NetScreen/SSGにおけるリモートアクセスVPNの設定方法

今回はNetScreen/SSGにおけるリモートアクセスVPNの設定方法を
ご紹介致します。地味に苦労しました。Pre-Shard keyとか。
知識有りきの前に実機を触るのが好きなので。
大丈夫、知識なんか後から着いてきますよ!
さてNetScreen/SSGですが既に終息しつつあり現在は新しいOSのSRXシリーズに代わっています。
業務で使う機会は減っていくわけですがディスコンになってヤフオクや中古ではかなりお買い得になっており、
家庭用製品の何倍もセキュアで強力なVPNも使えちゃうわけですから使わない手はありません。
NetScreen Remoteは保守入らないと手に入らない?会社のシステム管理者と仲良くなるかググってみると・・・
ですが残念なことも・・PC側で使用するNetScreen RemoteはWindows7には対応しないようでそのまま終息する模様。
つまり今回の設定ではリモートアクセスする側はWindows Vista/XPでないといけません
OS標準のクライアントでセキュアな通信ができれば良いのですがそれはまた別の機会にします。
ちなみに当方、NetScreen5GT,SSG5,NetScreen25しか扱ったことがないので上位機種については知りません。悪しからず。
あとリモートアクセスするPCでのFW、拠点Bルータ等でパケットがフィルタされないようご注意ください
(ウィルスバスターはフィルタするそうです)
本設定を行うに当たり参考にさせて頂いたサイト様

http://d.hatena.ne.jp/ragnrok/20090223/1235370720
http://www31.atwiki.jp/momijimanjyu/pages/34.html

設定を簡略可しスーパー分かりやすく説明します。

GW-20100927-104553

今回想定する構成図です。一般的な構成ですが、
NetScreen側にはDDNSの設定を施し、いつでもホスト名で
アクセスできるようにしておきます。

■目次
0.下準備
前提としてサイトA、Bの両PCはインターネットに抜ける
ことが可能。(基本設定は済ませておく)
リモートアクセスするPCにはNetScreen Remoteを
入れておく。
1.NetScreen 5GTでの設定
1-1.AddressにてTrustのネットワークアドレス登録
1-2.Local User 作成
1-3.Local group 作成
1-4.Phase 1
1-5.Phase 2
1-6.Polices 2.NetScreen Remoteでの設定
2-1.New Connection
2-2.My Identity
2-3.Security Policy
2-4.Proposal 1
2-5.Proposal 2 3.NetScreen Remoteの操作
1.NetScreen 5GTでの設定
1-1.AddressにてTrustのネットワークアドレス登録 GW-20100927-111829 Addresses > List よりTrust側のネットワーク アドレスに名前をつけてやります。当方は5GTを home-workモードで使ってるのでzoneはworkと してますが通常はtrustを選ぶことになります。

1-2.Local User 作成 GW-20100927-110727 Users > localより新しいユーザを作ります。 User nameを入力。適当でOK enableを選択し IKE user にチェックし IKE Identity にメールアドレスを入力。実在しないもので可 *メールアドレス形式でなくてもいけると思いますが伝統でそのようにするらしいです。

1-3.Local group 作成 GW-20100927-110833 Users > Local Groupsより新しいグループを作ります。
適当な名前をつけて1-2で作ったユーザを左に移します。

1-4.Phase 1

GW-20100927-111339 VPNs > Autokey Advanced > Gateway より Phase1の設定を行ないます。 Gateway nameは適当につけます。 その下はCustomを選択。Dialup User Groupに チェックを入れ、1-3で作ったグループを選択。 Preshard keyは16進数で適当に入れます。入力したものをメモに控えます。(後にNetScreen Remoteで 設定を入力します。また間違わないように慎重に入力してください。 さらに16進数です。数字と英語a~f しか使えず、32文字以下にします。 感覚的にはさらに8文字以上のほうがいいです。 入力が終わったらAdvanced ボタンをクリック。
GW-20100927-111429 Phase1 Proposal にて 「pre-g2-aes128-sha」を選択。ここはよく間違えるので 注意しましょう。「pre-g2-aes128-sha」ですs。 3DESよりも強度の高いAE
Sを選択しましたがきっと スループットは落ちます。開通後お好みで3DESにしても 良いかと思います。その下はAggressiveを選択し、Enable NAT-TraversalとUDP Checksumには チェックをつけません。さらにその下のNoneにチェックをします。 (いい加減な説明だな、おい
             /)
           ///)
          /,.=゙””/
   /     i f ,.r='”-‐’つ____   こまけぇこたぁいいんだよ!!
  /      /   _,.-‐’~/⌒  ⌒\
    /   ,i   ,二ニ⊃( ●). (●)\
   /    ノ    il゙フ::::::⌒(__人__)⌒::::: \
      ,イ「ト、  ,!,!|     |r┬-|     |
     / iトヾヽ_/ィ”\      `ー’´     /
 
