はじめに本資料では日本マイクロソフト様 Microsoft Azure クラウドサービスにおける仮想ネットワークのゲートウェイ機能とオンプレミスサイトとのサイト間 IPsec VPN 接続についてオンプレミス側 VPN 機器として SSG を使用した場合の構成例を説明しています本構成例は

Size: px

Start display at page:

Download "はじめに本資料では日本マイクロソフト様 Microsoft Azure クラウドサービスにおける仮想ネットワークのゲートウェイ機能とオンプレミスサイトとのサイト間 IPsec VPN 接続についてオンプレミス側 VPN 機器として SSG を使用した場合の構成例を説明しています本構成例は"

まいかえんの
5 years ago
Views:

1 Juniper SSG と Microsoft Azure 仮想ネットワークとのサイト間 VPN 接続の構成 Juniper Networks K.K 年 3 月

2 はじめに本資料では日本マイクロソフト様 Microsoft Azure クラウドサービスにおける仮想ネットワークのゲートウェイ機能とオンプレミスサイトとのサイト間 IPsec VPN 接続についてオンプレミス側 VPN 機器として SSG を使用した場合の構成例を説明しています本構成例はご自身の責任のもとでご利用いただけますようお願いいたしますまた本資料は 2015 年 3 月現在の仕様に基いて作成されておりますので仕様変更等により画面デザインや設定方法が異なる場合がございます 2 Copyright 2015 Juniper Networks, Inc.

3 Microsoft Azure 仮想ネットワークサイト間接続手順 1. 構成ネットワークと設定情報の確認 2. Microsoft Azure 管理ポータルから Microsoft Azureを構成 Microsoft Azure 仮想ネットワークの構成ローカルネットワークの構成共有キーとゲートウェイIPアドレスの確認 3. SSGの構成 SSG 設定サンプルコンフィグ入手 ( オプション ) SSGのバージョン確認 SSGの設定 4. 接続と確認 Microsoft Azure 仮想ネットワーク側 SSG 側 5. 接続できない時状態確認デバッグ 3 Copyright 2015 Juniper Networks, Inc.

1. 構成ネットワークと設定情報の確認構成ネットワーク例 Microsoft Azure 仮想ネットワークアドレス空間 10.

10.0.0/24 ゲートウェイサブネット 10.10.32.0/29 Internet ethernet0/0 172.27.115.

.10.1.0/24 VPN ゲートウェイ IPSec VPN SSG140 SSG WAN IP アドレス B.

5 1. 構成ネットワークと設定情報の確認構成ネットワーク例 Microsoft Azure 仮想ネットワークアドレス空間 /16 ゲートウェイ IP アドレス A.A.A.A オンプレミスネットワーク /16 サブネット /24 ゲートウェイサブネット /29 Internet ethernet0/ /22 trust zone サブネット /24 VPN ゲートウェイ IPSec VPN SSG140 SSG WAN IP アドレス B.B.B.B ethernet0/9 untrust zone ( 今回は ethernet0/9 インタフェースで NTT フレッツ光ネクストに PPPoE で接続 ) 5 Copyright 2015 Juniper Networks, Inc.

2. Microsoft Azure の構成例 Microsoft Azure のポータルからログイン後

9 2. Microsoft Azure の構成例オンプレミスネットワークの構成オンプレミスネットワーク名として任意の名前を入力 B.B.B.B オンプレミス VPN 機器 (SSG) の IPsec 終端インタフェースのグローバル IP アドレスオンプレミスネットワークの IP アドレスレンジを設定後に SSG を設定する際には local の Proxy-id の値として利用される 9 Copyright 2015 Juniper Networks, Inc.

