ヤマハ RTX1000とJuniper SRX100のIPsec VPNをテストしてみた

投稿日: 2013年1月7日 作成者: しろくま

ヤマハ製ルータRTX1000とJuniper Networks SRX100のIPsec VPN接続をテストしたのでメモ。
他メーカー同士のIPsec VPNは鬼門なんですよ…
こういう接続テストは朝から晩まで試行錯誤しないといけないからやりたくない分野です。

同一メーカーで同一シリーズであれば、自動でパラメータをあわせてくれるのでルーティングとリモートIPを指定するだけでつながります。
メーカーが違う場合は全てのパラメータを明示的に合わせないとつながらないので、厳密に一致させる必要がありますが、機種によって設定できない項目がたまにあるので要注意です。
ローカル環境ではWireSharkを使用してパケットキャプチャーしながらテストするのがおすすめです。
WAN越しの場合はMTUとかの問題でフラグメントして落ちる場合があるので、TCP-MSSを指定しておく必要があります。

IPsecのパラメータ

SRX100のグローバルIP:1.2.3.1
RTX1000のグローバルIP:1.2.3.2

Phase1の設定
認証方法:Pre-shared-key
フェーズ1の交換モード:メインモード
DH-Group 2
SHA-1
AES128bit-CBC
ライフタイム:3600秒

Phase2の設定
ESP
AES126bit-CBC
HMAC-SHA1
PFS無し
ライフタイム:3600秒
トンネルモード

Pre-shared-keyは「password1234」

SRX100をセンターとして構築しました。
SSG5とSRX100のIPsecVPNも行いました。

SRX100のConfig

set interfaces st0 unit 1 family inet
set security ike respond-bad-spi 5

set security ike proposal test-p1-proposal
set security ike proposal test-p1-proposal authentication-method pre-shared-keys
set security ike proposal test-p1-proposal dh-group group2
set security ike proposal test-p1-proposal authentication-algorithm sha1
set security ike proposal test-p1-proposal encryption-algorithm aes-128-cbc
set security ike proposal test-p1-proposal lifetime-seconds 3600

set security ike policy test-p1-policy
set security ike policy test-p1-policy mode main
set security ike policy test-p1-policy proposals test-p1-proposal
set security ike policy test-p1-policy proposals pre-shared-key ascii-text password1234

set security ike gateway test-p1-gw
set security ike gateway test-p1-gw ike-policy test-p1-policy
set security ike gateway test-p1-gw address 1.2.3.2
set security ike gateway test-p1-gw external-interface fe-0/0/0

set security ipsec proposal test-p2-proposal
set security ipsec proposal test-p2-proposal protpcol esp
set security ipsec proposal test-p2-proposal authentication-algorithm hmac-sha1-96
set security ipsec proposal test-p2-proposal encryption-algorithm aes-128-cbc
set security ipsec proposal test-p2-proposal lifetime-seconds 3600

set security ipsec policy test-p2-policy
set security ipsec policy test-p2-policy proposals test-p2-proposal
set security ipsec vpn test-vpn
set security ipsec vpn test-vpn bind-interface st0.1
set security ipsec vpn test-vpn ike gateway test-p1-gw
set security ipsec vpn test-vpn ike proxy-identity local 172.16.1.0/24
set security ipsec vpn test-vpn ike proxy-identity remote 172.16.9.0/24
set security ipsec vpn test-vpn ike ipsec-policy test-p2-policy
set security ipsec vpn test-vpn establish-tunnels immediately

set security zones security-zone trust address-book address net1 172.16.1.0/24
set security zones security-zone trust address-book address net2 172.16.9.0/24

set security policies from-zone trust to-zone trust policy n1-n2-poli
set security policies from-zone trust to-zone trust policy n1-n2-poli match source-address net1
set security policies from-zone trust to-zone trust policy n1-n2-poli match destination-address net2
set security policies from-zone trust to-zone trust policy n1-n2-poli match application any
set security policies from-zone trust to-zone trust policy n1-n2-poli then permit

set security policies from-zone trust to-zone trust policy n2-n1-poli
set security policies from-zone trust to-zone trust policy n2-n1-poli match source-address net2
set security policies from-zone trust to-zone trust policy n2-n1-poli match destination-address net1
set security policies from-zone trust to-zone trust policy n2-n1-poli match application any
set security policies from-zone trust to-zone trust policy n2-n1-poli then permit

set security flow tcp-mss ipsec-vpn mss 1350
set security zones security-zone trust interfaces st0.1
set routing-options static route 172.16.9.0/24 next-hop st0.1

Yamaha RTX1000のConfig
ip route 172.16.1.0/24 gateway tunnel 1
ip lan1 address 172.16.9.254/24
ip lan2 address 1.2.3.2/27
ip lan2 nat descriptor 1
tunnel select 101
 ipsec tunnel 1
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike duration ipsec-sa 1 3600
  ipsec ike duration isakmp-sa 1 3600
  ipsec ike encryption 1 aes-cbc
  ipsec ike group 1 modp1024
  ipsec ike hash 1 sha
  ipsec ike local address 1 1.2.3.2
  ipsec ike pre-shared-key 1 text password1234
  ipsec ike remote address 1 1.2.3.1
  ip tunnel tcp mss limit 1350
 tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 1.2.3.2
nat descriptor address inner 1 172.16.9.1-172.16.9.254
nat descriptor masquerade static 1 1 1.2.3.2 udp 500
nat descriptor masquerade static 1 2 1.2.3.2 esp
ipsec auto refresh on

確認コマンド
SRX100用
show log kmd
show security ike security-associations
show security ipsec security-associations
show security ipsec statistics

受信と送信のトンネルが確立されていたら正常です。

RTX1000用
show ipsec sa

受信と送信とISAKMPが確立されていたら正常です。

ルーティングの追加やtrustへの登録を忘れがちなので要注意です。
引き込んでいる回線に合わせてMTUを設定してください。

この内容はSRX240などの上位機種でも共通です。
ヤマハの場合はRT107eやRTX1100 RTX1200 RTX1500などでも共通です。

カテゴリー: コンピュータ, ネットワーク パーマリンク

コメントは停止中です。