Network

さくらのクラウドのVPCルータとSSGをサイト間VPN接続する手順

ポイント

さくらのクラウドのVPCルータとJuniper社のSSGシリーズでサイト間VPNを構築する手順をまとめました。

さくらのクラウドにSSG5でサイト間VPN接続

さくらのクラウドにJuniper社のSSG5をポリシーベースVPN接続する案件の相談を受けました。しかし、SSG5って、、、古いですね。。。気を取り直して調べると、さくらのクラウドのドキュメントにはサイト間VPN設定の方法が記載されているページがあります。

サイト間VPN設定 | さくらのクラウド ドキュメント
サイト間VPN設定 | さくらのクラウド ドキュメント

VPCルータでサイト間VPNを利用するための手順です。

manual.sakura.ad.jp

このページによると動作確認済みアプライアンスとして、Juniper NetScreen/SSGシリーズが挙げられているので接続することができそうですが、実際の設定例にはSSGの記載がなかったので、ちょっとまとめてみました。

サイト間VPNの構成

下記のような構成であると仮定します。

  • サクラのクラウド側ネットワークLAN側 192.168.0.0/24
  • サクラのクラウドVPCルータLAN側 192.168.0.1
  • サクラのクラウドVPCルータGlobal側 1.1.1.1
  • SSG側ネットワーク LAN側 192.168.1.0/24
  • SSG LAN側 192.168.1.1
  • SSG Global側 2.2.2.2
  • pre share key 'sharekey'

サクラのクラウド側の設定

まずはさくらのクラウド側の設定から見ていきます。

VPCルータの仕様

VPCルータのサイト間VPNの仕様としては次のように指定されていました。注意点としては「メインモード (アグレッシブモード非対応)」とあるので、SSG側も固定のGlobal IPアドレスが必要となります。

認証方式Pre-Shared Key(事前共有鍵) (*1)
暗号アルゴリズムAES128
暗号利用モードCBC
ハッシュアルゴリズムSHA1
メッセージ認証符号HMAC
PFS(Perfect Forward Secrecy)有効
DH(Diffie-Hellman)グループ MODP1024(グループ2)
ISAKMP SAの寿命28800秒
IPsec SAの寿命1800秒
交換モード(exchange mode)メインモード (アグレッシブモード非対応)
IKEフェーズ1 IDVPCルータのグローバルIPアドレス
IKEフェーズ2 IDタイプ1(ID_IPV4_ADDR)
Vendor ID受け付けない / 送信しない
IKEキープアライブ(DPD)有効(インターバル15秒/タイムアウト30秒)
対向Prefix/ローカルPrefix 設定可能ネットマスク長/8~/32

*1 使用可能な文字はアルファベット(大文字, 小文字)・数字・アンダースコア(_)の組み合わせとなります。文字数は1~40文字。

VPCルータの設定

VPCルータのサイト間VPNの設定画面で下記のように設定します。

SSG側の設定

Gatewayの設定

VPNs > AutoKey Advanced > Gateway > Edit の画面で下の様に設定します。

Gateway(Advanced)の設定

上の画面で、Advancedを選択し、表示された画面を下の様に設定します。

  • Preshared Keyには「sharekey」と入力
  • ModeはMainを選択
  • Outgoing Interfaceに「ethernet0/0」を選択(これはWANを接続しているポートを指定します)
  • Security LevelのUser Definedの Customを選択
  • Phase 1 Proporsal は「pre-g2-aes128-sha」を選択

AutoKeyの設定

VPNs > AutoKey IKE > Edit の画面で下の様に設定します。

  • Predfinedで作成したGatewayを選択、ここではToSakuraを選択します。

AutoKey(Advanced)の設定

上の画面で、Advancedを選択し、表示された画面を下の様に設定します。

  • User DefinedのCustomを選択
  • Phase 2 Proposalには g2-esp-aes128-sha を選択
  • Bind ToはNoneを選択

AutoKey Proxy IDの設定

AutoKey Proxy IDで下記の様に設定し、「New」を選択する

Policyの設定

Policy > Policies (From Trust To Untrust)で下記の様に設定する

  • Source Addressを192.168.1.0/24
  • Destination Addressを192.168.0.0/24
  • ServiceはANYを選択(この辺はお好みで)
  • ActionはTunnelを選択
  • Tunnel VPNは作成したAutoKeyを選択、今回の場合はToSakuraを選択します。
  • Modify matching bidirectional VPN policy にチェックを入れる(双方向のポリシーを同時作成するため)

-Network
-, ,