TZ SOHOW とJuniper SSG140 におけるサイト間VPN接続方法(Main mode)

Description

SonicWall TZ SOHOW とJuniper SSG140 におけるサイト間VPN接続方法(Main mode)

Resolution

大まかな流れは以下となります。

Juniper SSG140設定手順

•Step1 IPSec Phase1 Proposalを設定
•Step2 IPSec Phase2 Proposalを設定
•Step3 IPSec Gateway を設定
•Step4 IPSec AutoKey IKE を設定
•Step5 アクセスルールを設定

SonicWall TZ SOHOW設定手順

•Step1 アドレスオブジェクトの作成
•Step2 VPNポリシーの作成 一般 タブ
•Step3 VPNポリシーの作成 ネットワーク タブ
•Step4 VPNポリシーの作成 プロポーザル タブ
•Step5 VPNポリシーの作成 詳細 タブ

その他

•ログについて ほか



※ネットワーク構成図※


border=


Juniper SSG140設定手順

Juniper SSG140 とSonicWallTZ SOHOW をサイト間VPNで接続(Main mode)
Firmware Version:6.3.0r22.0 (Firewall+VPN)

Host Name:SSG140

border=

•Step1 IPSec Phase1 Proposalを設定

VPNs > AutoKeyAdvanced > P1 Proposal画面を表示
「New」をクリック

border=

以下の設定を行い「OK」をクリック

border=

設定項目 / 設定値
Name / 任意
Authentication Method / Preshare
GH Group / Group 2
Encryption Algorithm / 3DES-CBC
Hash Algorithm / SHA-1
Lifetime / 86400

Sec/Min/Hours/Days  / Sec

設定が反映されることを確認する

参考:Defaultの場合1画面に20行のみ表示するので、作成した設定(21行目)は2ページ目に表示される

border=

•Step2 IPSec Phase2 Proposalを設定

VPNs > AutoKeyAdvanced > P2 Proposal画面を

表示「New」をクリック

border=

以下の設定を行い「OK」をクリック

border=

設定項目 / 設定値

Name / 任意
Perfect Forward Secrecy / NO-PFS
Encapsulation / Encryption (ESP)
Encryption Algorithm / 3DES-CBC
Authentication Algorithm / SHA-1
Lifetime/ In Time / 28800

Sec/Min/Hours/Days    Sec

設定が反映されることを確認

border=

•Step3 IPSec Gateway を設定

VPNs > AutoKeyAdvanced > Gateway画面を表示「New」をクリック

border=

以下の設定を行い「Advanced」をクリック

border=

設定項目 / 設定値
Gateway Name / 任意
Version / IKEv1
Remote Gateway / Static IP Address
IP Address/Hostname / 10.100.1.66

Peer ID / 10.100.1.66c

以下の設定を行い画面下にスクロールさせる

border=

設定項目 / 設定値

PresharedKey / password
Local ID / 10.200.1.55
Outgoing Interface / ethernet0/9 (Untrust)
Security Level / User Defined =Custom
Phase 1 Proposal / 事前に作成したP1を選択
Mode (Initiator) / Main (ID Protection)
Peer Status Detection / DPD
Interval / 60
Retry / 5

ReconnectInterval / 60

「Return」をクリック

border=

元の画面に遷移するので「OK」をクリック

border=

設定が反映されたことを確認する

border=

•Step4 IPSec AutoKey IKE を設定


VPNs > AutoKeyIKE画面を表示
「New」をクリック

border=

以下の設定を行い「Advanced」をクリック

border=

設定項目 / 設定値
VPN Name / 任意
Remote Gateway / 
Predefined / 事前に作成したGWを指定

以下の設定を行い「Return」をクリック

border=

設定項目 / 設定値

Security Level / User Defined= Custom
Phase 2 Proposal / 事前に作成したP2を選択
VPN Monitor / 有効
Rekey / 有効

元の画面に遷移するので「OK」をクリック

border=

設定が反映されることを確認する

border=

•Step5 アクセスルールを設定

Policy > Policies 画面を表示する
From: 「Trust」To: 「Untrust」を選択→「Go」をクリック

「New」をクリック

border=

以下の設定を行い「OK」をクリックする

border=

設定項目 / 設定値
Name (optional) / 任意
Source Address / New Address かAddress Book Entryを選択
IP/NetworkAddress / 192.168.1.0
Subnet Mask/ / 24
Destination Address / New Address かAddress Book Entryを選択
IP/NetworkAddress / 192.168.168.0
Subnet Mask/ / 24
Service / ANY
Action / Tunnel
Tunnel / VPN   / 事前に作成したポリシーを選択
Modify matching bidirectional VPN policy / 有効
Logging / 有効

