Presentation title here

Size: px

Start display at page:

Download "Presentation title here"

けんじふくだ
5 years ago
Views:

1 SSG シリーズ Microsoft Windows Azure Virtual Network との Site-to-Site VPN 接続の構成ガイドジュニパーネットワークス株式会社 2013 年 4 月

2 はじめに本資料ではマイクロソフト様 Windows Azure クラウドサービスにおける仮想ネットワークの機能であるオンプレミスサイトとの LAN 間 IPSec VPN 接続についてオンプレミス側 VPN 機器として SSG を使用した場合の構成サンプルを説明しています本サンプル構成はご自身の責任のもとでご利用いただけますようお願いいたします 2 Copyright 2013 Juniper Networks, Inc.

3 Windows Azure 仮想ネットワーク LAN 間接続手順 0. 構成ネットワークと設定情報の確認 1. Windows Azure 管理ポータルから Windows Azureを構成 Windows Azure 仮想ネットワーク側の構成ローカルネットワークの構成共有キーとゲートウェイIPアドレスの確認 2. SSGの構成 SSG 設定サンプルコンフィグ入手 ( オプション ) SSGのバージョン確認 SSGの設定 3. 接続と確認 Windows Azure 仮想ネットワーク側 SSG 側 4. 接続できない時状態確認デバッグ 3 Copyright 2013 Juniper Networks, Inc.

4 0. 構成ネットワークと設定情報の確認 VPN デバイスとネットワーク環境要件 Windows Azure 仮想ネットワークに用いられる VPN デバイスは以下の要件に対応している必要がある WAN にパブリックな IPv4 アドレスをアサイン IKEv1 のサポート Tunnel Mode の IPSec サポート NAT-T のサポート以下 Phase1 Cipher に対応 AES 128-bit encryption SHA-1 hashing Diffie-Hellman Perfect Forward Secrecy in "Group 2" mode Pre-shared-key パケットを IPSec ヘッダ以下にカプセル化する前にフラグメントする機能をサポート (Prefragmentation のサポート ) SRX および NS/SSG は上記要件を満たしている 4 Copyright 2013 Juniper Networks, Inc.

0. 構成ネットワークと設定情報の確認構成ネットワーク例 Cloud Svc. DC NW (East Asia) ユーザの仮想ネットワーク 10.10.0.0/16 Gateway IP Addr.

B.B.B ユーザのオンプレミスネットワーク 172.27.0.0/16 Subnet-A GW Subnet 10.10.1.0/24 Internet ethernet0/0 172.

B.B.B.B ethernet0/9 untrust zone ( 今回は ethernet0/9 インタフェースで NTT フレッツ光ネクストに PPPoE

5 0. 構成ネットワークと設定情報の確認構成ネットワーク例 Cloud Svc. DC NW (East Asia) ユーザの仮想ネットワーク /16 Gateway IP Addr. A.A.A.A IP アドレスは便宜上下記のものとする Azure 側 Global IP: A.A.A.A SSG 側 Global IP: B.B.B.B ユーザのオンプレミスネットワーク /16 Subnet-A GW Subnet /24 Internet ethernet0/ /22 trust zone Subnet-B VPN Gateway NAT IPSec VPN SSG140 SSG WAN IP Addr. B.B.B.B ethernet0/9 untrust zone ( 今回は ethernet0/9 インタフェースで NTT フレッツ光ネクストに PPPoE で接続 ) 5 Copyright 2013 Juniper Networks, Inc.

