードパーティー ベンダーでは、プロキシIDを手動で入力して照合する必要があります。

  • フェーズ2の失敗でよくある理由のもう1つに、STインターフェイスのバインディングが指定されていないことがあります。IPsecを完了できない場合は、kmdログを確認するか、トレース オプションを設定します。

ホスト間の到達の可能性の確認

目的

Host1がHost2に到達できることを確認します。

アクション

Host1からHost2にpingを実行します。トラフィックがVPNを使用しているか確認するには、SRX1でコマンドshow security ipsec statisticsを使用します。pingを実行する前に、コマンドclear security ipsec statisticsを使用して、統計データをクリアします。

意味

この出力は、Host1がHost2にpingを実行できること、トラフィックがVPNを使用していることを示しています。

例:NAT デバイスの背後にイニシエーターとレスポンダーの両方を備えたポリシーベースの VPN を設定します

この例では、NAT デバイスの背後にイニシエーターとレスポンダーの両方を備えたポリシーベースのVPNを設定し、支社と本社の間で安全にデータを伝送する方法をご紹介します。

要件

始める前に、IPsec の概要を読んでください。

概要

この例では、イリノイ州シカゴにある支社においてポリシー ベースの VPN を設定します。トンネル リソースを節約しながら、VPN トラフィックをきめ細かく制限することを目標とします。支店のユーザーは、この VPN を使用してカリフォルニア州サニーベールの本社と接続します。

この例では、イニシエーターとレスポンダーの両方に対して、インターフェイス、ルーティング オプション、セキュリティ ゾーン、セキュリティー ポリシーを設定します。

図 2 は、静的 NAT デバイスの背後にイニシエータとレスポンダーの両方を備えたVPNのトポロジーの例を示します。

図 2: NATデバイスの背後にイニシエーターとレスポンダーの両方を備えたポリシーベースのVPNトポロジーNATデバイスの背後にイニシエーターとレスポンダーの両方を備えたポリシーベースのVPNトポロジー

この例では、インターフェイス、IPv4 デフォルト ルート、およびセキュリティ ゾーンを構成します。次に、ローカルピアとリモートピアを含めたIKEフェーズ1、IPsecフェーズ2、そしてセキュリティポリシー を設定します。なお、上記の例では、レスポンダーのプライベート IP アドレス 13.168.11.1 は静的 NAT デバイスによって非表示にされ、パブリック IP アドレス 1.1.100.1 にマップされています。

例でイニシエーターに使用する固有の設定パラメーターについては、表 7表 10を参照してください。

表 7: イニシエーター向けインターフェイス、ルーティング オプション、セキュリティ ゾーンの設定パラメーター

機能

お名前

設定パラメータ

インターフェイス

ge-0/0/0

12.168.99.100/24

 

ge-0/0/1

10.1.99.1/24

静的ルート

10.2.99.0/24(デフォルト ルート)

ネクスト ホップは 12.168.99.100 です。

 

1.1.100.0/24

12.168.99.100

セキュリティ ゾーン

trust

  • すべてのシステム サービスが許可されます。

  • すべてのプロトコルが許可されます。

  • ge-0/0/1.0 インターフェイスは、このゾーンにバインドされています。

 

untrust

  • ge-0/0/0.0インターフェイスは、このゾーンにバインドされています。

表 8: イニシエーターのIKEフェーズ1の設定パラメーター

機能

お名前

設定パラメータ

プロポーザル

ike_prop

  • 認証方法:pre-shared-keys

  • Diffie-Hellmanグループ:group2

  • 認証アルゴリズム:md5

  • 暗号化アルゴリズム3des-cbc

ポリシー

ike_pol

  • モード:メイン

  • プロポーザル リファレンス:ike_prop

  • IKEフェーズ1ポリシー認証方法:pre-shared-key ascii-text

ゲートウェイ

gate

  • IKE ポリシーの参照:ike_pol

  • 外部インターフェイス:ge-0/0/1.0

  • ゲートウェイ アドレス:1.1.100.23

  • ローカル ピアのホスト名は chicago

  • リモート ピアのホスト名は sunnyvale

表 9: イニシエーターのIPsecフェーズ2の設定パラメーター

機能

お名前

設定パラメータ

プロポーザル

ipsec_prop

  • プロトコル:esp

  • 認証アルゴリズム:hmac-md5-96

  • 暗号化アルゴリズム3des-cbc

ポリシー

ipsec_pol

  • プロポーザル リファレンス:ipsec_prop

  • Perfect Forward Secrecy(PFS):group1

VPN

first_vpn

  • IKEゲートウェイ リファレンス:gate

  • IPsecポリシー リファレンス:ipsec_pol

表 10: イニシエーター向けセキュリティ ポリシーの設定パラメーター

目的

お名前

設定パラメータ

セキュリティポリシーによって、 trustゾーンからuntrustゾーンへのトンネルトラフィックを許可します。

pol1

  • 一致する条件:

