TZ300W と Juniper SSG140をサイト間VPNで接続 (Aggressive mode)

TZ300W  と Juniper SSG140をサイト間VPNで接続 (Aggressive mode)

大まかな流れは以下となります。

 

•Step1  Tunnel Interface を設定
•Step2  IPSec Phase1 Proposalを設定
•Step3  IPSec Phase2 Proposalを設定
•Step4  IPSec Gateway を設定
•Step5  IPSec AutoKeyIKE を設定
•Step6  Static Route を設定
•Step7  アクセスルールを設定

SonicWallTZ SOHOW の設定手順

•Step1 アドレスオブジェクトの作成
•Step2 VPNポリシーの作成一般タブ
•Step3 VPNポリシーの作成プロポーザルタブ
•Step4 VPNポリシーの作成詳細タブ
•Step5 ルーティング設定

その他

•ログについて　ほか

 

※ネットワーク構成図※

 

Juniper SSG140 とSonicWallTZ SOHOW をトンネルIFを使用してサイト間VPNを接続(Aggressive mode)

 

Firmware Version:      6.3.0r22.0 (Firewall+VPN)
Host Name:             SSG140

 

Step1  Tunnel Interface を設定 Network > Interfaces画面を表示する
「New」をクリック

 

P7
以下のようにTunnel Interface を設定し「OK」をクリックする

設定項目 / 設定値
Tunnel Interface Name / 1
Zone (VR) / Untrust(trust-vr)
Fixed IP/Unnumbered / Unnumbered
Interface /     Ethernet0/9(trust-vr)
Maximum Transfer Unit(MTU) / 1452 (任意)

P8
設定が反映されることを確認する

P9

Step2  IPSecPhase1 Proposalを設定

VPNs > AutoKeyAdvanced > P1 Proposal画面を表示する
「New」をクリック

P10

Phase 1 に以下の設定を行い「OK」をクリックする

設定項目 / 設定値
Name / 任意
Authentication Method / Preshare
DH Group / Group 2
Encryption Algorithm / AES-CBC(256 Bits)
Hash Algorithm / SHA2_256
Lifetime / 28800
Sec/Min/Hours/Days      / Sec

P11
設定が反映されることを確認する

＃規定では20行まで表示する設定になっているので、追加分(21行目)は2ページ目に表示される

P12
Step3  IPSecPhase2 Proposalを設定

VPNs > AutoKeyAdvanced > P2 Proposal画面を表示する

「New」をクリック

 

P13
Phase 2 に以下の設定を行い「OK」をクリックする

設定項目 / 設定値
Name / 任意
Perfect Forward Secrecy / NO-PFS
Encapsulation / Encryption (ESP)
Encryption Algorithm / AES-CBC(256 Bits)
Authentication Algorithm / SHA2_256
Lifetime / In Time      / 28800
Sec/Min/Hours/Days      / Sec

P14
設定が反映されることを確認する

P15
Step4  IPSecGateway を設定 VPNs > AutoKeyAdvanced > Gateway画面を表示する
「New」をクリック

P16
以下の設定を行い「Advanced」をクリック

設定項目 / 設定値
GatewayName / 任意
Version / IKEv1
Remote Gateway / Dynamic IP Address
IP Address/Hostname      / 空白
Peer ID / sohow.local

P17
以下の設定を行い画面下へスクロールする

設定項目 / 設定値
PresharedKey / netscreen
Local ID / ssg140.local
Outgoing Interface / ethernet0/9
Security Level / Custom
Phase 1 Proposal / 事前に作成したP1
Mode (Initiator) / Aggressive
Peer Status Detection / DPD
Interval / 60
Retry / 5
Reconnect Interval / 60

P18
設定内容を確認して「Return」をクリック

P19
元の画面に遷移するので「OK」をクリック

P20
設定が反映されることを確認する

P21
Step5  IPSecAutoKeyIKE を設定

VPNs > AutoKeyIKE画面を表示する
「New」をクリック

P22
以下の設定を行い「Advanced」をクリック

設定項目 / 設定値
VPN Name / 任意
Remote Gateway / 事前に作成したGW

P23
以下の設定を行い「Return」をクリック

設定項目 / 設定値
Security Level / Custom
Phase 2 Proposal / 事前に作成したP1
Bind to / Tunnel Interface
Tunnel Interface / 任意「事例：tunnel.1」
VPN Monitor / 有効
Rekey / 有効

P24
元の画面に遷移するので「OK」をクリック

P25
設定が反映されることを確認する

P26
Step6  Static Route を設定
Network > Routing > Destination 画面を表示する
「trust-vr」が選択されている事を確認して「New」をクリック

P27
以下の設定を行い「OK」をクリック

設定項目 / 設定値
IP Address/Netmask     / 192.168.168.0/24
Next Hop / Gateway
Interface / tunnel.1
Permanent / 有効
Metric / 任意

P28
設定が反映されることを確認する

P29
Step7  アクセスルールを設定 Policy > Policies画面を表示する
From:「Trust」, To:「Unturst」を選択し「Go」をクリック
「New」をクリック

