トップページ/技術情報/Netscreen/Remote-VPN - 室井の部屋

Top > トップページ > 技術情報 > Netscreen > Remote-VPN
Netscreen VPN設定

---

はじめに

Remote-Netscreenを使用したVPN接続です。
クライアントPCとNetscreen間でRemote-VPNを構築します。
以下ベタバリです。

---

NetScreen5GT⇔NetScreen-Remote間VPN通信設定手順

環境：

★NS5GT
ファームウェア：5.3.0r6.0
Trust:10.1.2.81/24(Static)
Untrust:172.19.11.99/24(社内LAN)DHCPにより動的に取得

★NS-Remote
ファームウェア：10.3.5(Build 6)
PC環境：デスクトップ　
OS:WindowsXP
IPadd:172.19.11.90/24(社内LAN)DHCPにより動的に取得

★VPNの内容
IPsecVPN
TrustにDIPを設定し動的にIPを割り振る
Phase1:pre-g2-3des-md5
Phase2:g2-esp-3des-md5
Xauthを使用

NS5GT側の設定手順

interfaceの設定等は正常に出来ているものとする。

●1.Objects>User>Localでユーザを作成する。●

• Newをクリック
• UserNemeを入れる。
• IKE Userにチェック
• Simple Identityにチェック
• IKE IdentityにMailAddressを入力(remoteとの認証に使うだけなので存在しない物でもいいっぽい)
• XAuth Userにチェック
• User Password,Confirm Password(確認）に好きなパスワードを入れる(後でVPN通信開始の時に必要)
• OKをクリック

※上の手順をVPN用のユーザ分だけ繰り返す。同じMailAddressは使えないっぽい。

●2.1で作成したUserをLocalGroupに登録する。●

• Obnects>User>Local GroupsでNewをクリック
• GroupNameをつける
• 登録させるUserをバインドする
• OKをクリック

※ポリシーや他の設定で使われてるUserは表示されない場合がある。
その時は使われてる設定等をremoveするしかない。

●3.VPNs>AutoKey IKE　よりVPNの認証設定をしていく。●

• Newをクリック
• VPN Nameをつける
• Secrity LevelをCustomにチェック
• Remote GatewayをCreate a Simple Gatewayにチェック
• Gateway Nameをつける
• TypeはDialup Group ２で作成したGroupを選択
• Preshared Keyを好きにつける(8文字以上)!!!確認が無いので、絶対に間違えないように!!!
• Outgoing InterfaceをUntrustにする
• Advancedをクリック
• Security LevelでCustomにチェック
• Phase 2 Proposalを選択(ここでphase2の暗号認証タイプを選択する。お勧めは"g2-esp-3des-md5")
• Retermをクリック
• OKをクリック

※後々Phase2に問題があった場合はこの項目の設定を見直す事。特に暗号認証タイプの選択。

●4.VPNs>AutoKey Advanced>Gateway 　　　　phase1設定●

• 3で作成したGatewayのEditをクリック
• Security LevelをCustomにする
• Advancedをクリック
• Security LevelでCustomにチェック
• Phase 1 Proposalを選択(ここでphase1の暗号認証タイプを選択する。基本は"pre-g2-3des-md5")
• 既にチェックされてるかもしれないが、Enabel NAT-Traversalにチェック、UDP Checksumにチェック
• Reternをクリック
• OKをクリック

※後々Phase1での問題があった場合はこの項目の設定を見直す事。特に暗号認証タイプの選択。

●5.VPNs>AutoKey Advanced>Gateway 　　　　Xauthの設定●

• 3で作成したGatewayのXauthをクリック
• XAuth Serverにチェック
• Local Authenticationにチェック
• User Groupにチェックし、このVPNを使用するGroupを選択
• Applyをクリックし確認
• OKをクリック

※XauthとはUserごとにVPN接続を開始する度にUserNameとPasswdを聞く機能。

●6.Network>Interfaces　でTrustにDIPの設定をする。●

• trustのEditをクリック
• 上の方にあるＤＩＰをクリック
• Newをクリック
• IDはこの後のPoliciesの設定で使用する。
• IP Address Rangeに使用するアドレスの範囲を設定(例えば10.1.2.10～10.1.2.20で11個のIP)
• OKをクリック

※今回のこの設定の意味は、RmoteからVPNでUntrustから入ってきたパケットがTrustから出るときに上の設定した範囲からIPを動的に変換する設定である。

●7.Policesの設定●

• From Untrust To Trustを選択しNewをクリック
• Source Address/Address Book Entryをチェク
• Dial-Up VPNを選択
• Destination Address/New Addressをチェク
• Trust側のネットワークアドレスを入力(今回の環境だと10.1.2.0/24)
• ActionからTunnelを選択
• Tunnel VPNから3で付けたVPN Nameを選択
• Advancedをクリック
• NATからSource Translationにチェック
• 6で設定したDIPを選択
• Reternをクリック
• OKをクリック