    • source-address any

    • destination-address any

    • application any

  • アクション:permit tunnel ipsec-vpn first_vpn

セキュリティポリシーによって、untrustゾーンからtrustゾーンへのトンネルトラフィックを許可します。

pol1

  • 一致する条件:

    • application any

  • アクション:permit tunnel ipsec-vpn first_vpn

この例のレスポンダーで使われた特定の設定パラメーターについては、表 11表 14 をご覧ください。

表 11: レスポンダー向けインターフェイス、ルーティング オプション、セキュリティ ゾーンの設定パラメーター

機能

お名前

設定パラメータ

インターフェイス

ge-0/0/0

13.168.11.100/24

 

ge-0/0/1

10.2.99.1/24

静的ルート

10.1.99.0/24(デフォルト ルート)

ネクスト ホップは 13.168.11.100 です。

 

1.1.100.0/24

13.168.11.100

セキュリティ ゾーン

trust

  • すべてのシステム サービスが許可されます。

  • すべてのプロトコルが許可されます。

  • ge-0/0/1.0 インターフェイスは、このゾーンにバインドされています。

 

untrust

  • ge-0/0/0.0インターフェイスは、このゾーンにバインドされています。

表 12: レスポンダーのIKEフェーズ1設定パラメーター

機能

お名前

設定パラメータ

プロポーザル

ike_prop

  • 認証方法:pre-shared-keys

  • Diffie-Hellmanグループ:group2

  • 認証アルゴリズム:md5

  • 暗号化アルゴリズム3des-cbc

ポリシー

ike_pol

  • モード:メイン

  • プロポーザル リファレンス:ike_prop

  • IKEフェーズ1ポリシー認証方法:pre-shared-key ascii-text

ゲートウェイ

gate

  • IKE ポリシーの参照:ike_pol

  • 外部インターフェイス:ge-0/0/1.0

  • ゲートウェイ アドレス:1.1.100.22

  • 常にデッドピア検出を送信

  • ローカル ピアのホスト名は sunnyvale

  • リモート ピアのホスト名は chicago

表 13: レスポンダー用IPsecフェーズ2設定パラメーター

機能

お名前

設定パラメータ

プロポーザル

ipsec_prop

  • プロトコル:esp

  • 認証アルゴリズム:hmac-md5-96

  • 暗号化アルゴリズム3des-cbc

ポリシー

ipsec_pol

  • プロポーザル リファレンス:ipsec_prop

  • Perfect Forward Secrecy(PFS):group1

VPN

first_vpn

  • IKEゲートウェイ リファレンス:gate

  • IPsecポリシー リファレンス:ipsec_pol

表 14: レスポンダー向けセキュリティ ポリシーの設定パラメーター

目的

お名前

設定パラメータ

セキュリティポリシーによって、 trustゾーンからuntrustゾーンへのトンネルトラフィックを許可します。

pol1

  • 一致する条件:

    • source-address any

    • destination-address any

    • application any

  • アクション:permit tunnel ipsec-vpn first_vpn

セキュリティポリシーによって、untrustゾーンからtrustゾーンへのトンネルトラフィックを許可します。

pol1

  • 一致する条件:

    • application any

  • アクション:permit tunnel ipsec-vpn first_vpn

設定

イニシエーターのインターフェイス、ルーティング オプション、セキュリティ ゾーンの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

インターフェイス、静的ルート、セキュリティゾーンの設定方法:

  1. イーサネット インターフェイス情報を設定します。

  2. 静的ルートの情報を設定します。

  3. trustセキュリティ ゾーンを設定します。

  4. trustセキュリティ ゾーンにインターフェイスを割り当てます。

  5. trust セキュリティ ゾーンのシステム サービスを指定します。

  6. untrust セキュリティ ゾーンにインターフェイスを割り当てます。

結果

設定モードで、show interfacesshow routing-optionsshow security zones コマンドを入力して設定を確認します。出力に目的の設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