6 0. 構成ネットワークと設定情報の確認設定情報一覧 ( 本設定での例 ) Windows Azure 仮想ネットワークの設定項目 Windows Azure 仮想ネットワークでの意味 SSG での意味仮想ネットワークの詳細名前仮想ネットワークの詳細アフィニティグループアドレス空間とサブネットアドレス空間アドレス空間とサブネットサブネット DNS サーバーとローカルネットワーク DNS サーバー DNS サーバーとローカルネットワークゲートウェイサブネット DNS サーバーとローカルネットワークローカルネットワーク新しいローカルネットワークを指定する名前任意の仮想ネットワーク名 (azurevpntest) Azure 仮想ネットワークが存在する DC/ 地域 (kobbieaffinity(east asia)) 仮想ネットワークの全体サブネット IP プレフィックス ( /16) 仮想ネットワーク内のサブネット ( 今回は未設定 ) プライベートな DNS サーバ情報 ( 今回は未設定 ) VPN ゲートウェイの Windows Azure 仮想ネットワーク側 LAN インタフェースのローカルサブネット ( /24) On-Premises 側ネットワークの設定任意のオンプレミスネットワーク名 (LocalLAN) n/a n/a IPsec での remote proxy-id ( /16) n/a n/a n/a SSG LAN 側インタフェース背後に位置するネットワーク n/a 新しいローカルネットワークを指定する VPN デバイスの IP アドレス新しいローカルネットワークを指定するアドレス空間ダッシュボード仮想ネットワークゲートウェイ IP アドレス接続相手側 IKE GW(SSG) の IP アドレス (B.B.B.B) オンプレミス側ネットワークのサブネット IP プレフィックス Windows Azure 仮想ネットワークの VPN 機器の IP アドレス (A.A.A.A) ダッシュボード仮想ネットワークキーの管 IKEのShared Key 値 IKEのShared Key 値理 6 共有キー Copyright 2013 Juniper Networks, Inc. SSG の WAN 側インタフェースのグローバル IP アドレス (B.B.B.B) IPSec での local proxy-id 接続相手側 IKE ゲートウェイ (SRX) の IP アドレス (A.A.A.A)

10 1. Azure サービスの構成例仮想ネットワークの構成 4 プライベートの DNS サーバを設置する場合設定 ( 今回は未使用 ) 仮想ネットワークとオンプレミスネットワークを専用デバイスにより VPN を使用して接続したいときにチェックするしたがって今回はチェックする前頁の全体のアドレス空間の一部から仮想ネットワークの IPSec ゲートウェイが設置される専用ネットワークのサブネットを設定オンプレミス側 LAN ネットワークを新規に作成するために選択 10 Copyright 2013 Juniper Networks, Inc.

11 1. Windows Azure の構成例オンプレミス側 LAN の構成オンプレミス側 LAN として任意の名前を設定 B.B.B.B /16 オンプレミス側 LAN の IP アドレスレンジを設定後で SSG を設定する際には local の Proxy-id の値として利用されるオンプレミス側 VPN デバイス (SSG) の IPSec 終端インタフェースのグローバル IP アドレス (pp0.1 の IP アドレス ) 11 Copyright 2013 Juniper Networks, Inc.

1. Windows Azure の構成例共有キーとゲートウェイ IP アドレスの確認 1 処理完了後

1. Windows Azure の構成例共有キーとゲートウェイ IP アドレスの確認 2 ゲートウェイの作成を選択ゲートウェイ作成には少し時間 (15

14 1. Windows Azure の構成例共有キーとゲートウェイ IP アドレスの確認 3 ゲートウェイが作成されるとステータスが切断に変更ゲートウェイ IP アドレスがアサインされ表示されるのでメモを取る後で SSG の設定する際に対向側 IKE ゲートウェイの IP アドレスとして設定する A.A.A.A キーの管理を選択 14 Copyright 2013 Juniper Networks, Inc.

16 2. SSG の設定例本例での環境と注意事項 SSG140 を使用マイクロソフト様推奨機器は ISG1000 となっていますが他 SSG 機種でも同様に接続可能ですアクセス回線としてフレッツ光ネクストを使用検証目的のため本資料では動的 IP 割り当てのサービスを使用実際は Azure 側機器から VPN 接続が行われることもあるため固定 IP アドレスの使用を推奨 Screen OS 6.3 R13 を使用マイクロソフト様資料では 6.2R13 が接続実績バージョンとされているが 6.3 も確認済みルートベース VPN を使用機能的にはポリシーベース VPN とルートベース VPN の双方に対応可能またマイクロソフト様資料でも双方の設定例が公開されている今回はより一般的に利用されているルートベース VPN を使用 16 Copyright 2013 Juniper Networks, Inc.

