室井の部屋
Remote-VPN
最終更新:
momijimanjyu
-
view
はじめに
Remote-Netscreenを使用したVPN接続です。
クライアントPCとNetscreen間でRemote-VPNを構築します。
以下ベタバリです。
クライアントPCとNetscreen間でRemote-VPNを構築します。
以下ベタバリです。
NetScreen5GT⇔NetScreen-Remote間VPN通信設定手順
環境:
★NS5GT ファームウェア:5.3.0r6.0 Trust:10.1.2.81/24(Static) Untrust:172.19.11.99/24(社内LAN)DHCPにより動的に取得
★NS-Remote ファームウェア:10.3.5(Build 6) PC環境:デスクトップ OS:WindowsXP IPadd:172.19.11.90/24(社内LAN)DHCPにより動的に取得
★VPNの内容 IPsecVPN TrustにDIPを設定し動的にIPを割り振る Phase1:pre-g2-3des-md5 Phase2:g2-esp-3des-md5 Xauthを使用
NS5GT側の設定手順
interfaceの設定等は正常に出来ているものとする。
●1.Objects>User>Localでユーザを作成する。●
- Newをクリック
- UserNemeを入れる。
- IKE Userにチェック
- Simple Identityにチェック
- IKE IdentityにMailAddressを入力(remoteとの認証に使うだけなので存在しない物でもいいっぽい)
- XAuth Userにチェック
- User Password,Confirm Password(確認)に好きなパスワードを入れる(後でVPN通信開始の時に必要)
- OKをクリック
※上の手順をVPN用のユーザ分だけ繰り返す。同じMailAddressは使えないっぽい。
●2.1で作成したUserをLocalGroupに登録する。●
- Obnects>User>Local GroupsでNewをクリック
- GroupNameをつける
- 登録させるUserをバインドする
- OKをクリック
※ポリシーや他の設定で使われてるUserは表示されない場合がある。
その時は使われてる設定等をremoveするしかない。
その時は使われてる設定等をremoveするしかない。
●3.VPNs>AutoKey IKE よりVPNの認証設定をしていく。●
- Newをクリック
- VPN Nameをつける
- Secrity LevelをCustomにチェック
- Remote GatewayをCreate a Simple Gatewayにチェック
- Gateway Nameをつける
- TypeはDialup Group 2で作成したGroupを選択
- Preshared Keyを好きにつける(8文字以上)!!!確認が無いので、絶対に間違えないように!!!
- Outgoing InterfaceをUntrustにする
- Advancedをクリック
- Security LevelでCustomにチェック
- Phase 2 Proposalを選択(ここでphase2の暗号認証タイプを選択する。お勧めは"g2-esp-3des-md5")
- Retermをクリック
- OKをクリック
※後々Phase2に問題があった場合はこの項目の設定を見直す事。特に暗号認証タイプの選択。
●4.VPNs>AutoKey Advanced>Gateway phase1設定●
- 3で作成したGatewayのEditをクリック
- Security LevelをCustomにする
- Advancedをクリック
- Security LevelでCustomにチェック
- Phase 1 Proposalを選択(ここでphase1の暗号認証タイプを選択する。基本は"pre-g2-3des-md5")
- 既にチェックされてるかもしれないが、Enabel NAT-Traversalにチェック、UDP Checksumにチェック
- Reternをクリック
- OKをクリック
※後々Phase1での問題があった場合はこの項目の設定を見直す事。特に暗号認証タイプの選択。
●5.VPNs>AutoKey Advanced>Gateway Xauthの設定●
- 3で作成したGatewayのXauthをクリック
- XAuth Serverにチェック
- Local Authenticationにチェック
- User Groupにチェックし、このVPNを使用するGroupを選択
- Applyをクリックし確認
- OKをクリック
※XauthとはUserごとにVPN接続を開始する度にUserNameとPasswdを聞く機能。
●6.Network>Interfaces でTrustにDIPの設定をする。●
- trustのEditをクリック
- 上の方にあるDIPをクリック
- Newをクリック
- IDはこの後のPoliciesの設定で使用する。
- IP Address Rangeに使用するアドレスの範囲を設定(例えば10.1.2.10~10.1.2.20で11個のIP)
- OKをクリック
※今回のこの設定の意味は、RmoteからVPNでUntrustから入ってきたパケットがTrustから出るときに上の設定した範囲からIPを動的に変換する設定である。
●7.Policesの設定●
- From Untrust To Trustを選択しNewをクリック
- Source Address/Address Book Entryをチェク
- Dial-Up VPNを選択
- Destination Address/New Addressをチェク
- Trust側のネットワークアドレスを入力(今回の環境だと10.1.2.0/24)
- ActionからTunnelを選択
- Tunnel VPNから3で付けたVPN Nameを選択
- Advancedをクリック
- NATからSource Translationにチェック
- 6で設定したDIPを選択
- Reternをクリック
- OKをクリック