2. Microsoft Azure の構成例仮想ネットワークの構成 3 仮想ネットワーク全体の IP アドレスレンジを設定仮想ネットワークのサブネットを設定サブネットの追加

2. Microsoft Azure の構成例共有キーとゲートウェイ IP アドレスの確認 2 共有キーが表示されるのでメモまたはコピー & ペーストで保存する後に

15 本資料での環境と注意事項 SSG140 を使用本資料では SSG140 を前提にインタフェース等の設定を行っておりご使用される SSG の機種とはインタフェースの割り当てが異なる場合読み替えて設定を行って下さいアクセス回線としてフレッツ光ネクストを使用検証目的のため本資料では動的 IP 割り当てのサービスを使用 Microsoft Azure のゲートウェイから VPN 接続が行われることもあるため固定 IP アドレスの使用を推奨 Screen OS 6.3 R18 を使用 ScreenOS 6.2 および 6.3 が対応しているが本資料では IKE バージョン 2 が要件である Microsoft Azure 動的ルーティング VPN ゲートウェイも利用しているため IKE バージョン 2 をサポートしている ScreenOS 6.3 を使用 Microsoft Azure 仮想ネットワーク VPN ゲートウェイの種類 Microsoft Azure 仮想ネットワークのVPNゲートウェイは静的または動的ゲートウェイを選択可能であり Ipsecの要件が異なるため SSG 側もそれぞれのゲートウェイの合わせた設定が必要またポリシーベースルートベースVPN 構成によってもSSG 側の設定が異なる本資料ではのラベルで区別ルートベースポリシーベース 15 Copyright 2015 Juniper Networks, Inc.

17 1 インタフェース設定 (LAN 側インタフェース ) < GUI > Network > Interfaces > List より設定するインタフェースの Edit を選択ルートベースポリシーベース zone を指定 IP アドレスを指定 < CLI > SSG140->set interface ethernet0/0 ip /22 17 Copyright 2015 Juniper Networks, Inc.

18 1 インタフェース設定 (WAN 側 PPPoE インタフェース ) < GUI > Network > PPP > PPPoE Profile より選択 Network > Interface より使用するインタフェースを選択ルートベースポリシーベース zone を指定 ISP の認証情報を入力作成した PPPoE Profile を指定 < CLI > SSG140-> set pppoe name Flet's SSG140-> set pppoe name Flet's username test@juniper.net password juniper SSG140-> set pppoe name Flet's interface ethernet0/9 SSG140-> set pppoe name Flet's authentication chap SSG140-> set pppoe name Flet's idle 0 18 Copyright 2015 Juniper Networks, Inc.

19 1 インタフェース設定 (Tunnel インタフェース ) ルートベース < GUI > Network > Interface より Tunnel IF, New を選択 zone を指定 Unnumbered を選択 WAN 側で使用するインタフェースを選択 < CLI > SSG140-> set interface tunnel.1 ip unnumbered interface ethernet0/9 SSG140-> set interface tunnel.1 zone "Untrust" 19 Copyright 2015 Juniper Networks, Inc.

20 2 ルーティング設定ルートベースポリシーベース < GUI > Network > Routing > Destination より trust-vr, New を選択デフォルトルートを指定 WAN 側で使用するインタフェースを指定 < CLI > SSG140-> set route /0 interface ethernet0/9 20 Copyright 2015 Juniper Networks, Inc.

21 2 ルーティング設定ルートベース < GUI > Network > Routing > Destination より trust-vr, New を選択 Microsoft Arure 仮想ネットワークのアドレス空間を指定 1 で作成した Tunnel インタフェースを指定 < CLI > SSG140-> set route /16 interface tunnel.1 21 Copyright 2015 Juniper Networks, Inc.

22 3 IPsec IKE/Phase1 設定 < GUI > VPNs > AutoKey Advanced > P1 Proposal より New を選択ルートベースポリシーベース < CLI > SSG140-> set ike p1-proposal "Azure-P1" preshare group2 esp aes256 sha-1 second Copyright 2015 Juniper Networks, Inc.

24 3 IPsec IKE/Phase1 設定ルートベースポリシーベース < GUI > VPNs > AutoKey Advanced > Gateway の Advanced 設定 Microsoft Azure VPN ゲートウェイで表示された共有キーインタフェースを指定前項で作成した Phase 1 Proposal を選択 Mode は Main を選択 Interval として 10 秒を指定 24 Copyright 2015 Juniper Networks, Inc.

25 3 IPsec IKE/Phase1 設定ルートベースポリシーベース < CLI > SSG140-> set ike gateway "Azure-GW" address A.A.A.A Main outgoing-interface "ethernet0/9" preshare "o+prbyhznesf0jsugycw+0z1gonra/hzppzg1gf7iaiyh201eizuc3gu0/ HFO8lO4uQ3HZnAov4+" proposal "Azure-P1" SSG140-> set ike gateway "Azure-GW dpd-liveness interval Copyright 2015 Juniper Networks, Inc.

