VPN: SonicOS Enhancedを稼働するSonicWall UTM装置とNEC社製IX シリーズ ルータとのサイト間VPNの構成
Description
Resolution
はじめに:
このテック ノートはIKEを使用してSonicWALL UTM装置とNEC社製IX シリーズ ルータとのサイト間VPNを構成する方法を示します。
技術的備考:
SonicWALLはサードパーティ製VPN装置の設定をサポートしませんが、SonicOS EnhancedとIX シリーズ ルータの間でのVPN運用について、以下のVPN セキュリティ アソシエーション情報において動作を確認しました:
鍵モード: IKE
IKE モード: PFS (perfect forward secrecy)無しでのメイン モード
SA 認証方式: 事前共有鍵
鍵グループ: DH (Diffie Hellman) – Group 2
暗号化およびデータ整合性: ESP 3DES with SHA1
セットアップの例:
以下の装置およびネットワーク構成例を使用してVPNを設定します。この例では、PFSを使用せずに3DESでの暗号化とSHA1での認証を使用してVPNを設定します。
SonicWALL
装置モデル: TZ200
ファームウェア: SonicOS Enhanced
WAN: 172.16.1.254/24 (X1)
LAN: 192.168.1.254/24 (X0)
RTX Router
装置モデル: IX 2004
ファームウェア: Version 7.0.43
WAN: 172.16.3.254 (LAN2)
LAN: 192.168.3.254/24 (LAN1)
SonicWALLの設定
初めに、SonicWALLでは、リモート ネットワークのためのアドレス オブジェクトを作成する必要があります。
- SonicWALLにログインします。
- ネットワークを表示し、続けてアドレス オブジェクト ページを開きます。
- IX側のVPN範囲に含めるネットワーク(IX側LAN)のためのアドレス オブジェクトを新規作成します。
次に、SonicWALLでSAを作成する必要があります。
1) VPNを表示し、続けて設定ページを開きます (VPNの既定のビュー)。
2) “VPN を有効にする”が選択されていることを確認します。
3) 追加を選択します。
4) ポリシー種別は“サイト間”を選択します。
5) 認証種別は“IKE (事前共有鍵)”を選択します。
6) SAに名前を付けます。この例では“NEC”としています。
7) “主格 IPSec ゲートウェイ名またはアドレス”にIX側のWAN IPを入力します。
8) 事前共有鍵を入力します。この例では“sonicwall”としています。
1) “ネットワーク”タブを選択します。
2) ドロップダウン ボックスから、ローカル ネットワークとして“LAN Subnets”を選択します。
また、対象先ネットワークとして、手順の初めに作成したアドレス オブジェクトを選択します。
1) “プロポーザル”タブを選択します。
2) IKE (フェーズ 1) プロポーザルの中のDH グループで“Group 2”が選択されていることを確認します。
3) IKE (フェーズ 1) プロポーザルの中の認証で“SHA1”が選択されていることを確認します。
4) IPSec (フェーズ 2) プロポーザルの中の認証で“SHA1”が選択されていることを確認します。
5) Perfect Forward Secrecyを有効化しないでください。
1) “プロポーザル”タブを選択します。
2) キープ アライブはこのトンネルを構成する装置の片一方でのみ有効化されていることを確認してください。
3) もしVPNを越えたNetBIOSを通す場合は、“Windows ネットワーキング (NetBIOS) ブロードキャストを有効にする”を選択します。
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
IX側のコマンド
設定が完了したら、必ず“write memory”を実行して下さい。
Router(config)# ip route 192.168.1.0/24 Tunnel0.0
Router(config)# ip route default 172.16.3.55(IXルータ WAN側デフォルト ゲートウェイ)
Router(config)# ip access-list sonicwall-list permit ip src any dest any
Router(config)# ike proposal ike-prop encryption 3des hash sha group 1024-bit
Router(config)# ike policy ike-sonciwall peer 172.16.1.254 key sonicwall ike-prop
Router(config)# ipsec autokey-proposal ipsec-prop esp-3des esp-sha
Router(config)# ipsec autokey-map ipsec-sonicwall sonicwall-list peer 172.16.1.254 ipsec-prop
Router(config)# ipsec local-id ipsec-sonicwall 192.168.3.0/24
Router(config)# ipsec remote-id ipsec-sonicwall 192.168.1.0/24
Router(config)# interface FastEthernet0.0
Router(config-FastEthernet0.0)# ip address 192.168.3.254/24
Router(config-FastEthernet0.0)# no shutdown
Router(config-FastEthernet0.0)# interface FastEthernet1.0
Router(config-FastEthernet1.0)# ip address 172.16.3.254/24
Router(config-FastEthernet1.0)# ip napt static FastEthernet1.0 udp 500
Router(config-FastEthernet1.0)# ip napt enable
Router(config-FastEthernet1.0)# ip tcp adjust-mss auto
Router(config-FastEthernet1.0)# no shutdown
Router(config-FastEthernet1.0)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec
Router(config-Tunnel0.0)# ipsec policy tunnel ipsec-sonicwall
Router(config-Tunnel0.0)# ip unnumbered FastEthernet0.0
Router(config-Tunnel0.0)# no shutdown
全ての設定が完了したら、両拠点から対象先装置のLAN インタフェース IPへPingによる疎通確認を実施します。
※IX ルータの詳細な設定に関しては、装置提供元にご確認ください。