 
 
一番下のReturnボタンで戻ってOKボタンをクリックします。

1-5.Phase 2 GW-20100927-111522 VPNs > AutoKeyIKEよりPhase2の設定を 行ないます。VPN Nameは適当につけます。 その下はCustomを選択。Predefindを選択し 1-4で作成したGatewayを選択します。 Advancedをクリック。
GW-20100927-111552 Phase2 Proposal にて 「g2-esp-aes128-sha」を選択。間違いやすいので 気をつけます。こちらも3DESより強度重視でAESに してみました。Bindはnoneにします。

一番下のReturnボタンで戻ってOKボタンをクリックします。
 
 
 
1-6.Polices GW-20100927-111804 Policy をクリックし untrust→trustのポリシーに 追加します。Source AddressはDial-Up VPNを Distination Addressは-1-1で作成したTrustの アドレスを。Service ANYになってることを確認。 Action Tunnelを選択し、Tunnelは1-5で作ったもの選択。 Loggingはお好みで。 お疲れ様でした!NetScreen/SSG側の設定はこれでおしまいです。
2.NetScreen Remoteでの設定
2-1.New Connection 1 NewConnection 左上のアイコンをクリックし新しい設定を追加します。 New Connectionを選択し、こんな感じで。 SubnetはTrustのネットワークアドレスを。 下のほうはDDNSの場合の設定です。このようにホスト名を 入力します。ちなみにここも間違えやすいので要注意です。 終わったらセーブボタンクリック。

2-2.My Identity 2 My identity My Identityをクリックし、Pre-Shard keyをクリック。 1-4で設定した文字を入力しておきます。 ID TypeはE-mail Addressを選択し、1-2で作成した メールアドレスを入力します。他はデフォルトだったと 思いますがもし画像と違っていたら画像に合わせて 変更します。終わったらセーブボタンクリック。

2-3.Security Policy 3 Security policy Aggressive modeを選択し、Enable ~に チェックを入れます。~group 2が選べれて いることを確認。終わったらセーブボタンクリック。

2-4.Proposal 1 4 proposal 1 上はPre-Shard keyが選択されていることを確認。 暗号化タイプはAES-128,SHA-1を選択。 終わったらセーブボタンクリック。

2-5.Proposal 2 5 proposal 2 Phase2も同様に 暗号化タイプはAES-128,SHA-1を選択。 終わったらセーブボタンクリック。

お疲れ様でした!NetScreen/SSG側の設定はこれでおしまいです。

3.NetScreen Remoteの操作 NetScreen Remoteはタスクトレイ右下のアイコンを右クリックして制御します。 当方は新規に接続する場合、Deactivce Security Policyしてから、再度Aeactivce Security Policyに Connect→New Connectionを選択してます。ちなみにdisconnectとしてもまた勝手にconnectして しまうのでVPNを無効にしたい場合はDeactivce Security Policyを選択します。
以上です。ではでは。
■こんな記事も読まれているよ☆
【Catalyst速報】STP,RSTPが有効でもループする時。【Trunk注意】
Cisco 1812J のUSBポートに色々挿してみるぞ
【GTS】Ciscoでシェーピングを実施する
【初心者向け】 簡単BGP講座
BUFFALO WHR-G301NでOpenFlowをやってみる
【織田信奈の野望】BHYYYY!!!!竹中半兵衛ちゃん最高ぅう!!!!
それにしても邪気眼丸ちゃんきゃわわ!
(織田信奈の野望/梵天丸)

         ,-、            ,.-、
        ./:::::\          /::::::ヽ     
       /::::::::::::;ゝ–──– 、._/::::::::::::::|
       /,.-‐””´          \:::::::::::|
     /                ヽ、::::|
    /     /\     /\     ヽ|  
     l   , , ,                     l    はぅ~梵天丸ちゃんかわいい!
    .|        (_人__丿  ”””      |   一緒に夜景を見ながらチュウしたいなぁ
     l        ヽノ            l 
    ` 、  /⌒⌒i   /⌒ヽ        /
      `/    |   |    \    /
TV東京あにてれ
 
織田信奈の野望

コメントを残す

8 thoughts on “NetScreen/SSGにおけるリモートアクセスVPNの設定方法”