NetScreenで拠点間インターネットVPN構築
以前リモートVPNを設定したところでしたが
2台のNetscreenもあるしせっかくなので自宅ーyDCの2拠点間でインターネットVPN設定をしたので
ちょっとしたまとめをここに。
2台以上のNetscreenを利用してこの拠点間VPNを構築することで
各拠点にあるマシンは、リモートVPNクライアントなどのソフトウェアも必要なく
あたかも同じセグメント内にあるマシンかのような使い方が出来るようになります。
拠点間インターネットVPNを構築する場合は、各拠点で下記のような手順で
両方の機器に設定を行います
1.) Trust側インターフェース設定
2.) Untrust側インターフェース設定
3.) Routing設定
4.) Phase1の設定
5.) Phase2の設定
6.)Policy設定
では、上の図のネットワークをベースにコマンドラインで詳細を。
1.) Trust側インターフェース設定
2.) Untrust側インターフェース設定
この2つの手順は各環境に合わせて設定してください。
3.) Routing設定
ns-> set route 0.0.0.0/0 interface untrust preference 20
4.) Phase1の設定
ns-> set ike gateway “GW” address xxx.xxx.xxx.xxx Main outgoing-interface “untrust” preshare “********” sec-level standard
5.) Phase2の設定
ns-> set vpn “VPN” gateway “GW” no-replay tunnel idletime 0 sec-level standard
6.)Policy設定
ns-> set policy id 1 name “Policy” from “Untrust” to “Trust” “192.168.100.0/24″ “192.168.0.0/24″ “ANY” tunnel vpn “VPN” id 2 pair-policy 2
ns-> set policy id 2 name “Policy” from “Untrust” to “Trust” “192.168.0.0/24″ “192.168.100.0/24″ “ANY” tunnel vpn “VPN” id 2 pair-policy 1
以上で設定完了です。対向側の拠点にも同一の設定を行って終了。
接続の確認はpingを打ってみたり、NetscreenのGUI管理画面Policyのところで
追加したポリシーのActionカラムのシンボルが鍵マークで矢印が付いていればOK。
もしうまく通信できない場合はログなどを確認してみて原因を探りましょう。
環境によってはスタティックルーティングの設定が必要になると思います。