※Serviceは最初の段階ではANYにしといたほうが楽。SAが出来てからSERVICEを設定するべき。
NS5GT側での設定は以上です。後はNS-Remoteで合わせた設定をするだけ。
NS-Remote側の設定手順
NS-Remoteはインストール済みの状態とする。
■1.新しいConnectionの追加■
- My Connections上で右クリック
- Addをクリック
- 新しいConnectionの名前を変更(自由に)
- 左上の上書きアイコンをクリック
■2.New Connection/Remote Party Identity and Addressingの設定■
- ID TypeをIP Subnetを選択
- SubnetはNS5GTのTrust側のネットワークアドレス(今回の環境だと10.1.2.0)
- Maskを設定(今回の環境だと255.255.255.0)
- Connect usingにチェック
- ID TypeはIP Addressで、NS5GTのUntrustのIPを入れる(今回の環境だと172.19.11.99)
- 左上の上書きアイコンをクリック
■3.My Identityの設定■
- My Identity/Select CertificateでNoneを選択
- ID TypeはE-mail Addressを選択
- NS5gtの1で設定したUserのMailAddressを入れる(使用するUserのAddress)
- 右上にあるPre-Shared Keyボタンをクリック
- NS5GTの3で設定したPre-Shared Keyを入れ、OKをクリック
- 左上の上書きアイコンをクリック
■4.Security Policyの設定■
- Select Phase 1 Negotiation ModeからAggressive Modeを選択(今回の環境はDHCPを使用してる為。固定IPの場合はMain Modeでいい。)
- Enable Perfect Forward Secrecy (PFS)にチェック
- PFS Key GroupにDiffie-Hellman Group 2を選択
- 左上の上書きアイコンをクリック
■5.Phase1/Proposalの設定■
- Authentication MethodにPre-Shared Kye,Extended Authenticationを選択(Xauthを使用しない場合はPre-Shared Kyeでいい)
- Encrypt Alg,Hach AlgにNS5GTで設定したPhase1の暗号認証タイプを選択
- Key GroupeにDiffie-Hellman Group 2を選択
- 左上の上書きアイコンをクリック
※例:pre-g2-3des-md5の場合
Encrypt Alg:Triple DES
Hach Alg:MD5
Encrypt Alg:Triple DES
Hach Alg:MD5
■6.Phase2/Proposalの設定■
- Encrypt Alg,Hach AlgにNS5GTで設定したPhase1の暗号認証タイプを選択
- 左上の上書きアイコンをクリック
■7.VPN接続の確認■
- タスクバーのNS-Remoteのアイコン上で右クリック
- Log Viewerをクリック
- タスクバーのNS-Remoteのアイコン上で右クリック
- Connectで作成したConnectをクリック
- UserNameとPasswordを聞かれたらNS5GTの1で設定した内容を入れる
※最終的に
5-10: 10:39:51.717 My Connections\remote-5gt - Loading IPSec SA (Message ID = 4F797174 OUTBOUND SPI = E409BF35 INBOUND SPI = 7A2C5E35)
的な感じでIPsecSAが作成されれば成功!!
5-10: 10:39:51.717 My Connections\remote-5gt - Loading IPSec SA (Message ID = 4F797174 OUTBOUND SPI = E409BF35 INBOUND SPI = 7A2C5E35)
的な感じでIPsecSAが作成されれば成功!!
失敗した場合は、どこで失敗してるか見て設定を見直す必要がある。特に暗号認証タイプ。
念の為、失敗時のログを以下に載せとくので参考に。
念の為、失敗時のログを以下に載せとくので参考に。
ログ紹介
★成功のログ・・・
(1)Netscreen側
2006-12-07 15:05:22 info IKE<200.1.1.10> Phase 2 msg-id <XXXX>: Completed negotiations with SPI <XXX>,・・・
(1)Netscreen側
2006-12-07 15:05:22 info IKE<200.1.1.10> Phase 2 msg-id <XXXX>: Completed negotiations with SPI <XXX>,・・・
Completed negotiations がでれば成功です。
(2)PC側
12-07: 15:05:45.985 My Connections emote - Loading IPSec SA (Message ID = XXX OUTBOUND SPI = XXX ・・・
12-07: 15:05:45.985 My Connections emote - Loading IPSec SA (Message ID = XXX OUTBOUND SPI = XXX ・・・
Loading IPSec SAがでれば成功です。
★失敗1・・・接続するNetscreenのIPアドレスの間違い
(1)Netscreen側
ログはあがらない。(当然の結果)
(1)Netscreen側
ログはあがらない。(当然の結果)
(2)PC側
12-07: 15:56:08.161 RequestLocalAddress failure: xxxx
12-07: 15:56:08.161 My Connections emote - Unable to determine interface address for peer encrypter 200.1.1.11.
