>>get sa >他の拠点の機器にも、同じSA ID が保存されているはずなので >HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys > >コマンド入力後に表示された内容ですが、この内、SAのIDはどれを指すのでしょうか。 SA は”SPI”がその値になります。 >>get route >実行した結果3つでてきました。 >trust側のローカルIPアドレス >untrust側のグローバルIPアドレス >untrust側で0.0.0.0/0 ルートについては、了解しました。 NetScreen では、ルーティング情報に従ってVPN Tunnel を選択する方式(ルートベースVPN)と、 VPN Policy に基づきVPN Tunnel を選択する方式(ポリシーベースVPN)があるため、 今回の構成では、後者が使われているものと思われます。 >>また、WebUI の画面から >AとCのグローバルアドレスに間違いはありませんでしたが、気になる点がありました。 >拠点A　172.16.13.0/24 >拠点C　172.16.0.0/12 >この拠点Cの指定方法は問題ないのでしょうか。 おそらく、ここが問題だと思われます。 それぞれのNW の範囲は、以下のようになります。 拠点A は[172.16.13.0～172.16.13.255] 拠点C は[172.16.0.0～172.31.255.255] もしかして、現在の拠点C とのVPN ポリシーが、拠点A よりも上位に存在していませんか？ ポリシーベースVPN の場合、Firewall の透過・不透過ルールとともに、 VPN のルールもポリシー設定の中で定義します。 このとき、どのポリシーを使用するかは、 上から順番にマッチング検索が行われ処理されます。 その為、拠点C が拠点A よりも上位にある場合、拠点A 宛の通信パケットが、 拠点C のポリシーにマッチしてしまい、 拠点C に転送されているものと推測します。 拠点A からのPing が通るのは、拠点B からの戻りのパケットが、 セッションテーブルにより処理されるため、ポリシー設定の影響を受けない為です。 一度ご確認ください。