26 4 IPsec Phase2 設定 < GUI > VPNs > AutoKey Advanced > P2 Proposal より New を選択ルートベースポリシーベース < CLI > SSG140-> set ike p2-proposal "Azure-P2" no-pfs esp aes256 sha-1 second Copyright 2015 Juniper Networks, Inc.

4 IPsec IKE/Phase2 設定ルートベース < GUI > VPNs > AutoKey IKE( 前項 ) より Advanced を選択 Compatible を選択前項で作成した Phase 2 Proposal を選択 Bindするtunnelインタフェースを指定 Bindするtunnelインタフェースを指定 < CLI > SSG140-> set vpn

28 4 IPsec IKE/Phase2 設定ルートベース < GUI > VPNs > AutoKey IKE( 前項 ) より Advanced を選択 Compatible を選択前項で作成した Phase 2 Proposal を選択 Bindするtunnelインタフェースを指定 Bindするtunnelインタフェースを指定 < CLI > SSG140-> set vpn "Azure" gateway "Azure-GW" tunnel idletime 0 proposal "Azure-P2 SSG140-> set vpn "Azure" monitor optimized rekey SSG140-> set vpn "Azure" bind interface tunnel.1 28 Copyright 2015 Juniper Networks, Inc.

29 4 IPsec IKE/Phase2 設定ポリシーベース < GUI > VPNs > AutoKey IKE( 前項 ) より Advanced を選択前項で作成した Phase 2 Proposal を選択 Bind する tunnel インタフェースを指定 < CLI > SSG140-> set vpn "Azure" gateway "Azure-GW" tunnel idletime 0 proposal "Azure-P2 SSG140-> set vpn "Azure" monitor optimized rekey 29 Copyright 2015 Juniper Networks, Inc.

4 IPsec Phase2 設定 < GUI > VPNs > AutoKey IKE より前項で設定した項目より Proxy ID を選択ルートベースポリシーベースオンプレミスネットワークのサブネットワーク Microsoft Azure 仮想ネットワークのアドレス空間ポリシーベース VPN 構成では複数の Proxy ID

30 4 IPsec Phase2 設定 < GUI > VPNs > AutoKey IKE より前項で設定した項目より Proxy ID を選択ルートベースポリシーベースオンプレミスネットワークのサブネットワーク Microsoft Azure 仮想ネットワークのアドレス空間ポリシーベース VPN 構成では複数の Proxy ID を設定することが出来ないのでそれぞれのサブネットごとに AutoKey IKE を設定する < CLI > SSG140-> set vpn "Azure" proxy-id local-ip /16 remote-ip /16 "ANY 30 Copyright 2015 Juniper Networks, Inc.

31 5 ポリシー設定ルートベースポリシーベース < GUI > Policy > Policy Elements > Addresses > List より Trust または Untrust を選択し New で Microsoft Azure 仮想ネットワークのアドレス空間とオンプレミスネットワークをアドレスオブジェクとして追加任意の名前を指定 < CLI > SSG140-> set address "Trust" "Onpremise-NW" SSG140-> set address "Untrust" "Azure-NW" Copyright 2015 Juniper Networks, Inc.

32 5 ポリシー設定 < GUI > Policy > Policies より From, To で Zone を選択し New で作成ルートベース前項で設定したアドレスオブジェクトを指定通信させるプロトコルを指定 Action として Permit を指定 < CLI > SSG140-> set policy id 1 from "Trust" to "Untrust" "Onpremise-NW" "Azure-NW" "ANY" permit SSG140-> set policy id 2 from "Untrust" to "Trust" "Azure-NW" "Onpremise-NW" "ANY" permit 32 Copyright 2015 Juniper Networks, Inc.

34 5 ポリシー設定ポリシーベース < CLI > SSG140-> set policy id 19 from "Trust" to "Untrust" "Onpremise-NW" "Azure-NW" "ANY" tunnel vpn "Azure" pair-policy 20 SSG140-> set policy id 20 from "Untrust" to "Trust" "Azure-NW" "Onpremise-NW" "ANY" tunnel vpn "Azure" pair-policy Copyright 2015 Juniper Networks, Inc.

36 1 インタフェース設定 (LAN 側インタフェース ) < GUI > Network > Interfaces > List より設定するインタフェースの Edit を選択ルートベースポリシーベース zone を指定 IP アドレスを指定 < CLI > SSG140->set interface ethernet0/0 ip /22 36 Copyright 2015 Juniper Networks, Inc.