2. SSG の設定例 1 インタフェース設定 (LAN 側インタフェース ) < GUI > Network > Interfaces > Edit より選択 zone を指定 IP アドレスを指定 < CLI >

18 2. SSG の設定例 1 インタフェース設定 (WAN 側 PPPoE インタフェース ) < GUI > Network > PPP > PPPoE Profile より選択 Network > Interface より使用するインタフェースを選択 zone を指定 ISP の認証情報を入力作成した PPPoE プロファイルを適応 < CLI > SSG140-> set pppoe name Flet's SSG140-> set pppoe name Flet's username test@juniper.net password juniper SSG140-> set pppoe name Flet's interface ethernet0/9 SSG140-> set pppoe name Flet's authentication chap SSG140-> set pppoe name Flet's idle 0 18 Copyright 2011 Juniper Networks, Inc.

19 2. SSG の設定例 1 インタフェース設定 (Tunnel インタフェース ) < GUI > Network > Interface より Tunnel IF, New を選択 zone を指定 Unnumbered を選択 WAN 側で使用するインタフェースを選択 < CLI > SSG140-> set interface tunnel.1 ip unnumbered interface ethernet0/9 SSG140-> set interface tunnel.1 zone "Untrust" 19 Copyright 2011 Juniper Networks, Inc.

21 2. SSG の設定例 2 ルーティング設定 < GUI > Network > Routing より trust-vr, New を選択 Arure のネットワークアドレスを指定 1 で作成した Tunnel インタフェースを指定 < CLI > SSG140-> set route /16 interface tunnel.1 21 Copyright 2011 Juniper Networks, Inc.

22 2. SSG の設定例 3 IPsec IKE/Phase1 設定 < GUI > VPNs > AutoKey Advanced > P1 Proposal より New を選択 < CLI > SSG140-> set ike p1-proposal "Azure-P1" preshare group2 esp aes128 sha-1 second Copyright 2011 Juniper Networks, Inc.

23 2. SSG の設定例 3 IPsec IKE/Phase1 設定 < GUI > VPNs > AutoKey Advanced > Gateway より New を選択任意の名前を指定 A.A.A.A Azure でアサインされた IP アドレス Advanced 設定へ移動 AzureでアサインされたPresharedキーインタフェースを指定前項で作成したPhase1 設定 Main Mode を選択 < CLI > SSG140-> set ike gateway "Azure-GW" address A.A.A.A Main outgoing-interface "ethernet0/9" preshare "o+prbyhznesf0jsugycw+0z1gonra/hzppzg1gf7iaiyh201eizuc3gu0/hfo8lo4uq3hznaov4+" proposal "Azure-P1" 23 Copyright 2011 Juniper Networks, Inc.

24 2. SSG の設定例 4 IPsec Phase2 設定 < GUI > VPNs > AutoKey Advanced > P2 Proposal より New を選択 < CLI > SSG140-> set ike p2-proposal "Azure-P2" no-pfs esp aes128 sha-1 second Copyright 2011 Juniper Networks, Inc.

25 2. SSG の設定例 4 IPsec Phase2 設定 < GUI > VPNs > AutoKey Advanced > P2 Proposal より New を選択任意の名前を指定 Phase1 で設定した GW を指定 < CLI > SSG140-> set ike p2-proposal "Azure-P2" no-pfs esp aes128 sha-1 second Copyright 2011 Juniper Networks, Inc.

26 2. SSG の設定例 4 IPsec Phase2 設定 < GUI > VPNs > AutoKey Advanced > P2 Proposal( 前項 ) より Advance を選択任意の名前を指定 Bind するインタフェースを指定 < CLI > SSG140-> set vpn "Azure" monitor optimized rekey SSG140-> set vpn "Azure" bind interface tunnel.1 26 Copyright 2011 Juniper Networks, Inc.

