今回はNetScreen/SSGにおけるリモートアクセスVPNの設定方法を
ご紹介致します。地味に苦労しました。Pre-Shard keyとか。
知識有りきの前に実機を触るのが好きなので。
大丈夫、知識なんか後から着いてきますよ!
さてNetScreen/SSGですが既に終息しつつあり現在は新しいOSのSRXシリーズに代わっています。
業務で使う機会は減っていくわけですがディスコンになってヤフオクや中古ではかなりお買い得になっており、
家庭用製品の何倍もセキュアで強力なVPNも使えちゃうわけですから使わない手はありません。
NetScreen Remoteは保守入らないと手に入らない?会社のシステム管理者と仲良くなるかググってみると・・・
ですが残念なことも・・PC側で使用するNetScreen RemoteはWindows7には対応しないようでそのまま終息する模様。
つまり今回の設定ではリモートアクセスする側はWindows Vista/XPでないといけません
OS標準のクライアントでセキュアな通信ができれば良いのですがそれはまた別の機会にします。
ちなみに当方、NetScreen5GT,SSG5,NetScreen25しか扱ったことがないので上位機種については知りません。悪しからず。
あとリモートアクセスするPCでのFW、拠点Bルータ等でパケットがフィルタされないようご注意ください
(ウィルスバスターはフィルタするそうです)
本設定を行うに当たり参考にさせて頂いたサイト様
http://d.hatena.ne.jp/ragnrok/20090223/1235370720
http://www31.atwiki.jp/momijimanjyu/pages/34.html
設定を簡略可しスーパー分かりやすく説明します。
今回想定する構成図です。一般的な構成ですが、
NetScreen側にはDDNSの設定を施し、いつでもホスト名で
アクセスできるようにしておきます。
■目次
0.下準備
前提としてサイトA、Bの両PCはインターネットに抜ける
ことが可能。(基本設定は済ませておく)
リモートアクセスするPCにはNetScreen Remoteを
入れておく。
1.NetScreen 5GTでの設定
1-1.AddressにてTrustのネットワークアドレス登録
1-2.Local User 作成
1-3.Local group 作成
1-4.Phase 1
1-5.Phase 2
1-6.Polices 2.NetScreen Remoteでの設定
2-1.New Connection
2-2.My Identity
2-3.Security Policy
2-4.Proposal 1
2-5.Proposal 2 3.NetScreen Remoteの操作
1.NetScreen 5GTでの設定
1-1.AddressにてTrustのネットワークアドレス登録 Addresses > List よりTrust側のネットワーク アドレスに名前をつけてやります。当方は5GTを home-workモードで使ってるのでzoneはworkと してますが通常はtrustを選ぶことになります。
1-2.Local User 作成 Users > localより新しいユーザを作ります。 User nameを入力。適当でOK enableを選択し IKE user にチェックし IKE Identity にメールアドレスを入力。実在しないもので可 *メールアドレス形式でなくてもいけると思いますが伝統でそのようにするらしいです。
1-3.Local group 作成 Users > Local Groupsより新しいグループを作ります。
適当な名前をつけて1-2で作ったユーザを左に移します。
1-4.Phase 1
VPNs > Autokey Advanced > Gateway より Phase1の設定を行ないます。 Gateway nameは適当につけます。 その下はCustomを選択。Dialup User Groupに チェックを入れ、1-3で作ったグループを選択。 Preshard keyは16進数で適当に入れます。入力したものをメモに控えます。(後にNetScreen Remoteで 設定を入力します。また間違わないように慎重に入力してください。 さらに16進数です。数字と英語a~f しか使えず、32文字以下にします。 感覚的にはさらに8文字以上のほうがいいです。 入力が終わったらAdvanced ボタンをクリック。
Phase1 Proposal にて 「pre-g2-aes128-sha」を選択。ここはよく間違えるので 注意しましょう。「pre-g2-aes128-sha」ですs。 3DESよりも強度の高いAE
Sを選択しましたがきっと スループットは落ちます。開通後お好みで3DESにしても 良いかと思います。その下はAggressiveを選択し、Enable NAT-TraversalとUDP Checksumには チェックをつけません。さらにその下のNoneにチェックをします。 (いい加減な説明だな、おい
/)
///)
/,.=゙””/
/ i f ,.r='”-‐’つ____ こまけぇこたぁいいんだよ!!