37 1 インタフェース設定 (WAN 側 PPPoE インタフェース ) < GUI > Network > PPP > PPPoE Profile より選択 Network > Interface より使用するインタフェースを選択ルートベースポリシーベース zone を指定 ISP の認証情報を入力作成した PPPoE Profile を指定 < CLI > SSG140-> set pppoe name Flet's SSG140-> set pppoe name Flet's username test@juniper.net password juniper SSG140-> set pppoe name Flet's interface ethernet0/9 SSG140-> set pppoe name Flet's authentication chap SSG140-> set pppoe name Flet's idle 0 37 Copyright 2015 Juniper Networks, Inc.

38 1 インタフェース設定 (Tunnel インタフェース ) ルートベース < GUI > Network > Interface より Tunnel IF, New を選択 zone を指定 Unnumbered を選択 WAN 側で使用するインタフェースを選択 < CLI > SSG140-> set interface tunnel.1 ip unnumbered interface ethernet0/9 SSG140-> set interface tunnel.1 zone "Untrust" 38 Copyright 2015 Juniper Networks, Inc.

39 2 ルーティング設定ルートベースポリシーベース < GUI > Network > Routing > Destination より trust-vr, New を選択デフォルトルートを指定 WAN 側で使用するインタフェースを指定 < CLI > SSG140-> set route /0 interface ethernet0/9 39 Copyright 2015 Juniper Networks, Inc.

40 2 ルーティング設定ルートベース < GUI > Network > Routing > Destination より trust-vr, New を選択 Microsoft Azure 仮想ネットワークのアドレス空間を指定 1 で作成した Tunnel インタフェースを指定 < CLI > SSG140-> set route /16 interface tunnel.1 40 Copyright 2015 Juniper Networks, Inc.

3 IPsec IKE/Phase1 設定 < GUI > VPNs > AutoKey Advanced > Gateway より New を選択ルートベースポリシーベース任意の名前を指定 IKEv2

42 3 IPsec IKE/Phase1 設定ルートベースポリシーベース < GUI > VPNs > AutoKey Advanced > Gateway の Advanced 設定 Microsoft Azure VPN ゲートウェイで表示された共有キーインタフェースを指定 Compatible を選択 Interval として 10 秒を指定 42 Copyright 2015 Juniper Networks, Inc.

43 3 IPsec IKE/Phase1 設定ルートベースポリシーベース < CLI > SSG140-> set ike gateway ikev2 "Azure-GW" address A.A.A.A outgoing-interface "ethernet0/9" preshare "e6laszb9n+sp3is0kkcji/pxy0niysufp7vgezts8fgovixsm/kaus5v +wzdi5clekvx6dih7+zq" sec-level compatible SSG140-> set ike gateway "Azure-GW dpd-liveness interval Copyright 2015 Juniper Networks, Inc.

4 IPsec IKE/Phase2 設定ルートベースポリシーベース < GUI > VPNs > AutoKey IKE より New を選択任意の名前を指定

45 4 IPsec IKE/Phase2 設定ルートベース < GUI > VPNs > AutoKey IKE( 前項 ) より Advanced を選択 Compatible を選択 Bind する tunnel インタフェースを指定 < CLI > SSG140-> set vpn "Azure" gateway "Azure-GW" tunnel idletime 0 sec-level compatible SSG140-> set vpn "Azure" bind interface tunnel.1 SSG140-> set vpn "Azure" monitor optimized rekey 45 Copyright 2015 Juniper Networks, Inc.

46 4 IPsec IKE/Phase2 設定ポリシーベース < GUI > VPNs > AutoKey IKE( 前項 ) より Advanced を選択 Compatible を選択 < CLI > SSG140-> set vpn "Azure" gateway "Azure-GW" tunnel idletime 0 sec-level compatible SSG140-> set vpn "Azure" monitor optimized rekey 46 Copyright 2015 Juniper Networks, Inc.