27 2. SSG の設定例 4 IPsec Phase2 設定 < GUI > VPNs > AutoKey Advanced より前項で設定した項目より Proxy ID を選択 Azure 側で設定した項目と一致させる < CLI > SSG140-> set vpn "Azure" proxy-id local-ip /22 remote-ip /16 "ANY SSG140-> set flow vpn-tcp-mss Copyright 2011 Juniper Networks, Inc.

2. SSG の設定例 5 ポリシー設定 < GUI > Policy > Policies より From, To を選択通信させる IP アドレスプロトコルを指定 < CLI > SSG140-> set policy id 1 from "Trust" to "Untrust" "Any-IPv4" "Any-IPv4" "ANY" permit

28 2. SSG の設定例 5 ポリシー設定 < GUI > Policy > Policies より From, To を選択通信させる IP アドレスプロトコルを指定 < CLI > SSG140-> set policy id 1 from "Trust" to "Untrust" "Any-IPv4" "Any-IPv4" "ANY" permit SSG140-> set policy id 1 SSG140-> set policy id 2 from "Untrust" to "Trust" "Any-IPv4" "Any-IPv4" "ANY" permit SSG140-> set policy id 2 28 Copyright 2011 Juniper Networks, Inc.

31 3. 接続と確認 SSG 側接続確認 : IPSec VPN 接続ステータス SSG140-> get sa active Total active sa: 1 total configured sa: 1 HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys < A.A.A.A 500 esp:a128/sha1 c0a6688b 3586 unlim A/U > A.A.A.A 500 esp:a128/sha1 32aae2e unlim A/U -1 0 SSG140-> get sa id 1 index 0, name Azure, peer gateway ip A.A.A.A. vsys<root> auto key. tunnel if binding node, tunnel mode, policy id in:<-1> out:<-1> vpngrp:<-1>. sa_list_nxt:<-1>. tunnel id 1, peer id 0, NSRP Local. site-to-site. Local interface is ethernet0/9 <B.B.B.B>. esp, group 0, a128 encryption, sha1 authentication autokey, IN active, OUT active monitor<1>, latency: -1, availability: 100 DF bit: clear app_sa_flags: 0x24001a3 proxy id: local / , remote / , proto 0, port 0/0 ike activity timestamp: DSCP-mark : disabled nat-traversal map not available incoming: SPI c0a6688b, flag , tunnel info , pipeline life 3600 sec, 3575 remain, 0 kb, 0 bytes remain anti-replay off, idle timeout value <0>, idled 3 seconds next pak sequence number: 0x0 bytes/paks: /43119; sw bytes/paks: /43119 outgoing: SPI 32aae2e3, flag , tunnel info , pipeline life 3600 sec, 3575 remain, 0 kb, 0 bytes remain anti-replay off, idle timeout value <0>, idled 5 seconds next pak sequence number: 0x3 bytes/paks: /46668; sw bytes/paks: /46668 Active の数値がカウントされる詳細接続情報 31 Copyright 2011 Juniper Networks, Inc.

32 3. 接続と確認 SSG 側接続確認 : セッション確認 SSG140-> get session nat used ipv6 addr: allocated 0/maximum alloc 9/max 48064, alloc failed 0, mcast alloc 0, di alloc failed 0 total reserved 0, free sessions in shared pool id 48048/s**,vsys 0,flag /0000/0001/0000,policy 2,time 6, dip 0 module 0 if 20(nspflag 2801): /3245-> /1,1, ,sess token 4,vlan 0,tun ,vsd 0,route 15 if 0(nspflag 0800): /3245< /1,1, ,sess token 3,vlan 0,tun 0,vsd 0,route 3 id 48050/s**,vsys 0,flag /0000/0001/0000,policy 2,time 4, dip 0 module 0 if 20(nspflag 2801): /3243-> /1,1, ,sess token 4,vlan 0,tun ,vsd 0,route 15 if 0(nspflag 0800): /3243< /1,1, ,sess token 3,vlan 0,tun 0,vsd 0,route 3 id 48054/s**,vsys 0,flag /0000/0001/0000,policy 2,time 1, dip 0 module 0 if 20(nspflag 2801): /3240-> /1,1, ,sess token 4,vlan 0,tun ,vsd 0,route 15 if 0(nspflag 0800): /3240< /1,1, ,sess token 3,vlan 0,tun 0,vsd 0,route 3 IKE セッションが確立している 32 Copyright 2011 Juniper Networks, Inc.