イニシエーターのIKE設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IKEを設定するには、次の手順に従います。

  1. IKEフェーズ1のプロポーザルを作成します。

  2. IKEプロポーザルの認証方法を定義します。

  3. IKEプロポーザルのDiffie-hellmanグループを定義します。

  4. IKEプロポーザルの認証アルゴリズムを定義します。

  5. IKEプロポーザルの暗号化アルゴリズムを定義します。

  6. IKEポリシー1のポリシーを作成します。

  7. IKEフェーズ1ポリシーモードを設定します。

  8. IKEプロポーザルへのリファレンスを指定します。

  9. IKEフェーズ1ポリシー認認証方法を定義します。

  10. IKE フェーズ 1 ゲートウェイを作成し、その外部インターフェイスを定義します。

  11. IKE フェーズ 1 ゲートウェイのアドレスを作成します。

  12. IKEフェーズ1のポリシーリファレンスを定義します。

  13. local-identity でローカル ピアを設定します。

結果

設定モードから、show security ikeコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

イニシエーターのIPsecの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IPsecを設定するには、次の手順に従います。

  1. IPsecフェーズ2のプロポーザルを作成します。

  2. IPsecフェーズ2のプロポーザルプロトコルを指定します。

  3. IPsecフェーズ2のプロポーザル認証アルゴリズムを指定します。

  4. IPsecフェーズ2のプロポーザルの暗号化アルゴリズムを指定します。

  5. IPsecフェーズ2のプロポーザルリファレンスを指定します。

  6. Perfect Forward Secrecy(PFS)グループ1を使用するため、IPsecフェーズ2を指定します。

  7. IKEゲートウェイを指定します。

  8. IPsecフェーズ2ポリシーを指定します。

結果

設定モードから、show security ipsecコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

イニシエーターのセキュリティポリシーの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

セキュリティ ポリシーを設定するには、次の手順に従います。

  1. trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを作成します。

  2. untrust ゾーンから trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

結果

設定モードから、show security policiesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

イニシエーターのNATの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

NAT を提供するイニシエーターの設定方法:

  1. インターフェイスを設定します。

  2. ゾーンを設定します。

  3. NATを設定します。

  4. デフォルトのセキュリティポリシーを設定します。

  5. ルーティング オプションを設定します。

結果

設定モードから、show security natコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

レスポンダーのインターフェイス、ルーティングオプション、セキュリティゾーンの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

インターフェイス、静的ルート、セキュリティ ゾーン、セキュリティ ポリシーの設定手順:

  1. イーサネット インターフェイス情報を設定します。

  2. 静的ルートの情報を設定します。

  3. untrust セキュリティ ゾーンにインターフェイスを割り当てます。

  4. trustセキュリティ ゾーンを設定します。

  5. trustセキュリティ ゾーンにインターフェイスを割り当てます。

  6. trustセキュリティ ゾーンで許可されたシステム サービスを指定します。

結果

コンフィギュレーションモードから、show interfacesshow routing-options、、およびの各コマshow security zonesンドを入力し、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

レスポンダのIKE設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IKEを設定するには、次の手順に従います。

  1. IKEプロポーザルの認証方法を定義します。

  2. IKEプロポーザルのDiffie-hellmanグループを定義します。

  3. IKEプロポーザルの認証アルゴリズムを定義します。

  4. IKEプロポーザルの暗号化アルゴリズムを定義します。

  5. IKEポリシー1のポリシーを作成します。

  6. IKEフェーズ1ポリシーモードを設定します。

  7. IKEプロポーザルへのリファレンスを指定します。

  8. IKEフェーズ1ポリシー認認証方法を定義します。

  9. IKE フェーズ 1 ゲートウェイを作成し、その動的なホスト名を定義します。

  10. IKE フェーズ 1 ゲートウェイを作成し、その外部インターフェイスを定義します。

  11. IKEフェーズ1のポリシーリファレンスを定義します。

結果

設定モードから、show security ikeコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

レスポンダのIPsecの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IPsecを設定するには、次の手順に従います。