5 ポリシー設定ルートベースポリシーベース < GUI > Policy > Policy Elements > Addresses > List より Trust または Untrust を選択し New で Microsoft Azure 仮想ネットワークのアドレス空間とオンプレミスネットワークをアドレスオブジェクとして追加任意の名前を指定 < CLI >

47 5 ポリシー設定ルートベースポリシーベース < GUI > Policy > Policy Elements > Addresses > List より Trust または Untrust を選択し New で Microsoft Azure 仮想ネットワークのアドレス空間とオンプレミスネットワークをアドレスオブジェクとして追加任意の名前を指定 < CLI > SSG140-> set address "Trust" "Onpremise-NW" SSG140-> set address "Untrust" "Azure-NW" Copyright 2015 Juniper Networks, Inc.

5 ポリシー設定 < GUI > Policy > Policies より From, To で Zone を選択し New で作成ルートベース前項で設定したアドレスオブジェクトを指定通信させるプロトコルを指定 Action として Permit を指定 < CLI > SSG140-> set policy id 1 from "Trust" to

48 5 ポリシー設定 < GUI > Policy > Policies より From, To で Zone を選択し New で作成ルートベース前項で設定したアドレスオブジェクトを指定通信させるプロトコルを指定 Action として Permit を指定 < CLI > SSG140-> set policy id 1 from "Trust" to "Untrust" "Onpremise-NW" "Azure-NW" "ANY" permit SSG140-> set policy id 2 from "Untrust" to "Trust" "Azure-NW" "Onpremise-NW" "ANY" permit 48 Copyright 2015 Juniper Networks, Inc.

5 ポリシー設定 < GUI > Policy > Policies より From, To で Zone を選択し New で作成ポリシーベース前項で設定したアドレスオブジェクトを指定

50 5 ポリシー設定ポリシーベース < CLI > SSG140-> set policy id 19 from "Trust" to "Untrust" "Onpremise-NW" "Azure-NW" "ANY" tunnel vpn "Azure" pair-policy 20 SSG140-> set policy id 20 from "Untrust" to "Trust" "Azure-NW" "Onpremise-NW" "ANY" tunnel vpn "Azure" pair-policy Copyright 2015 Juniper Networks, Inc.

53 5. 接続できない通信ができない時よくある問題 Proxy-ID とポリシーオブジェクトの不一致 IPsec Phase2 設定の Proxy ID の Local/Remote IP と該当するセキュリティポリシーの source-address/destination-address が一致していないと Proxy ID のネゴシエーションが失敗します VPN 設定とポリシーのこれら値が一致していることを確認してください失敗している場合 event ログに下記のログが出力されるのでどの Local/Remote IP の設定が間違っているか確認する事が出来ます IKE A.A.A.A Phase 2: No policy exists for the proxy ID received: local ID ( / , 0, 0) remote ID ( / , 0, 0). Microsoft Azure 管理ポータルのステータス Microsoft Azure 管理ポータルでは接続 / 切断を実行後にも VPN のステータスがすぐには反映されないことがあります Microsoft Azure 管理ポータルで VPN が接続 / 切断であっても SSG 側で正常に接続 / 切断されている状態のときはステータスが更新されるまでお待ち下さい TCP MSS 最適化 VPN トラフィックに対して下記コマンドで mss を設定 set flow vpn-tcp-mss 1350 (PPPoE 接続の場合 1320) 53 Copyright 2015 Juniper Networks, Inc.

54 5. 接続と確認 SSG 側接続確認 : IPsec VPN 接続ステータス SSG140-> get sa active Total active sa: 2 total configured sa: 2 HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys b< A.A.A.A 500 esp:3des/sha1 a73e1b unlim A/ b> A.A.A.A 500 esp:3des/sha1 cce5f86a 3523 unlim A/ < B.B.B.B 500 esp:3des/sha1 a73e1b unlim A/ > B.B.B.B 500 esp:3des/sha1 8441bbfc 3399 unlim A/ Activeの数値がカウントされる SSG140-> get sa id 11 index 6, name Azure-APAC, peer gateway ip A.A.A.A. vsys<root> auto key. tunnel if binding node, tunnel mode, policy id in:<-1> out:<-1> vpngrp:<-1>. sa_list_nxt:<-1>. tunnel id 11, peer id 2, NSRP Local. site-to-site. Local interface is ethernet0/0 <X.X.X.X>. esp, group 0, 3des encryption, sha1 authentication autokey, IN inactive, OUT inactive monitor<0>, latency: -1, availability: 0 DF bit: clear app_sa_flags: 0x proxy id: local / , remote / , proto 0, port 0/0 ike activity timestamp: DSCP-mark : disabled nat-traversal map not available 詳細接続情報 incoming: SPI a73e1b79, flag , tunnel info b, pipeline life 3600 sec, 3272 remain, 0 kb, 0 bytes remain anti-replay off, idle timeout value <0>, idled 28 seconds next pak sequence number: 0x0 bytes/paks: /28305; sw bytes/paks: /28305 outgoing: SPI cce5f86a, flag , tunnel info b, pipeline life 3600 sec, 3272 remain, 0 kb, 0 bytes remain anti-replay off, idle timeout value <0>, idled 328 seconds next pak sequence number: 0x0 bytes/paks: /34757; sw bytes/paks: / Copyright 2015 Juniper Networks, Inc.