33 4. 接続できない時よくある問題 Proxy-ID とポリシーオブジェクトの不一致 IPSec VPN の設定の Local/Remote Proxy-ID と該当するセキュリティポリシーの source-address/destination-address/application が一致していないと proxyid のネゴシエーションが不成功となることがあります VPN 設定とポリシーのこれら値が一致していることを確認してください Windows Azure 管理ポータルのステータス Windows Azure 管理ポータルでは接続 / 切断を実行後にも VPN のステータスがすぐには反映されないことがあります Windows Azure 管理ポータルで VPN が切断であっても SSG 側で正常に接続されている状態のときはしばらく様子を見てください 33 Copyright 2011 Juniper Networks, Inc.

35 4. 接続できない時 SSG 側接続確認 : インタフェース状態確認 SSG140-> get interface eth0/9 Interface ethernet0/9: description ethernet0/9 number 13, if_info 10504, if_index 0, mode route link up, phy-link up/full-duplex, admin status up status change:5, last change:04/11/ :51:53 vsys Root, zone Untrust, vr trust-vr dhcp client disabled PPPoE enable admin mtu 0, operating mtu 1500, default mtu 1500 *ip B.B.B.B/28 mac 0017.cb43.f48d *manage ip B.B.B.B, mac 0017.cb43.f48d route-deny disable pmtu-v4 disabled ping disabled, telnet disabled, SSH disabled, SNMP disabled web disabled, ident-reset disabled, SSL disabled DNS Proxy disabled, webauth disabled, g-arp enabled, webauth-ip OSPF disabled OSPFv3 disabled BGP disabled RIP disabled RIPng disabled mtrace disabled PIM: not configured IGMP not configured MLD not configured NHRP disabled bandwidth: physical kbps, configured egress [gbw 0kbps mbw 0kbps] configured ingress mbw 0kbps, current bw 0kbps total allocated gbw 0kbps DHCP-Relay disabled at interface level DHCP-server disabled WAN 側インタフェースが up で無い時は PPPoE の接続に問題あり 35 Copyright 2011 Juniper Networks, Inc.

36 4. 接続できない時 SSG 側接続確認 : ルーティング確認 SSG140-> get route IPv4 Dest-Routes for <untrust-vr> (0 entries) H: Host C: Connected S: Static A: Auto-Exported I: Imported R: RIP/RIPng P: Permanent D: Auto-Discovered N: NHRP ib: IBGP eb: EBGP O: OSPF/OSPFv3 E1: OSPF external type 1 E2: OSPF/OSPFv3 external type 2 trailing B: backup route IPv4 Dest-Routes for <trust-vr> (7 entries) ID IP-Prefix Interface Gateway P Pref Mtr Vsys * /16 tun S 20 1 Root * /0 eth0/ S 20 1 Root 12 B.B.B.B/32 eth0/ H 0 0 Root * /22 eth0/ C 0 0 Root * /32 eth0/ H 0 0 Root * /16 eth0/ S 20 1 Root 36 Copyright 2011 Juniper Networks, Inc.