  1. IPsecフェーズ2のプロポーザルを作成します。

  2. IPsecフェーズ2のプロポーザルプロトコルを指定します。

  3. IPsecフェーズ2のプロポーザル認証アルゴリズムを指定します。

  4. IPsecフェーズ2のプロポーザルの暗号化アルゴリズムを指定します。

  5. IPsecフェーズ2のポリシーを作成します。

  6. Perfect Forward Secrecy(PFS)グループ1を使用するため、IPsecフェーズ2を設定します。

  7. IPsecフェーズ2のプロポーザルリファレンスを指定します。

  8. IKEゲートウェイを指定します。

  9. IPsecフェーズ2ポリシーを指定します。

結果

設定モードから、show security ipsecコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

レスポンダーのセキュリティ ポリシーの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

セキュリティ ポリシーを設定するには、次の手順に従います。

  1. trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを作成します。

  2. untrust ゾーンから trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

結果

設定モードから、show security policiesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

レスポンダーの NAT の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

NATを提供するレスポンダーを設定するには

  1. インターフェイスを設定します。

  2. ゾーンを設定します。

  3. NATを設定します。

  4. デフォルトのセキュリティポリシーを設定します。

  5. ルーティング オプションを設定します。

結果

設定モードから、show security natコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

イニシエーターのIKEフェーズ1ステータスの確認

目的

IKEフェーズ1ステータスを確認します。

アクション

確認プロセスを開始する前に、10.1.99.0ネットワーク内のホストから10.2.99.0ネットワーク内のホストにトラフィックを送信する必要があります。ルートベースVPNでは、SRXシリーズデバイスからトンネルを通してトラフィックを開始できます。IPsecトンネルをテストする場合は、VPNの片側にあるデバイスからVPNの別の側にある第2デバイスにテスト トラフィックを送信することをお勧めします。例えば、10.1.99.2 から 10.2.99.2 に ping 操作を開始します。

動作モードからshow security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations index index_number detailコマンドを使用します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、次の情報を確認します。

  • インデックス—この値は、各IKE SAに固有のもので、show security ike security-associations index detail コマンドで使用すると、SAの詳細な情報を得ることができます。

  • リモートアドレス—リモートIPアドレスが正しく、ポート4500がピアツーピア通信に使用されていることを確認します。

  • ロールイニシエータの状態

    • UP:フェーズ1 SAが確立されました。

    • Down - フェーズ 1 SA の確立に問題がありました。

    • IPsec SAペアの両方のピアがポート番号4500を使用しています。これはNAT-Tが実装されたことを示しています。(NAT-T は、ポート番号4500または他のランダムな大きな番号のポートを使用します)。

    • Peer IKE ID—リモート(レスポンダー)ID が正しいことを確認します。この例のホスト名はsunnyvaleです。

    • ローカルIDとリモートID—これらが正しいことを確認します。

  • Mode:正しいモードが使用されていることを確認してください。

設定で以下が適切か検証します。

  • 外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)

  • IKEポリシー パラメータ

  • 事前共有鍵情報

  • フェーズ1のプロポーザルパラメーター(両ピアで一致する必要があります)

show security ike security-associationsコマンドは、セキュリティアソシエーションに関する以下に示す追加情報を一覧表示します。

  • 使用している認証および暗号化アルゴリズム

  • フェーズ1のライフタイム

  • トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。

  • イニシエータとレスポンダの情報

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

イニシエーターのIPsecセキュリティ関連付けの確認

目的

IPsecステータスを検証します。

アクション

動作モードからshow security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations index index_number detailコマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。

  • リモートゲートウェイのNATアドレスは13.168.11.100です。

  • IPsec SAペアの両方のピアがポート番号4500を使用しています。これはNAT-Tが実装されたことを示しています。(NAT-T は、ポート番号 4500 または他のランダムな大きな番号のポートを使用します)。

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。3390/ unlimited という値は、フェーズ2のライフタイムの有効期限は3390秒であり、ライフサイズは指定されていないため、無制限であることを示しています。フェーズ2のライフタイムは フェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しなくなるからです。

  • 月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。

  • 仮想システム(vsys)はルート システムであり、常に0が表示されます。

レスポンダーのIKEフェーズ1ステータスの確認

目的

IKEフェーズ1ステータスを確認します。

アクション

動作モードからshow security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations index index_number detailコマンドを使用します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、次の情報を確認します。

  • インデックス—この値は、各IKE SAに固有のもので、show security ike security-associations index detail コマンドで使用すると、SAの詳細な情報を得ることができます。