/ / _,.-‐’~/⌒ ⌒\
/ ,i ,二ニ⊃( ●). (●)\
/ ノ il゙フ::::::⌒(__人__)⌒::::: \
,イ「ト、 ,!,!| |r┬-| |
/ iトヾヽ_/ィ”\ `ー’´ /
一番下のReturnボタンで戻ってOKボタンをクリックします。
1-5.Phase 2 VPNs > AutoKeyIKEよりPhase2の設定を 行ないます。VPN Nameは適当につけます。 その下はCustomを選択。Predefindを選択し 1-4で作成したGatewayを選択します。 Advancedをクリック。
Phase2 Proposal にて 「g2-esp-aes128-sha」を選択。間違いやすいので 気をつけます。こちらも3DESより強度重視でAESに してみました。Bindはnoneにします。
一番下のReturnボタンで戻ってOKボタンをクリックします。
1-6.Polices Policy をクリックし untrust→trustのポリシーに 追加します。Source AddressはDial-Up VPNを Distination Addressは-1-1で作成したTrustの アドレスを。Service ANYになってることを確認。 Action Tunnelを選択し、Tunnelは1-5で作ったもの選択。 Loggingはお好みで。 お疲れ様でした!NetScreen/SSG側の設定はこれでおしまいです。
2.NetScreen Remoteでの設定
2-1.New Connection 左上のアイコンをクリックし新しい設定を追加します。 New Connectionを選択し、こんな感じで。 SubnetはTrustのネットワークアドレスを。 下のほうはDDNSの場合の設定です。このようにホスト名を 入力します。ちなみにここも間違えやすいので要注意です。 終わったらセーブボタンクリック。
2-2.My Identity My Identityをクリックし、Pre-Shard keyをクリック。 1-4で設定した文字を入力しておきます。 ID TypeはE-mail Addressを選択し、1-2で作成した メールアドレスを入力します。他はデフォルトだったと 思いますがもし画像と違っていたら画像に合わせて 変更します。終わったらセーブボタンクリック。
2-3.Security Policy Aggressive modeを選択し、Enable ~に チェックを入れます。~group 2が選べれて いることを確認。終わったらセーブボタンクリック。
2-4.Proposal 1 上はPre-Shard keyが選択されていることを確認。 暗号化タイプはAES-128,SHA-1を選択。 終わったらセーブボタンクリック。
2-5.Proposal 2 Phase2も同様に 暗号化タイプはAES-128,SHA-1を選択。 終わったらセーブボタンクリック。
お疲れ様でした!NetScreen/SSG側の設定はこれでおしまいです。
3.NetScreen Remoteの操作 NetScreen Remoteはタスクトレイ右下のアイコンを右クリックして制御します。 当方は新規に接続する場合、Deactivce Security Policyしてから、再度Aeactivce Security Policyに Connect→New Connectionを選択してます。ちなみにdisconnectとしてもまた勝手にconnectして しまうのでVPNを無効にしたい場合はDeactivce Security Policyを選択します。
以上です。ではでは。
■こんな記事も読まれているよ☆
【Catalyst速報】STP,RSTPが有効でもループする時。【Trunk注意】
Cisco 1812J のUSBポートに色々挿してみるぞ
【GTS】Ciscoでシェーピングを実施する
【初心者向け】 簡単BGP講座
BUFFALO WHR-G301NでOpenFlowをやってみる
【織田信奈の野望】BHYYYY!!!!竹中半兵衛ちゃん最高ぅう!!!!
それにしても邪気眼丸ちゃんきゃわわ!