55 5. 接続と確認 SSG 側接続確認 : セッション確認 SSG140-> get session nat used ipv6 addr: allocated 0/maximum alloc 9/max 48064, alloc failed 0, mcast alloc 0, di alloc failed 0 total reserved 0, free sessions in shared pool 48055id 16020/s**,vsys 0,flag /0000/0001/0000,policy 12,time 2, dip 0 module 0 if 20(nspflag 2801): /24568-> /1,1, ,sess token 4,vlan 0,tun b,vsd 0,route 16 if 11(nspflag ): /24568< /1,1,0010dbff4090,sess token 3,vlan 0,tun 0,vsd 0,route 5 id 16029/s**,vsys 0,flag /0080/0021/0010,policy ,time 6, dip 0 module 0 if 0(nspflag 4601):A.A.A.A/500->X.X.X.X/500,17, ,sess token 4,vlan 0,tun 0,vsd 0,route 0 if 3(nspflag ):A.A.A.A/500<-X.X.X.X/500,17, ,sess token 5,vlan 0,tun 0,vsd 0,route 0 id 16032/s**,vsys 0,flag /0000/0001/0000,policy 12,time 2, dip 0 module 0 if 20(nspflag 2801): /12109-> /1,1, ,sess token 4,vlan 0,tun ,vsd 0,route 17 if 11(nspflag ): /12109< /1,1,0010dbff4090,sess token 3,vlan 0,tun 0,vsd 0,route 5 id 16037/s**,vsys 0,flag /0000/0001/0000,policy 12,time 2, dip 0 module 0 if 20(nspflag 2801): /24570-> /1,1, ,sess token 4,vlan 0,tun b,vsd 0,route 16 if 13(nspflag 0800): /24570< /1,1, ,sess token 3,vlan 0,tun 0,vsd 0,route 13 id 16046/s**,vsys 0,flag /0080/0021/0010,policy ,time 6, dip 0 module 0 if 0(nspflag 4601):B.B.B.B/500->X.X.X.X/500,17, ,sess token 4,vlan 0,tun 0,vsd 0,route 0 if 3(nspflag ):B.B.B.B/500<-X.X.X.X/500,17, ,sess token 5,vlan 0,tun 0,vsd 0,route 0 id 16050/s**,vsys 0,flag /0000/0001/0000,policy 12,time 2, dip 0 module 0 if 20(nspflag 2801): /12111-> /1,1, ,sess token 4,vlan 0,tun ,vsd 0,route 17 if 13(nspflag 0800): /12111< /1,1, ,sess token 3,vlan 0,tun 0,vsd 0,route 13 IKE セッションが確立している 55 Copyright 2015 Juniper Networks, Inc.

57 5. 接続できない時 SSG 側接続確認 : インタフェース状態確認 SSG140-> get interface eth0/9 Interface ethernet0/9: description ethernet0/9 number 13, if_info 10504, if_index 0, mode route link up, phy-link up/full-duplex, admin status up status change:5, last change:04/11/ :51:53 vsys Root, zone Untrust, vr trust-vr dhcp client disabled PPPoE enable admin mtu 0, operating mtu 1500, default mtu 1500 WAN 側インタフェースが up で無い時は PPPoE の接続に問題あり *ip X.X.X.X/28 mac 0017.cb43.f48d *manage ip X.X.X.X, mac 0017.cb43.f48d route-deny disable pmtu-v4 disabled ping disabled, telnet disabled, SSH disabled, SNMP disabled web disabled, ident-reset disabled, SSL disabled DNS Proxy disabled, webauth disabled, g-arp enabled, webauth-ip OSPF disabled OSPFv3 disabled BGP disabled RIP disabled RIPng disabled mtrace disabled PIM: not configured IGMP not configured MLD not configured NHRP disabled bandwidth: physical kbps, configured egress [gbw 0kbps mbw 0kbps] configured ingress mbw 0kbps, current bw 0kbps total allocated gbw 0kbps DHCP-Relay disabled at interface level DHCP-server disabled 57 Copyright 2015 Juniper Networks, Inc.