  • リモートアドレス—リモートIPアドレスが正しく、ポート4500がピアツーピア通信に使用されていることを確認します。

  • ロールレスポンダーの状態

    • UP:フェーズ1 SAが確立されました。

    • Down - フェーズ 1 SA の確立に問題がありました。

    • Peer IKE ID - ピアのローカル ID が正しいことを確認します。この例のホスト名はchicagoです。

    • ローカルIDとリモートID—これらが正しいことを確認します。

  • Mode:正しいモードが使用されていることを確認してください。

設定で以下が適切か検証します。

  • 外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)

  • IKEポリシー パラメータ

  • 事前共有鍵情報

  • フェーズ1のプロポーザルパラメーター(両ピアで一致する必要があります)

show security ike security-associationsコマンドは、セキュリティアソシエーションに関する以下に示す追加情報を一覧表示します。

  • 使用している認証および暗号化アルゴリズム

  • フェーズ1のライフタイム

  • トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。

  • イニシエータとレスポンダの情報

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

レスポンダーのIPsec Security Associationsの確認

目的

IPsecステータスを検証します。

アクション

動作モードからshow security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations index index_number detailコマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。

  • リモート ゲートウェイの NAT アドレスは 1.1.100.23 です。

  • IPsec SAペアの両方のピアがポート番号4500を使用しています。これはNAT-Tが実装されたことを示しています。(NAT-T は、ポート番号4500または他のランダムな大きな番号のポートを使用します)。

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。3571/unlim値は、フェーズ2のライフタイムが3571秒で期限が切れ、ライフサイズが指定されていないことを示し、無制限であることを示しています。フェーズ2のライフタイムは フェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しなくなるからです。

  • 月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。

  • 仮想システム(vsys)はルート システムであり、常に0が表示されます。

例:動的エンドポイントVPNによるNAT-Tの設定

この例は、IKEv2イニシエーターがNATデバイスの背後にある動的エンドポイントであるルートベースのVPNを設定する方法を示しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • シャーシクラスター内に設定されている2台のSRXシリーズファイアウォール

  • NATを提供する1台のSRXシリーズファイアウォール

  • 支社/拠点オフィスにネットワークアクセスを提供する1台のSRXシリーズファイアウォール

  • Junos OSリリース12.1X46-D10またはそれ以降(IKEv2 NAT-Tサポート用)

概要

この例では、支社(IKEv2イニシエーター)と本社(IKEv2レスポンダー)の間にIPsec VPNを設定し、2つの拠点間のネットワークトラフィックを保護します。支社はNATデバイスの背後にあります。支社のアドレスは動的に割り当てられ、レスポンダーには分かりません。イニシエータには、トンネルネゴシエーション用にレスポンダーのリモートIDが設定されます。この設定により、NATデバイスを介したピア間に動的なエンドポイントVPNが確立されます。

図 3は、NATトラバーサル(NAT-T)と動的なエンドポイントVPNを使用したトポロジーの例を示しています。

図 3: 動的なエンドポイントVPNを使用したNAT-T動的なエンドポイントVPNを使用したNAT-T

この例では、デバイスに動的に割り当てられたイニシエータのIPアドレス192.179.100.50は、NATデバイスによって隠され、100.10.1.253に変換されます。

この例では、以下の設定オプションが適用されます。

  • イニシエーターで設定されたローカルIDは、レスポンダーで設定されたリモートゲートウェイIDと一致する必要があります。

  • フェーズ1とフェーズ2のオプションは、イニシエーターとレスポンダー間で一致する必要があります。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

Junos OSリリース12.1X46-D10およびJunos OSリリース17.3R1から、階[edit security ike gateway gateway-name]層レベルで設定するnat-keepaliveオプションのデフォルト値が、5秒から20秒に変更されました。

SRX1400、SRX3400、SRX3600、SRX5600、SRX5800デバイスでは、ネゴシエーション中にIKEパケットのソースIPアドレスを変更するNATデバイスの背後にIKEピアがある場合、NATトラバーサルを含むIKEネゴシエーションは機能しません。たとえば、NATデバイスがDIPで設定されていれば、IKEプロトコルによってUDPポートが500から4500に切り替わるため、送信元IPが変更されます。(プラットフォームのサポートは、インストールされたJunos OSリリースによって異なります)。