(織田信奈の野望/梵天丸)
,-、 ,.-、
./:::::\ /::::::ヽ
/::::::::::::;ゝ–──– 、._/::::::::::::::|
/,.-‐””´ \:::::::::::|
/ ヽ、::::|
/ /\ /\ ヽ|
l , , , l はぅ~梵天丸ちゃんかわいい!
.| (_人__丿 ””” | 一緒に夜景を見ながらチュウしたいなぁ
l ヽノ l
` 、 /⌒⌒i /⌒ヽ /
`/ | | \ /
TV東京あにてれ
織田信奈の野望
8 thoughts on “NetScreen/SSGにおけるリモートアクセスVPNの設定方法”
はじめまして
NSの検索したらたどり着きました
やりたいことがばっちり合ってたので同じように設定して
見ようと思うのですが、VPNクライアントをどうしようか
迷っています。NS-Remoteはググれば手に入るのですか?
別のソフトでも動作確認とれてるのはありますか?
Win7 64対応だと最高ですよね・・・
コメントありがとうございます、もーもー太郎と申します。
NetScreen RemoteやCisco VPN Client等はぐぐると
違法にアップロードしてる海外サイトが見つかりました。
これを利用して良いか悪いかの判断はおまかせしますが
とりあえず入手は可能だと思います。
その後も特に検証は進めていないためすみませんが、NS-Remote
以外については不明です・・
今思いついたのですが、Win7で使いたい場合、
XPmode上かVirtualPC上でNS-Remoteが利用可能です。
(ホストXP,ゲストXPの環境でゲストOSからNS-Remoteで
正常にVPN通信ができることを以前確認してました)
Win7に対応したSRX Remote(?)を早く出してほしいですね~!
お返事ありがとうございました
Shrew Soft VPNというソフトで接続成功しました
後はWOLさえできれば・・・
netscreen-remoteはjuniper本家のサイトでユーザアカウントを作成して、screen-osのダウンロード申請をすれば、screen-osとともに最新版がダウンロードできるようになりますよ。
windows 7でvpn機能を使用するには、OS標準のVPNでつなぐこともできそうですが、接続先がIPアドレスしか設定できそうになかったので、グローバルIPを固定で持っていないとむずかしそうです。
Juniperの方針として、VPNやるなら、SRX+DynamicVPNライセンスを購入するか、NS-SAシリーズを購入しろというスタンス見たいです。私は中古でns-sa-700とns-sa-2000を購入して使用していますが、かなり快適です。こちらも最新OSは、Juniper本家で最新の物をダウンロードできるみたいです。
あと、WOLですが、Juniper本家に設定例がありましたのでお知らせします。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB11654
hogeo様
NS-Remoteが保守契約してなくても本家からダウンロード
できるとは。いやはや、お恥ずかしい。
その他貴重なコメントありがとうございます(´∀`)
はじまして。
NetScreen-RemoteとSSG140を使用して、IPsec VPNを張っているのですが、どうも分からない部分があります。
1台目の設定はうまくいったのですが、その後、他の端末にもNetScreen-Remoteをインストールすることになり、セキュリティファイル(.spd)をエクスポート→インポートすると、同時接続が出来ません。
恐らくSA IDなるものが同じだからひっかかっているのだと思いますが、そもそもそのSA IDを変更することは可能なのでしょうか。
もし、無理な場合、同じ設定で複数端末で同時にVPN接続はどういった方法がベストでしょうか。
>>なんちゃって様
コメント頂きありがとうございます。
私も記事を書いておきながらあまり詳しくはないのですが
今回紹介したやり方ではメールアドレスがユーザ毎のキーに
なりますのでSSGでユーザ毎にLocal userを作成する際には
メールアドレスは重複しないように注意する必要があるかと思います。
(全く同じユーザ名(メールアドレス)が同時複数
接続するのは無理かと思っております。)
あと多くのセッションを貼る場合は同時VPNトンネル数にも
注意が必要かもしれません。
SA IDの変更はやったことがないですね。。ごめんなさい(;´Д`)