※Serviceは最初の段階ではANYにしといたほうが楽。ＳＡが出来てからSERVICEを設定するべき。

NS5GT側での設定は以上です。後はNS-Remoteで合わせた設定をするだけ。

NS-Remote側の設定手順

NS-Remoteはインストール済みの状態とする。

■1.新しいConnectionの追加■

• My Connections上で右クリック
• Addをクリック
• 新しいConnectionの名前を変更(自由に)
• 左上の上書きアイコンをクリック

■2.New Connection/Remote Party Identity and Addressingの設定■

• ID TypeをIP Subnetを選択
• SubnetはNS5GTのTrust側のネットワークアドレス(今回の環境だと10.1.2.0)
• Maskを設定(今回の環境だと255.255.255.0)
• Connect usingにチェック
• ID TypeはIP Addressで、NS5GTのUntrustのIPを入れる(今回の環境だと172.19.11.99)
• 左上の上書きアイコンをクリック

■3.My Identityの設定■

• My Identity/Select CertificateでNoneを選択
• ID TypeはE-mail Addressを選択
• NS5gtの１で設定したUserのMailAddressを入れる(使用するUserのAddress)
• 右上にあるPre-Shared Keyボタンをクリック
• NS5GTの３で設定したPre-Shared Keyを入れ、ＯＫをクリック
• 左上の上書きアイコンをクリック

■4.Security Policyの設定■

• Select Phase 1 Negotiation ModeからAggressive Modeを選択(今回の環境はDHCPを使用してる為。固定IPの場合はMain Modeでいい。）
• Enable Perfect Forward Secrecy (PFS)にチェック
• PFS Key GroupにDiffie-Hellman Group 2を選択
• 左上の上書きアイコンをクリック

■5.Phase1/Proposalの設定■

• Authentication MethodにPre-Shared Kye,Extended Authenticationを選択(Xauthを使用しない場合はPre-Shared Kyeでいい)
• Encrypt Alg,Hach AlgにNS5GTで設定したPhase1の暗号認証タイプを選択
• Key GroupeにDiffie-Hellman Group 2を選択
• 左上の上書きアイコンをクリック

※例：pre-g2-3des-md5の場合
Encrypt Alg：Triple DES
Hach Alg：MD5

■6.Phase2/Proposalの設定■

• Encrypt Alg,Hach AlgにNS5GTで設定したPhase1の暗号認証タイプを選択
• 左上の上書きアイコンをクリック

■7.VPN接続の確認■

• タスクバーのNS-Remoteのアイコン上で右クリック
• Log Viewerをクリック
• タスクバーのNS-Remoteのアイコン上で右クリック
• Connectで作成したConnectをクリック
• UserNameとPasswordを聞かれたらNS5GTの１で設定した内容を入れる

※最終的に
5-10: 10:39:51.717 My Connections\remote-5gt - Loading IPSec SA (Message ID = 4F797174 OUTBOUND SPI = E409BF35 INBOUND SPI = 7A2C5E35)
的な感じでIPsecＳＡが作成されれば成功！！

失敗した場合は、どこで失敗してるか見て設定を見直す必要がある。特に暗号認証タイプ。
念の為、失敗時のログを以下に載せとくので参考に。

ログ紹介

★成功のログ・・・
(１）Netscreen側
2006-12-07 15:05:22 info IKE<200.1.1.10> Phase 2 msg-id <XXXX>: Completed negotiations with SPI <XXX>,・・・

Completed negotiations がでれば成功です。

(２）PC側
12-07: 15:05:45.985 My Connections emote - Loading IPSec SA (Message ID = XXX OUTBOUND SPI = XXX ・・・

Loading IPSec SAがでれば成功です。

★失敗１・・・接続するNetscreenのIPアドレスの間違い
（１）Netscreen側
ログはあがらない。（当然の結果）

（２）PC側
12-07: 15:56:08.161 RequestLocalAddress failure: xxxx
12-07: 15:56:08.161 My Connections emote - Unable to determine interface address for peer encrypter 200.1.1.11.

★失敗２・・・ユーザ名の不一致
以下にログを表記する。Emailで認証しているが、Emailアドレスが不一致の場合のログになる。
（１）Netscreen側
IKE<200.1.1.10> Rejected an initial Phase 1 packet from an unrecognized peer gateway.
（２）PC側
12-07: 15:31:49.904 My Connections emote - Initiating IKE Phase 1 (IP ADDR=200.1.1.1)
12-07: 15:31:49.914 My Connections emote - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 5x)
12-07: 15:32:05.647 My Connections emote - message not received! Retransmitting!