P30
以下の設定を行い「OK」をクリック

設定項目 / 設定値
Name (optional) / 任意
Source Address / 192.168.1.0/24 (事前にAddress Book Entryに登録済みであれば、それを選択)
Destination Address / 192.168.168.0/24(事前にAddress Book Entryに登録済みであれば、それを選択)
Service / ANY
Application / None
Action / Permit
Tunnel / VPN         / None

Logging  / 有効(任意)

at Session Beginning / 有効(任意)

P31
設定が反映されることを確認(事例では、ID=2)
ルールの優先順位を変更するため、ID=2の「Move」をクリックする

P32
事例.ID=1の上に移動したいので「→」をクリック

P33
優先順位が変更されたことを確認する

P34
続けてPolicy > Policies 画面でFrom:「Untrust」,To:「Trust」を選択して「Go」をクリック

「New」をクリック

P35

以下の設定を行い「OK」をクリック

設定項目 / 設定値

Name (optional) / 任意
Source Address / 192.168.168.0/24(事前にAddress Book Entryに登録済みであれば、それを選択)
Destination Address / 192.168.1.0/24(事前にAddress Book Entryに登録済みであれば、それを選択)
Service / ANY
Application / None
Action / Permit
Tunnel/VPN     / None
Logging / 有効(任意)
at Session Beginning / 有効(任意)

P36
設定が反映されることを確認する
以上で、SSG140側の設定は完了

P37
SonicWallTZ SOHOW の作業フロー

P38
Juniper SSG140 とSonicWallTZ SOHOW をトンネルIFを使用してサイト間VPNを接続(Aggressive mode)

Product Model: SOHO wireless-NFirmware 
Version: SonicOSEnhanced 6.2.5.1-26n.jpn

P39

Step1 アドレスオブジェクトの作成 ネットワーク/アドレスオブジェクト画面を表示
表示形式を「ユーザ定義」に選択
「追加」をクリック

P40
以下の設定を行い追加をクリック
“アドレスオブジェクトエントリ追加の完了”が表示されることを確認して「閉じる」をクリック

設定項目 / 設定値
名前 / 任意
ゾーンの割り当て / VPN
種別 / ネットワーク
ネットワーク / 192.168.1.0
ネットマスク/接頭辞長    / 255.255.255.0

P41
設定が反映されることを確認する

＃特にゾーンが「VPN」に作成されている事を確認
#規定のゾーン「DMZ」で作成されている場合、要変更

P42
Step2 VPNポリシーの作成一般タブ VPN /設定画面を表示する
VPNポリシーの「追加」をクリック

P43
一般タブで以下の設定を行う
＃続けて作業するのでここでは「OK」をクリックしないこと

設定項目 / 設定値
ポリシー種別: / トンネルインターフェース
認証方式: / IKE(事前共有鍵を使用)
プライマリIPSecゲートウェイ名またはアドレス: / 10.200.1.55
事前共有鍵: / netscreen
ローカルIKE ID: / ドメイン名 sohow.local
ピアIKE ID: / ドメイン名 ssg140.local

P44

Step3 VPNポリシーの作成プロポーザルタブ プロポーザルタブで以下の設定を行う
＃続けて作業するのでここでは「OK」をクリックしないこと

設定項目 / 設定値
IKE (フェーズ1) プロポーザル / 
鍵交換モード: / アグレッシブモード
DH グループ: / グループ2
暗号化: / AES-256
認証: / SHA256
存続期間(秒): / 28800
Ipsec(フェーズ2) プロポーザル / 
プロトコル: / ESP
暗号化: / AES-256
認証: / SHA256
Perfect Forward Secrecy を有効にする / 無効
存続期間(秒): / 28800

P45
Step4 VPNポリシーの作成詳細タブ 詳細タブで以下の設定を行い「OK」をクリック

設定項目 / 設定値
キープアライブを有効にする / 有効
このSA を経由しての管理: / HTTP 有効, SSH 有効

P46
Step5 ルーティング設定 ネットワーク/ルーティング画面を表示する
表示形式を「ユーザ定義ポリシー」に選択
「追加」をクリック

P47
以下のルートポリシーを設定して「OK」をクリック

設定項目 / 設定値
送信元 / すべて
送信先 / 192.168.1.0/24(事前に作成したアドレスオブジェクト)
サービス / すべて
ゲートウェイ / 0.0.0.0
インターフェース / to_SSG140(事前に作成したトンネルIF)
メトリック / 任意
インターフェースが切断された時、ルートを無効にします / 有効
アクセスルールの自動追加 / 有効

P48
設定が反映されることを確認する
以上でSOHOW 側の設定が完了

その他

P49
VPN接続時のステータス

P50
SSGでは、そのポリシーがどの通信を通過させたのか確認できる
事例は、Trust(SSG140 のTrust Subnets) to Untrust(SOHOWのLAN Subnets)のVPN経由の通信が確認できる

P51
SSGでは、そのポリシーがどの通信を通過させたのか確認できる
事例は、Untrust(SOHOWのLAN Subnets) to Trust(SSG140 のTrust Subnets)のVPN経由の通信が確認できる