12-07: 15:56:08.161 RequestLocalAddress failure: xxxx
12-07: 15:56:08.161 My Connections emote - Unable to determine interface address for peer encrypter 200.1.1.11.
★失敗2・・・ユーザ名の不一致
以下にログを表記する。Emailで認証しているが、Emailアドレスが不一致の場合のログになる。
(1)Netscreen側
IKE<200.1.1.10> Rejected an initial Phase 1 packet from an unrecognized peer gateway.
(2)PC側
12-07: 15:31:49.904 My Connections emote - Initiating IKE Phase 1 (IP ADDR=200.1.1.1)
12-07: 15:31:49.914 My Connections emote - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 5x)
12-07: 15:32:05.647 My Connections emote - message not received! Retransmitting!
以下にログを表記する。Emailで認証しているが、Emailアドレスが不一致の場合のログになる。
(1)Netscreen側
IKE<200.1.1.10> Rejected an initial Phase 1 packet from an unrecognized peer gateway.
(2)PC側
12-07: 15:31:49.904 My Connections emote - Initiating IKE Phase 1 (IP ADDR=200.1.1.1)
12-07: 15:31:49.914 My Connections emote - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 5x)
12-07: 15:32:05.647 My Connections emote - message not received! Retransmitting!
★失敗3・・・Phase1の設定ミス
Phase1におけるDHのバージョン、ハッシュアルゴリズムが違った場合
Phase1におけるDHのバージョン、ハッシュアルゴリズムが違った場合
(1)Netscreen側
2006-12-07 15:35:15 info IKE<200.1.1.10> Phase 1: Rejected proposals from peer. Negotiations failed.
2006-12-07 15:35:15 info IKE<200.1.1.10> Phase 1: Rejected proposals from peer. Negotiations failed.
(2)PC側
12-07: 15:31:49.904 My Connections emote - Initiating IKE Phase 1 (IP ADDR=200.1.1.1)
12-07: 15:31:49.914 My Connections emote - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 5x)
12-07: 15:32:05.647 My Connections emote - message not received! Retransmitting!
12-07: 15:31:49.904 My Connections emote - Initiating IKE Phase 1 (IP ADDR=200.1.1.1)
12-07: 15:31:49.914 My Connections emote - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 5x)
12-07: 15:32:05.647 My Connections emote - message not received! Retransmitting!
★失敗4・・・Preshared Keyの設定ミス
(1)Netscreen側
Phase1で失敗していることがわかる。(Phase1はスタートしたが、PresharedKeyが違うのでPhase2まで行っていない。)
2006-12-07 15:27:08 info IKE<200.1.1.10> Phase 1: Retransmission limit has been reached.
(1)Netscreen側
Phase1で失敗していることがわかる。(Phase1はスタートしたが、PresharedKeyが違うのでPhase2まで行っていない。)
2006-12-07 15:27:08 info IKE<200.1.1.10> Phase 1: Retransmission limit has been reached.
(2)PC側
Phase1で失敗していることがわかる。(Phase2まで行っていない。)
12-07: 15:26:41.150 My Connections emote - Initiating IKE Phase 1 (IP ADDR=200.1.1.1)
12-07: 15:26:41.180 My Connections emote - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 5x)
12-07: 15:26:41.270 My Connections emote - RECEIVED<<< ISAKMP OAK AG (SA, VID 2x, KE, NON, ID, HASH)
12-07: 15:26:41.290 My Connections emote - Hash Payload is incorrect.
12-07: 15:26:41.290 My Connections emote - SENDING>>>> ISAKMP OAK INFO (HASH, NOTIFY:INVALID_HASH_INFO)
12-07: 15:26:41.310 My Connections emote - Discarding IKE SA negotiation
Phase1で失敗していることがわかる。(Phase2まで行っていない。)
12-07: 15:26:41.150 My Connections emote - Initiating IKE Phase 1 (IP ADDR=200.1.1.1)
12-07: 15:26:41.180 My Connections emote - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 5x)
12-07: 15:26:41.270 My Connections emote - RECEIVED<<< ISAKMP OAK AG (SA, VID 2x, KE, NON, ID, HASH)
12-07: 15:26:41.290 My Connections emote - Hash Payload is incorrect.