★失敗３・・・Phase1の設定ミス
Phase１におけるDHのバージョン、ハッシュアルゴリズムが違った場合

（１）Netscreen側
2006-12-07 15:35:15 info IKE<200.1.1.10> Phase 1: Rejected proposals from peer. Negotiations failed.

（２）PC側
12-07: 15:31:49.904 My Connections emote - Initiating IKE Phase 1 (IP ADDR=200.1.1.1)
12-07: 15:31:49.914 My Connections emote - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 5x)
12-07: 15:32:05.647 My Connections emote - message not received! Retransmitting!

★失敗４・・・Preshared　Keyの設定ミス
（１）Netscreen側
Phase１で失敗していることがわかる。（Phase1はスタートしたが、PresharedKeyが違うのでPhase2まで行っていない。）
2006-12-07 15:27:08 info IKE<200.1.1.10> Phase 1: Retransmission limit has been reached.

（２）PC側
Phase１で失敗していることがわかる。（Phase2まで行っていない。）
12-07: 15:26:41.150 My Connections emote - Initiating IKE Phase 1 (IP ADDR=200.1.1.1)
12-07: 15:26:41.180 My Connections emote - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 5x)
12-07: 15:26:41.270 My Connections emote - RECEIVED<<< ISAKMP OAK AG (SA, VID 2x, KE, NON, ID, HASH)
12-07: 15:26:41.290 My Connections emote - Hash Payload is incorrect.
12-07: 15:26:41.290 My Connections emote - SENDING>>>> ISAKMP OAK INFO (HASH, NOTIFY:INVALID_HASH_INFO)
12-07: 15:26:41.310 My Connections emote - Discarding IKE SA negotiation

★失敗５・・・ポリシーの不一致
以下の例は、接続するネットワークが完全に一致しない場合のエラー。（サブネットマスクが違っている）
（１）Netscreen側
IKE<200.1.1.10> Phase 2: No policy exists for the proxy ID received: local ID (<192.168.1.0>/<255.255.0.0>,<0>,<0>) remote ID (<200.1.1.10>/<255.255.255.255>,<0>,<0>)

（２）PC側
Phase1が成功し、Phase2までいっている。

2-07: 15:48:27.418 My Connections emote - Initiating IKE Phase 2 with Client IDs (message id: xxxx)
12-07: 15:48:27.418 Initiator = IP ADDR=200.1.1.10, prot = 0 port = 0
12-07: 15:48:27.418 Responder = IP SUBNET/MASK=192.168.1.0/255.255.0.0, prot = 0 port = 0
12-07: 15:48:27.418 My Connections emote - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
12-07: 15:48:42.891 My Connections emote - QM re-keying timed out (message id: xxx). Retry count: 1

★失敗６・・・Phase２での失敗
今回はハッシュのアルゴリズムが一致しなかった場合）

（１）Netscreen側
ポイントは「proposals from peer」といっているので、対向との設定が一致しない。

2006-12-07 15:15:23 info IKE<200.1.1.10> Phase 2 msg-id <XXX>: Negotiations have failed.
2006-12-07 15:15:23 info IKE<200.1.1.10> Phase 2: Rejected proposals from peer. Negotiations failed.
2006-12-07 15:15:23 info IKE<200.1.1.10> Phase 2 msg-id <XXX>: Responded to the first peer message.
2006-12-07 15:15:23 info IKE<200.1.1.10> Received initial contact notification and removed Phase 1 SAs.
2006-12-07 15:15:23 info IKE<200.1.1.10> Phase 1: Completed Aggressive mode negotiations with a ・・・・

（２）PC側
以下にログを参考に説明しますが、ポイントは
①Phase1は成功している「Established IKE SA」
②Phase２で失敗している。

12-07: 15:15:46.329 My Connections emote - Initiating IKE Phase 1 (IP ADDR=200.1.1.1)

12-07: 15:15:46.469 My Connections emote - Established IKE SA

12-07: 15:15:46.509 My Connections emote - Initiating IKE Phase 2 with Client IDs (message id: XXX)

12-07: 15:15:46.509 My Connections emote - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
12-07: 15:15:46.529 My Connections emote - RECEIVED<<< ISAKMP OAK INFO *(HASH, NOTIFY:NO_PROPOSAL_CHOSEN)
12-07: 15:15:46.529 My Connections emote - Discarding IPSec SA negotiation
12-07: 15:15:46.559 My Connections emote - Discarding IKE SA negotiation
12-07: 15:15:46.559 My Connections emote - Deleting IKE SA (IP ADDR=200.1.1.1)

12-07: 15:15:46.559 My Connections emote - SENDING>>>> ISAKMP OAK INFO *(HASH, DEL)

---

上へ

---