※ ChatGPTを利用し、要約された質問です(原文:サイト間VPNで上位機器でIKE,ESPの許可設定)
サイト間VPNで上位機器でIKE,ESPの許可設定
このQ&Aのポイント
YAMAHAのRTX1000同士でVPNが張れません。原因及び対応方法がわからず、困っています。
VPNルータAのLAN1のセグメントからVPNルータBのLAN1のセグメントにVPN接続した後にSonicWALL TZ100のX2(LAN)のセグメントにアクセスをさせたい。
Yamaha RTX1000ではファームウェア8.01.29を使用しており、VPNルータAの設定ではipsec ike pre-shared-keyやip routeなどの設定が行われています。
サイト間VPNで上位機器でIKE,ESPの許可設定
下記のことを実施したいと考えていますが、YAMAHAのRTX1000同士でVPNが張れません。
原因及び対応方法がわからず、困っております。
ご教示頂けますようお願い致します。
【行いたいこと】
1.VPNルータAのLAN1のセグメント(192.168.5.0/24)の端末からVPNルータBのLAN1のセグメント(192.168.3.0/24)の端末へVPN接続を行いたい。VPM接続を行うのは、RTX1000同士だが、VPNルータBの上位にSonicWALL TZ100があり、VPN接続を行うため、IKE,ESPを許可する必要がある。
2.PNルータAのLAN1のセグメント(192.168.5.0/24)の端末からVPNルータBのLAN1のセグメント(192.168.3.0/24)にVPN接続した後にSonicWALL TZ100のX2(LAN)のセグメント(192.168.4.0/24)にアクセスをさせたい。
【構成】
192.168.4.0/24 (X2) --TZ100 (X1) ----- (LAN2) RTX1000 VPNルータA(LAN1) --192.168.5.0/24
(X0)
|
(LAN2)
RTX1000 VPNルータB
(LAN1)
|
192.168.3.0/24
【YAMAHA RTX1000 ファームウェア:8.01.29 VPNルータA】
ip lan1 address 192.168.5.50/24�ip lan2 address 192.168.1.60/24
ip route default gateway 192.168.1.1
ip lan2 nat descriptor 1�nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.1.60
nat descriptor address inner 1 auto
tunnel select 1
ipsec tunnel 101�ipsec sa policy 101 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.5.50
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 192.168.1.60
tunnel enable 1
nat descriptor masquerade static 1 1 192.168.5.50 udp 500�
nat descriptor masquerade static 1 2 192.168.5.50 esp
ipsec auto refresh on
ip route 192.168.3.0/24 gateway tunnel 1
【YAMAHA RTX1000 ファームウェア:8.01.29 VPNルータB】
ip lan1 address 192.168.3.20/24�ip lan2 address 192.168.2.30/24
ip route default gateway 192.168.2.40
ip route 192.168.4.0/24 gateway 192.168.2.40
nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.2.30
nat descriptor address inner 1 auto
tunnel select 1
ipsec tunnel 101�ipsec sa policy 101 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.3.20
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 192.168.1.60
tunnel enable 1
nat descriptor masquerade static 1 1 192.168.3.20 udp 500
�nat descriptor masquerade static 1 2 192.168.3.20 esp
ipsec auto refresh on
ip route 192.168.5.0/24 gateway tunnel 1
【SonicWALL TZ100 ファームウェア:SonicOS Enhanced 5.8.1.12-65o.01.jpn】
X0(LAN) 192.168.2.40/24
X1(WAN) 192.168.1.50/24 G/W:192.168.1.1 DNS:4.2.2.2
X2(LAN) 192.168.4.40/24
アクセスルール(LAN > WAN)
No.1 送信元:すべて 送信先:すべて サービス:すべて 動作:許可
アクセスルール(WAN > LAN)
No.1 送信元:すべて 送信先:WANプライマリIP サービス:ESP(IPSec) 動作:許可
No.2 送信元:すべて 送信先:WANプライマリIP サービス:IKE 動作:許可
NATポリシー
No.1 変換前の送信元:すべて 変換後の送信元:オリジナル 変換前の送信先:WANプライマリIP 変換後の送信先:192.168.2.30 変換前のサービス:ESP(IPSec) 変換後のサービス:オリジナル
No.2 変換前の送信元:すべて 変換後の送信元:オリジナル 変換前の送信先:WANプライマリIP 変換後の送信先:192.168.2.30 変換前のサービス:IKE 変換後のサービス:オリジナル
アドレスオブジェクト
名前:192.168.2.30
ゾーン:LAN
タイプ:ホスト
IPアドレス:192.168.2.30
お礼
ありがとうございます。 VPN接続で192.168.4.0/24にはアクセスできませんでしたが、192.168.5.0/24から192.168.3.0/24へのVPN接続がうまくいきました。 192.168.5.0/24のネットワークはSonicWALLのX1の先にありますが、192.168.5.0/24からの通信がX0から行われるのおかしいのでIP spoofと判断されて、IPS(侵入防御)により落とされていました。 これについてはSonicWALLのサポートセンターに問い合わせてみます。Dynamic Support8×5の契約があるので・・・。 ----------------------------------------------- Intrusion Prevention IP spoof dropped (送信元)192.168.5.200, 512, X0 (送信先)192.168.4.200, 8, X2 -----------------------------------------------
補足
ありがとうございます。 ルータAのipsec ike remote address 1 192.168.1.60ですが、ルータに投入する前に作ったものにも同じように書いてありました。 投稿ミスでなく、気が付かないでルータに投入してしまった可能性もあるので、もう一度、ご指摘頂きました箇所を修正して試してみます。