58 5. 接続できない時 SSG 側接続確認 : ルーティング確認 SSG140-> get route IPv4 Dest-Routes for <untrust-vr> (0 entries) H: Host C: Connected S: Static A: Auto-Exported I: Imported R: RIP/RIPng P: Permanent D: Auto-Discovered N: NHRP ib: IBGP eb: EBGP O: OSPF/OSPFv3 E1: OSPF external type 1 E2: OSPF/OSPFv3 external type 2 trailing B: backup route IPv4 Dest-Routes for <trust-vr> (7 entries) ID IP-Prefix Interface Gateway P Pref Mtr Vsys * /16 tun S 20 1 Root * /0 eth0/9 X.X.X.Z S 20 1 Root * 12 X.X.X.X/32 eth0/ H 0 0 Root * 11 X.X.X.X/28 eth0/ C 0 0 Root * /22 eth0/ C 0 0 Root * /32 eth0/ H 0 0 Root * /16 eth0/ S 20 1 Root 58 Copyright 2015 Juniper Networks, Inc.

59 5. 接続できない時 SSG のイベントログの確認 SSG140-> get event :33:01 system info IKE IKESA : Completed IKESA negotiations with CREATE CHILD SA :30:12 system info IKE child sa with CREATE CHILD SA: Completed negotiations with SPI a73e1b5e, tunnel ID 11, and lifetime 3600 seconds/0 KB :28:06 system info IKE child sa with CREATE CHILD SA: Completed negotiations with SPI a73e1b5d, tunnel ID 21, and lifetime 3600 seconds/0 KB :24:11 system info IKE child sa with CREATE CHILD SA: Completed negotiations with SPI a73e1b5c, tunnel ID 11, and lifetime 3600 seconds/0 KB. イベントログを確認してどのようなエラーが出ているか確認できる 59 Copyright 2015 Juniper Networks, Inc.

60 5. 接続できない時接続時 IKE debug 取得方法 SSG140-> debug ike detail SSG140-> undebug all debug の取得 SSG140-> get dbuf stream ## :13:36 : IKE<A.A.A.A> ike packet, len 88, action 0 ## :13:36 : IKE<A.A.A.A> Catcher: received 60 bytes from socket. ## :13:36 : IKE<A.A.A.A> ****** Recv packet if <ethernet0/0> of vsys <Root> ****** ## :13:36 : IKE<A.A.A.A> Catcher: get 60 bytes. src port 500 ## :13:36 : IKE< > found existing ike sa node 2a4b0fc ## :13:36 : IKE<A.A.A.A> Search IKE_SA table, found 2a4b0fc. ## :13:36 : Duplicated pkt checking... ## :13:36 : len in wind 60, hash in wind , len 60, hash ## :13:36 : hash in SA is de5a55b2, len 60 ## :13:36 : start seq no is 966, avil seq no is 0, win size is 1 ## :13:36 : return seq no 966 as Responder ## :13:36 : start seq no is 967, avil seq no is 0, win size is 1 ## :13:36 : IKE<A.A.A.A> ISAKMP msg: ver 20, len 28, nxp 0 exch 37[INFO], flag 08(I(1) R(0) V(0)), msgid 966 ## :13:36 : init cookie ## :13:36 : 4d 1b df 06 b8 96 3d 17 ## :13:36 : resp cookie ## :13:36 : 7c e5 cf 13 e6 cd 67 4b ## :13:36 : current state is 7, exch is 37, response is 0 ## :13:36 : ikev2_ex.c process_informational_req Copyright 2015 Juniper Networks, Inc.

Presentation title here

Presentation title here SSG シリーズ Microsoft Windows Azure Virtual Network との Site-to-Site VPN 接続の構成ガイドジュニパーネットワークス株式会社 2013 年 4 月はじめに本資料ではマイクロソフト様 Windows Azure クラウドサービスにおける仮想ネットワークの機能であるオンプレミスサイトとの LAN 間 IPSec VPN 接続について