12-07: 15:26:41.290 My Connections emote - SENDING>>>> ISAKMP OAK INFO (HASH, NOTIFY:INVALID_HASH_INFO)
12-07: 15:26:41.310 My Connections emote - Discarding IKE SA negotiation
★失敗5・・・ポリシーの不一致
以下の例は、接続するネットワークが完全に一致しない場合のエラー。(サブネットマスクが違っている)
(1)Netscreen側
IKE<200.1.1.10> Phase 2: No policy exists for the proxy ID received: local ID (<192.168.1.0>/<255.255.0.0>,<0>,<0>) remote ID (<200.1.1.10>/<255.255.255.255>,<0>,<0>)
以下の例は、接続するネットワークが完全に一致しない場合のエラー。(サブネットマスクが違っている)
(1)Netscreen側
IKE<200.1.1.10> Phase 2: No policy exists for the proxy ID received: local ID (<192.168.1.0>/<255.255.0.0>,<0>,<0>) remote ID (<200.1.1.10>/<255.255.255.255>,<0>,<0>)
(2)PC側
Phase1が成功し、Phase2までいっている。
Phase1が成功し、Phase2までいっている。
2-07: 15:48:27.418 My Connections emote - Initiating IKE Phase 2 with Client IDs (message id: xxxx)
12-07: 15:48:27.418 Initiator = IP ADDR=200.1.1.10, prot = 0 port = 0
12-07: 15:48:27.418 Responder = IP SUBNET/MASK=192.168.1.0/255.255.0.0, prot = 0 port = 0
12-07: 15:48:27.418 My Connections emote - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
12-07: 15:48:42.891 My Connections emote - QM re-keying timed out (message id: xxx). Retry count: 1
12-07: 15:48:27.418 Initiator = IP ADDR=200.1.1.10, prot = 0 port = 0
12-07: 15:48:27.418 Responder = IP SUBNET/MASK=192.168.1.0/255.255.0.0, prot = 0 port = 0
12-07: 15:48:27.418 My Connections emote - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
12-07: 15:48:42.891 My Connections emote - QM re-keying timed out (message id: xxx). Retry count: 1
★失敗6・・・Phase2での失敗
今回はハッシュのアルゴリズムが一致しなかった場合)
今回はハッシュのアルゴリズムが一致しなかった場合)
(1)Netscreen側
ポイントは「proposals from peer」といっているので、対向との設定が一致しない。
ポイントは「proposals from peer」といっているので、対向との設定が一致しない。
2006-12-07 15:15:23 info IKE<200.1.1.10> Phase 2 msg-id <XXX>: Negotiations have failed.
2006-12-07 15:15:23 info IKE<200.1.1.10> Phase 2: Rejected proposals from peer. Negotiations failed.
2006-12-07 15:15:23 info IKE<200.1.1.10> Phase 2 msg-id <XXX>: Responded to the first peer message.
2006-12-07 15:15:23 info IKE<200.1.1.10> Received initial contact notification and removed Phase 1 SAs.
2006-12-07 15:15:23 info IKE<200.1.1.10> Phase 1: Completed Aggressive mode negotiations with a ・・・・
2006-12-07 15:15:23 info IKE<200.1.1.10> Phase 2: Rejected proposals from peer. Negotiations failed.
2006-12-07 15:15:23 info IKE<200.1.1.10> Phase 2 msg-id <XXX>: Responded to the first peer message.
2006-12-07 15:15:23 info IKE<200.1.1.10> Received initial contact notification and removed Phase 1 SAs.
2006-12-07 15:15:23 info IKE<200.1.1.10> Phase 1: Completed Aggressive mode negotiations with a ・・・・
(2)PC側
以下にログを参考に説明しますが、ポイントは
①Phase1は成功している「Established IKE SA」
②Phase2で失敗している。
以下にログを参考に説明しますが、ポイントは
①Phase1は成功している「Established IKE SA」
②Phase2で失敗している。
12-07: 15:15:46.329 My Connections emote - Initiating IKE Phase 1 (IP ADDR=200.1.1.1)
12-07: 15:15:46.469 My Connections emote - Established IKE SA
12-07: 15:15:46.509 My Connections emote - Initiating IKE Phase 2 with Client IDs (message id: XXX)
12-07: 15:15:46.509 My Connections emote - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
12-07: 15:15:46.529 My Connections emote - RECEIVED<<< ISAKMP OAK INFO *(HASH, NOTIFY:NO_PROPOSAL_CHOSEN)
12-07: 15:15:46.529 My Connections emote - Discarding IPSec SA negotiation
12-07: 15:15:46.559 My Connections emote - Discarding IKE SA negotiation
12-07: 15:15:46.559 My Connections emote - Deleting IKE SA (IP ADDR=200.1.1.1)
12-07: 15:15:46.529 My Connections emote - RECEIVED<<< ISAKMP OAK INFO *(HASH, NOTIFY:NO_PROPOSAL_CHOSEN)
12-07: 15:15:46.529 My Connections emote - Discarding IPSec SA negotiation
12-07: 15:15:46.559 My Connections emote - Discarding IKE SA negotiation
12-07: 15:15:46.559 My Connections emote - Deleting IKE SA (IP ADDR=200.1.1.1)
12-07: 15:15:46.559 My Connections emote - SENDING>>>> ISAKMP OAK INFO *(HASH, DEL)