設定

支社デバイス(IKEv2イニシエーター)の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

支社デバイスを以下の通り設定します。

  1. インターフェイスを設定します。

  2. ルーティングオプションを設定します。

  3. ゾーンを設定します。

  4. フェーズ1のオプションを設定します。

  5. フェーズ2のオプションを設定します。

  6. セキュリティポリシーを構成します。

結果

設定モードから、 show interfacesshow routing-options、 、 show security zones、 、 show security ikeshow security ipsec、および コマshow security policiesンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

NATデバイスの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

NATを提供する中間ルーターを以下の通り設定します。

  1. インターフェイスを設定します。

  2. ゾーンを設定します。

  3. NATを設定します。

  4. デフォルトのセキュリティポリシーを設定します。

結果

設定モードから、show interfacesshow security zonesshow security nat source、およびshow security policies のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

本社デバイス(IKEv2レスポンダー)の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

  1. 2つのノードをシャーシクラスターとして設定します。

  2. インターフェイスを設定します。

  3. ルーティングオプションを設定します。

  4. ゾーンを設定します。

  5. フェーズ1のオプションを設定します。

  6. フェーズ2のオプションを設定します。

  7. デフォルトのセキュリティポリシーを設定します。

結果

設定モードから、show chassis clustershow interfacesshow routing-optionsshow security zonesshow security ikeshow security ipsecshow security policiesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

検証

設定が正常に機能していることを確認します。

レスポンダーのIKEフェーズ1ステータスの確認

目的

IKEフェーズ1ステータスを確認します。

アクション

ノード0の運用モードからshow security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations detail コマンドを使用します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、次の情報を確認します。

  • インデックス—この値は、各IKE SAに固有のもので、show security ike security-associations index index_id detail コマンドで使用すると、SAの詳細な情報を得ることができます。

  • リモートアドレス:ローカルIPアドレスが正しいことと、ポート4500がピアツーピア通信に使用されていることを確認します。

  • ロールレスポンダーの状態

    • UP:フェーズ1 SAが確立されました。

    • Down - フェーズ 1 SA の確立に問題がありました。

    • Peer IKE ID:アドレスが正しいことを確認してください。

    • ローカルIDおよびリモートID:これらのアドレスが正しいことを確認してください。

  • Mode:正しいモードが使用されていることを確認してください。

設定で以下が適切か検証します。

  • 外部インターフェイス(IKEパケットを送信するインターフェイスである必要があります)

  • IKEポリシー パラメータ

  • 事前共有鍵情報

  • フェーズ1のプロポーザルパラメーター(両ピアで一致する必要があります)

show security ike security-associationsコマンドは、セキュリティアソシエーションに関する以下に示す追加情報を一覧表示します。

  • 使用している認証および暗号化アルゴリズム

  • フェーズ1のライフタイム

  • トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。

  • イニシエータとレスポンダの情報

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

レスポンダーのIPsec Security Associationsの確認

目的

IPsecステータスを検証します。

アクション

ノード0の運用モードからshow security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations detailコマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。

  • リモートゲートウェイのIPアドレスは100.10.1.253です。

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。ライフタイムという値は、フェーズ2のライフタイムの有効期限は7186秒であり、ライフサイズは指定されていないため、無制限であることを示しています。フェーズ2のライフタイムは フェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しなくなるからです。

  • 仮想システム(vsys)はルート システムであり、常に0が表示されます。

show security ipsec security-associations index index_id detailコマンドからの出力には、次の情報が表示されます。

  • ローカル アイデンティティとリモート アイデンティティにより、SAのプロキシIDが構成されます。

    プロキシIDの不一致は、フェーズ2の失敗で最もよくある原因の1つです。IPsec SAが表示されない場合、プロキシIDの設定を含むフェーズ2のプロポーザルが両ピアで一致することを確認します。ルートベースVPNの場合、デフォルトのプロキシIDは、ローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、サービス = anyです。同じピアIPからの複数のルートベースVPNで問題が発生する可能性があります。この場合、各IPsec SAに固有のプロキシIDを指定する必要があります。一部のサードパーティー ベンダーでは、プロキシIDを手動で入力して照合する必要があります。

  • フェーズ2の失敗でよくある理由のもう1つに、STインターフェイスのバインディングが指定されていないことがあります。IPsecを完了できない場合は、kmdログを確認するか、トレース オプションを設定します。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
12.1X46-D10
Junos OSリリース12.1X46-D10およびJunos OSリリース17.3R1から、階[edit security ike gateway gateway-name]層レベルで設定するnat-keepaliveオプションのデフォルト値が、5秒から20秒に変更されました。