at Session Beginning / 有効

設定が反映された事を確認する

作成したポリシー(事例ではID2)の適用順を変更するため「Move」をクリックする

border=

事例では「ID=1」の上に移動するように「→」をクリックする

border=

ルールの適用順(優先順位)が変更されたことを確認する

以上でSSG140 側の設定は完了

SonicWall TZ SOHOW設定手順

Juniper140 とSonicWallTZ SOHOW とサイト間VPN(Main mode)を接続
Product Model:SOHO wireless-N
Firmware Version:SonicOSEnhanced 6.2.5.1-26n.jpn

border=

•Step1 アドレスオブジェクトの作成

ネットワーク/ アドレスオブジェクト画面を表示する
表示形式を「ユーザ定義」にソート→「追加」をクリック
ポップアップ画面が表示される

border=

以下のようにアドレスオブジェクトを設定し「追加」をクリック

“アドレスオブジェクトエントリ追加の完了”と表示されることを確認して「閉じる」をクリック

border=

設定項目 / 設定値
名前 / 任意
ゾーンの割り当て / VPN
種別 / ネットワーク
ネットワーク / 192.168.1.0

ネットマスク/接頭辞長 / 255.255.255.0

設定が追加されるたことを確認する

#ゾーンが「VPN」に設定されていること
#アドレスオブジェクトの作成時に規定では「DMZ」が選択されているので

そのまま登録しないこと

border=

•Step2 VPNポリシーの作成 一般 タブ

VPN / 設定画面を表示する
VPNポリシーの「追加」をクリック

border=

一般タブで以下を設定する

#続けて別のタブで作業するので、ここでは「OK」をクリックしない

border=

設定項目 / 設定値
セキュリティポリシー /
ポリシー種別 / サイト間
認証方式 / IKE(事前共有鍵を使用)
名前 / 任意
プライマリIPSecGW / 10.200.1.55
セカンダリIPSecGW / 0.0.0.0
IKE認証 / 
事前共有鍵 / password
ローカルIKEID / IPv4 アドレス (10.100.1.66 )
ピアIKE ID / IPv4 アドレス (10.200.1.55 )

•Step3 VPNポリシーの作成 ネットワーク タブ

ネットワークタブで以下を設定する
#続けて別のタブで作業するので、ここでは「OK」をクリックしない

border=

設定項目 / 設定値

ローカルネットワーク / 
ローカルネットワークをリストより選択 / X0 サブネット(192.168.168.0/24)
リモートネットワーク / 

対象先ネットワークをリストより選択 / 事前に作成したアドレスオブジェクト(192.168.1.0/24)

•Step4 VPNポリシーの作成 プロポーザル タブ 

ネットワークタブで以下を設定する

#続けて別のタブで作業するので、ここでは「OK」をクリックしない

border=

ESP設定項目 / 設定値
IKE(フェーズ1)プロポーザル/ 
鍵交換モード / メインモード
DH グループ / グループ2
暗号化 / 3DES
認証 / SHA1
存続期間(秒) / 86400
IKE(フェーズ2)プロポーザル / 
プロトコル / ESP
暗号化 / 3DES
認証 / SHA1
Perfect Forward Secrecyを有効にする / 無効
存続期間(秒) / 28800

•Step5 VPNポリシーの作成

詳細タブで以下を設定後、「OK」をクリック

以上でSOpHOW側の設定が完了

border=

ESP設定項目 / 設定値
キープアライブを有効にする / 
このSAを経由しての管理/HTTP   / 有効
このSAを経由しての管理/SSH   / 有効
このSAを経由しての管理/SNMP    /有効(任意)
VPNポリシーの適用先 / ゾーンWAN

その他 ログについて ほか

・ログについて

サイト間VPNが接続されると以下の表示に変わる

border=

・その他
IPsec (ESP) packet dropped

IPSec VPN Decryption Failed というログが出力され続けるが、通信に影響なし

border=

critical VPN ‘to_SOHOW’ from 10.100.1.66 is up.
critical VPN ‘to_SOHOW’ from 10.100.1.66 is down.

VPNのUp 後→Down していると表示されるが、通信に影響なし

border=

参考

SSG再起動 → VPN(Main mode)の接続成功時のログ

border=

Related Articles

  • How to configure Link Aggregation
    Read More
  • Web Proxy Forwarding is not Supported to a Server on the LAN
    Read More
  • アプリケーション制御を使用して ICMP(Ping)をブロックする方法
    Read More

Categories

Firewalls
SonicWall NSA Series
Firewalls
SonicWall SuperMassive 9000 Series
Firewalls
SonicWall SuperMassive E10000 Series
Firewalls
TZ Series
not finding your answers?
Ask the Community