最終更新日:2012年6月30日
以下では、NetScreenをGUIを使用してIPアドレスが非固定な場合の設定手順を示します。本説明での対象機種はNetScreen-5GT(Vev.6.2.0r13.00)を想定しています。
なお、設定にあたりNetScreenのLAN (Trust)側インターフェースのIPアドレスは、コンソールまたはGUIにて「192.168.20.254/24」への設定が完了しているものとします。 (コマンドの場合は、”set interface trust ip IPアドレス/サブネットマスク”を実施)
また、購入直後でRapid Deployment Wizardの画面が表示された場合には、”No, skip the Wizard and go straight to the WebUI management session instead. ”を選び、ウイザードでの設定をスキップしてください。
メニューから[Network]-[Interfaces]表示された画面の”Trust”の[Edit]をクリックします。 表示された設定画面で以下のように設定されていることを確認します。
- Static IP: チェック
- IP Address / Netmask : 192.168.20.254 / 24
- Manageable : チェック
- Manage IP: 上記、IP Addressと同じ
- Interface Mode: NAT
メニューから[Network] - [PPP] - [PPPoE Profile]を選択して、表示された画面の右上の[New]をクリックします。 表示されたPPPoE情報設定画面で以下のように設定していきます。
- PPPoE Instance: プロパイダ名(ex. "ISP-B")
- Enable: チェック
- Bound to Interface: untrust
- Username: PPPoEの接続用ID(ex. "site-b@domain.co.jp")
- Password: PPPoEの接続用パスワード(ex. "isp-pass-b")
- Authentcation: Any
- Auto-Connect: チェック(1秒。0を指定した場合には、無効です。)
として、[OK]をクリックします。
次に、メニューから[Network]-[Interfafe]を選択して、表示された画面の”Untrust”の[Edit]をクリックします。 表示された設定画面で以下のように設定していきます。
- Zone Name: Untrust
- Obtain IP using PPPoE: [ISP-B]
- Manageable: チェックを外す
ここで一度、設定画面下にある[Apply]ボタンをクリックする。 回線がつながっていれば、IP アドレスは自動的に取得されている筈です。
引き続き設定を行っていく。
- Interface Mode: Router
- Service Options: すべてのチェックを外す。
- MTU: 1454
として、[OK]をクリックします。
メニューから[Network]-[Zones]を選択して、表示された画面の右上の[New]をクリックし以下の設定を行います。
- Zone Name: VPN-Zone
- Virtual Router Name: trust-vr
- Zone Type: Layer 3
メニューから[Network]-[interfaces]を選択して、表示された画面の右上のリストから[Tunnel IF]を選択後に[New]をクリックします。
表示された設定画面で以下のように設定していきます。
- Tunnel Interface Name tunnel.: 1
- Zone (VR): VPN-Zone (trust-vr)
- Unnumbered: チェック
- Interface nonetrust: untrust (trust-vr)
IPSecでの通信における暗号方式などを規定するプロポーサルを、フェーズ1用・フェーズ2用のそれぞれを定義しておく。
メニューから[VPNs]-[Autokey Advanced]-[P1 Proposal]を選択して表示される画面右上の[New]をクリックし以下の設定を行います。
- Name:ar-pre-g2-des-md5
- Authentication Method: Preshare
- DH Group: Group 2
- Encryption Algorithm: DES-CBC
- Hash Algorithm: MD5
- Lifetime: 28800 Sec (8 Hours)
メニューから[VPNs]-[Autokey Advanced]-[P2 Proposal]を選択して表示される画面右上の[New]をクリックし以下の設定を行います。
- Name: ar-nopfs-des-sha
- Perfect Forward Secrecy:NO-PFS
- Encryption (ESP): チェック
- Encryption Algorithm: DES-CBC
- Authentication Algorithm:SHA-1
- Lifetime In Time: 1800 Sec (30 Min)
メニューから[VPNs]-[Autokey Advanced]-[Gatewayl]を選択して表示される画面右上の[New]をクリックし以下の設定を行います。
- Gateway Name: ar-gw
- Version: IKEv1
- Remote Gateway: チェック
- Static IP Address: チェック
- IPv4・v6Address/ Hostname: 172.16.1.101
上記のゲートウェイネームを入力したら、設定画面の[Advanced]ボタンをクリックします。
アドバンス画面で以下の設定を実施します。
- Preshared Key: ipsec_pass
- Local ID: router-b
- Outgoing Interface: untrust
- Security Level :
- User Defined: Custom
- Phase 1 Proposal: ar-pre-g2-des-md5
- Mode(Initiator): Aggressive
- DPD: チェック
- Interval : 10
- Retry: 5
上記の入力したら、設定画面の[Retuen]ボタンをクリックします。
再びGateway設定画面に戻ります。
[OK]で登録をフェーズ1接続情報を登録します。
メニューから[VPNs]-[Autokey IKE]を選択して表示される画面右上の[New]をクリックし以下の設定を行います。
- VPN Name: ar-vpn
- Remote Gateway: Predefined [ar-gw]
上記のVPNネームを入力したら、設定画面の[Advanced]ボタンをクリックします。
アドバンス画面で以下の設定を実施します。
- Security Level: User Defined
- Phase 2 Proposal: ar-nopfs-des-sha
- Bind to : Tunnel Interface [tunnel.1]
- Proxy-ID: チェック
- Local IP / Netmask: 192.168.20.0/24
- Remote IP / Netmask: 192.168.10.0/24
- Service: ANY
- VPN Monitor: チェック
- Source Interface: Trust
- Destination IP: 192.168.10.254
- Rekey: チェック
上記の入力したら、設定画面の[Retuen]ボタンをクリックします。
再びGateway設定画面に戻るので[OK]をクリックしフェーズ2の接続情報を登録します。
メニューから[Network]-[Routing]-[Destination]を選択して表示される画面右上のリストから”trust-vt”を選び[New]をクリックし以下の設定を行います。
- Network Address / Netmask: 192.168.10.0/255.255.255.0
- Gateway: チェック
- Interface: tunnel.1
メニューから[Policied]を選択してポリシー画面を表示します。 表示された画面の上部の”From”を[Trust]、”To”を[VPN-Zone]に選択してから[New]をクリックします。
ポリシーの設定画面が表示されます。 特に設定箇所はないので、そのまま[OK]をクリックします。
続いて画面の上部の”From”を[VPN-Zone]、”To”を[Trust]に選択してから[New]をクリックします。
ポリシーの設定画面が表示されます。 特に設定箇所はないので、そのまま[OK]をクリックします。
設定したポリシーは次のように表示されます。
以上でポリシーの設定は完了です。 設定が終わったら、NetScreenおよび対向の機器をリスタートしてみてください。なお、最初の接続には3分程度かかるかも知れませんので、慌てずにご確認ください。
※ Netscreenは、LAN(Trust)インターフェースに何かデバイス(HUBやPC)が接続されていないと、インターフェースが活性化せず、IPアドレスなどが割り当たりません。 VPNを常時接続できる状態にするなら、LANにHUBなどをつけて、常にLinkUp状態にしておくと良いでしょう。
