MENU
IT information for my self.
    本サイトのリンクには広告が含まれています。
    1. ホーム
    2. Network
    3. さくらのクラウドのVPCルータとSSGをサイト間VPN接続する手順

    さくらのクラウドのVPCルータとSSGをサイト間VPN接続する手順

    Network
    SSG VPN さくらのクラウド

    さくらのクラウドのVPCルータとJuniper社のSSGシリーズでサイト間VPNを構築する手順をまとめました。

    目次

    さくらのクラウドにSSG5でサイト間VPN接続

    さくらのクラウドにJuniper社のSSG5をポリシーベースVPN接続する案件の相談を受けました。しかし、SSG5って、、、古いですね。。。気を取り直して調べると、さくらのクラウドのドキュメントにはサイト間VPN設定の方法が記載されているページがあります。

    あわせて読みたい
    サイト間VPN設定 | さくらのクラウド マニュアル VPCルータでサイト間VPNを利用するための手順です。

    このページによると動作確認済みアプライアンスとして、Juniper NetScreen/SSGシリーズが挙げられているので接続することができそうですが、実際の設定例にはSSGの記載がなかったので、ちょっとまとめてみました。

    サイト間VPNの構成

    下記のような構成であると仮定します。

    • サクラのクラウド側ネットワークLAN側 192.168.0.0/24
    • サクラのクラウドVPCルータLAN側 192.168.0.1
    • サクラのクラウドVPCルータGlobal側 1.1.1.1
    • SSG側ネットワーク LAN側 192.168.1.0/24
    • SSG LAN側 192.168.1.1
    • SSG Global側 2.2.2.2
    • pre share key ‘sharekey’

    サクラのクラウド側の設定

    まずはさくらのクラウド側の設定から見ていきます。

    VPCルータの仕様

    VPCルータのサイト間VPNの仕様としては次のように指定されていました。注意点としては「メインモード (アグレッシブモード非対応)」とあるので、SSG側も固定のGlobal IPアドレスが必要となります。

    認証方式Pre-Shared Key(事前共有鍵) (*1)
    暗号アルゴリズムAES128
    暗号利用モードCBC
    ハッシュアルゴリズムSHA1
    メッセージ認証符号HMAC
    PFS(Perfect Forward Secrecy)有効
    DH(Diffie-Hellman)グループ MODP1024(グループ2)
    ISAKMP SAの寿命28800秒
    IPsec SAの寿命1800秒
    交換モード(exchange mode)メインモード (アグレッシブモード非対応)
    IKEフェーズ1 IDVPCルータのグローバルIPアドレス
    IKEフェーズ2 IDタイプ1(ID_IPV4_ADDR)
    Vendor ID受け付けない / 送信しない
    IKEキープアライブ(DPD)有効(インターバル15秒/タイムアウト30秒)
    対向Prefix/ローカルPrefix 設定可能ネットマスク長/8~/32

    *1 使用可能な文字はアルファベット(大文字, 小文字)・数字・アンダースコア(_)の組み合わせとなります。文字数は1~40文字。

    VPCルータの設定

    VPCルータのサイト間VPNの設定画面で下記のように設定します。

    SSG側の設定

    Gatewayの設定

    VPNs > AutoKey Advanced > Gateway > Edit の画面で下の様に設定します。

    Gateway(Advanced)の設定

    上の画面で、Advancedを選択し、表示された画面を下の様に設定します。

    • Preshared Keyには「sharekey」と入力
    • ModeはMainを選択
    • Outgoing Interfaceに「ethernet0/0」を選択(これはWANを接続しているポートを指定します)
    • Security LevelのUser Definedの Customを選択
    • Phase 1 Proporsal は「pre-g2-aes128-sha」を選択

    AutoKeyの設定

    VPNs > AutoKey IKE > Edit の画面で下の様に設定します。

    • Predfinedで作成したGatewayを選択、ここではToSakuraを選択します。

    AutoKey(Advanced)の設定

    上の画面で、Advancedを選択し、表示された画面を下の様に設定します。

    • User DefinedのCustomを選択
    • Phase 2 Proposalには g2-esp-aes128-sha を選択
    • Bind ToはNoneを選択

    AutoKey Proxy IDの設定

    AutoKey Proxy IDで下記の様に設定し、「New」を選択する

    Policyの設定

    Policy > Policies (From Trust To Untrust)で下記の様に設定する

    • Source Addressを192.168.1.0/24
    • Destination Addressを192.168.0.0/24
    • ServiceはANYを選択(この辺はお好みで)
    • ActionはTunnelを選択
    • Tunnel VPNは作成したAutoKeyを選択、今回の場合はToSakuraを選択します。
    • Modify matching bidirectional VPN policy にチェックを入れる(双方向のポリシーを同時作成するため)
    Network
    SSG VPN さくらのクラウド
    よかったらシェアしてね!
    • URLをコピーしました!
    • URLをコピーしました!

    コメント

    コメントする

    コメントは日本語で入力してください。(スパム対策)

    CAPTCHA

    目次