37 4. 接続できない時 SSG でのイベントログの確認 SSG140-> get event :53:38 system info IKE A.A.A.A: Received a notification message for DOI CONNECTED :53:38 system info IKE A.A.A.A Phase 2 msg ID 45dde8ea: Completed negotiations with SPI c0a66852, tunnel ID 1, and lifetime 3600 seconds/0 KB :53:38 system info IKE A.A.A.A phase 2:The symmetric crypto key has been generated successfully :53:38 system info IKE A.A.A.A Phase 2: Initiated negotiations :53:38 system info IKE A.A.A.A Phase 1: Completed Main mode negotiations with a second lifetime. イベントログを確認してどのようなエラーが出ているか確認できる 37 Copyright 2011 Juniper Networks, Inc.

38 接続時 IKE debug ( 取得方法 ) SSG140-> debug ike detail ~ SSG140-> undebug all SSG140-> get dbuf stream Debug の取り方 ## :57:12 : IKE<A.A.A.A> nhtb_list_update_status: vpn Azure ## :57:12 : IKE<A.A.A.A> ** link state return 0 ## :57:12 : IKE<A.A.A.A> sa_link_status_for_tunl_ifp: saidx 0, preliminary status 0 ## :57:14 : IKE<A.A.A.A> nhtb_list_update_status: vpn Azure ## :57:14 : IKE<A.A.A.A> ** vpn mon return up 4 ## :57:14 : IKE<A.A.A.A> sa_link_status_for_tunl_ifp: saidx 0, preliminary status 4 ## :57:14 : IKE<A.A.A.A> local_if is ethernet0/9 ## :09:22 : IKE<A.A.A.A> ike packet, len 296, action 0 ## :09:22 : IKE<A.A.A.A> Catcher: received 268 bytes from socket. ## :09:22 : IKE<A.A.A.A> ****** Recv packet if <ethernet0/9> of vsys <Root> ****** ## :09:22 : IKE<A.A.A.A> Catcher: get 268 bytes. src port 500 ## :09:22 : IKE< > ISAKMP msg: len 268, nxp 8[HASH], exch 32[QM], flag 01 E ## :09:22 : IKE<A.A.A.A> Create conn entry... ## :09:22 : IKE<A.A.A.A>...done(new ) ## :09:22 : IKE<A.A.A.A> Phase 2 msg-id < >: Responded to the first peer message. ## :09:22 : IKE<A.A.A.A> Decrypting payload (length 240) ## :09:22 : IKE<A.A.A.A > Recv*: [HASH] [SA] [NONCE] [ID] [ID] ## :09:22 : valid id checking, id type:ip Subnet, len:16. ## :09:22 : valid id checking, id type:ip Subnet, len: Copyright 2011 Juniper Networks, Inc.

39 Microsoft 様の各種リンクと公開情報 Windows Azure Management Portal ログイン : About VPN Devices for Virtual Network (w/ sample configuration) Establish a site-to-site VPN connection Create a Virtual Network for Cross-Premises Connectivity Juniper ISG1000 ScreenOS 6.3r9 or ScreenOS 6.2r Copyright 2013 Juniper Networks, Inc.

はじめに本資料では日本マイクロソフト様 Microsoft Azure クラウドサービスにおける仮想ネットワークのゲートウェイ機能とオンプレミスサイトとのサイト間 IPsec VPN 接続についてオンプレミス側 VPN 機器として SSG を使用した場合の構成例を説明しています本構成例は

はじめに本資料では日本マイクロソフト様 Microsoft Azure クラウドサービスにおける仮想ネットワークのゲートウェイ機能とオンプレミスサイトとのサイト間 IPsec VPN 接続についてオンプレミス側 VPN 機器として SSG を使用した場合の構成例を説明しています本構成例は Juniper SSG と Microsoft Azure 仮想ネットワークとのサイト間 VPN 接続の構成 Juniper Networks K.K. 2015 年 3 月はじめに本資料では日本マイクロソフト様 Microsoft Azure クラウドサービスにおける仮想ネットワークのゲートウェイ機能とオンプレミスサイトとのサイト間 IPsec VPN 接続についてオンプレミス側 VPN