SSGシリーズ Microsoft Windows Azure Virtual …...SSGシリーズ Microsoft Windows Azure Virtual Networkとの Site-to-Site VPN接続の構成ガイドジュニパーネットワークス株式会社

SSGシリーズ Microsoft Windows Azure Virtual NetworkとのSite-to-Site VPN接続の構成ガイド

ジュニパーネットワークス株式会社

2013年4月

2 Copyright © 2013 Juniper Networks, Inc. www.juniper.net

はじめに

本資料では、マイクロソフト様Windows Azureクラウドサービスにおける仮想ネットワークの機能である、オンプレミスサイトとのLAN間IPSec VPN接続について、オンプレミス側VPN機器としてSSGを使用した場合の構成サンプルを説明しています。

本サンプル構成は、ご自身の責任のもとでご利用いただけますようお願いいたします。


Windows Azure 仮想ネットワークLAN間接続手順

0. 構成ネットワークと設定情報の確認

1. Windows Azure 管理ポータルから、Windows Azureを構成

Windows Azure仮想ネットワーク側の構成

ローカルネットワークの構成

共有キーとゲートウェイIPアドレスの確認

2. SSGの構成

SSG設定サンプルコンフィグ入手（オプション）

SSGのバージョン確認

SSGの設定

3. 接続と確認

Windows Azure仮想ネットワーク側

SSG側

4. 接続できない時

状態確認

デバッグ


0. 構成ネットワークと設定情報の確認 VPNデバイスとネットワーク環境要件

Windows Azure仮想ネットワークに用いられるVPNデバイスは以下の要件に対応している必要がある。

WANにパブリックなIPv4アドレスをアサイン

IKEv1のサポート

Tunnel ModeのIPSecサポート

NAT-Tのサポート

以下Phase1 Cipherに対応

AES 128-bit encryption

SHA-1 hashing

Diffie-Hellman Perfect Forward Secrecy in "Group 2" mode

Pre-shared-key

パケットをIPSecヘッダ以下にカプセル化する前に、フラグメントする機能をサポート（Pre-fragmentationのサポート）

SRXおよびNS/SSGは上記要件を満たしている


0. 構成ネットワークと設定情報の確認構成ネットワーク例

GW Subnet 10.10.1.0/24

Subnet-A

ユーザの仮想ネットワーク 10.10.0.0/16

Cloud Svc. DC NW (East Asia)

VPN Gateway

Internet

Gateway IP Addr. A.A.A.A

SSG WAN IP Addr. B.B.B.B

ethernet0/9 untrust zone

（今回は、ethernet0/9インタフェースで NTT フレッツ光ネクストにPPPoEで接続）

ユーザのオンプレミスネットワーク 172.27.0.0/16

SSG140

ethernet0/0 172.27.115.84/22

trust zone

Subnet-B NAT

IPSec VPN

※IPアドレスは便宜上、下記のものとする Azure側Global IP: A.A.A.A SSG側Global IP: B.B.B.B


0. 構成ネットワークと設定情報の確認設定情報一覧（本設定での例）

Windows Azure 仮想ネットワークの設定項目 Windows Azure 仮想ネットワークでの意味 SSGでの意味

仮想ネットワークの詳細名前任意の仮想ネットワーク名

(azurevpntest)

n/a

仮想ネットワークの詳細アフィニティグループ

Azure仮想ネットワークが存在するDC/地域

(kobbieaffinity(east asia))

n/a

アドレス空間とサブネットアドレス空間仮想ネットワークの全体サブネットIPプレフィックス (10.10.0.0/16)

IPsecでのremote proxy-id

(10.10.0.0/16)

アドレス空間とサブネットサブネット仮想ネットワーク内のサブネット

(今回は未設定） n/a

DNSサーバーとローカルネットワーク DNS

サーバー

プライベートなDNSサーバ情報

（今回は未設定） n/a

DNSサーバーとローカルネットワークゲートウェイサブネット

VPN ゲートウェイのWindows Azure仮想ネットワーク側LAN インタフェースのローカルサブネット（10.10.1.0/24)

n/a

DNSサーバーとローカルネットワークローカルネットワーク

On-Premises側ネットワークの設定 SSG LAN側インタフェース背後に位置するネットワーク

新しいローカルネットワークを指定する名前任意のオンプレミスネットワーク名

(LocalLAN)

n/a

新しいローカルネットワークを指定する VPN

デバイスのIPアドレス

接続相手側IKE GW（SSG)のIPアドレス(B.B.B.B)

SSGのWAN側インタフェースのグローバルIPアドレス(B.B.B.B)

新しいローカルネットワークを指定するアドレス空間

オンプレミス側ネットワークのサブネットIPプレフィックス

IPSecでのlocal proxy-id

ダッシュボード仮想ネットワークゲートウェイIPアドレス

Windows Azure 仮想ネットワークのVPN機器のIPアドレス(A.A.A.A)

接続相手側IKE ゲートウェイ（SRX)のIPアドレス(A.A.A.A)

ダッシュボード仮想ネットワークキーの管理共有キー

IKEのShared Key値 IKEのShared Key値


1. Windows Azureの構成例仮想ネットワークの構成①

Windows Azureのポータルからログイン後、ネットワークを選択


1. Windows Azureの構成例仮想ネットワークの構成②

仮想ネットワーク名として任意の名前を入力

任意のアフィニティグループを作成・選択


1. Windows Azureの構成例仮想ネットワークの構成③

クラウド側仮想ネットワーク全体の IPアドレスレンジを設定

仮想ネットワークをより細かく複数のサブネットで分割したいときに使用

（今回は未使用）


1. Azureサービスの構成例仮想ネットワークの構成④

プライベートのDNSサーバを設置する場合設定（今回は未使用）

仮想ネットワークとオンプレミスネットワークを専用デバイスによりVPNを使用して接続したいときにチェックする。したがって、今回はチェックする。

前頁の全体のアドレス空間の一部から、仮想ネットワークのIPSecゲート

ウェイが設置される専用ネットワークのサブネットを設定。

オンプレミス側LANネットワークを新規に作成するために選択。


1. Windows Azureの構成例オンプレミス側LANの構成

B.B.B.B

172.27.0.0/16

オンプレミス側LANとして、任意の名前を設定。

オンプレミス側LANのIPアドレスレンジを設定。

後でSSGを設定する際には、local のProxy-idの値として利用される。

オンプレミス側VPNデバイス(SSG)のIPSec終端インタフェースのグローバルIPアドレス(pp0.1のIPアドレス)


1. Windows Azureの構成例共有キーとゲートウェイIPアドレスの確認①

処理完了後、新しい仮想ネットワークが作成される。

このアイテムを選択。


1. Windows Azureの構成例共有キーとゲートウェイIPアドレスの確認②

ゲートウェイの作成を選択。ゲートウェイ作成には少し時間（15分程度）がかかり、上部にステータスが表示

される。


1. Windows Azureの構成例共有キーとゲートウェイIPアドレスの確認③

ゲートウェイが作成されると、ステータスが切断に変更。

ゲートウェイIPアドレスがアサインされ、表示されるので、メモを取る。

後でSSGの設定する際に、対向側IKE ゲートウェイのIPアドレスとして

設定する。

キーの管理を選択

A.A.A.A


1. Windows Azureの構成例共有キーとゲートウェイIPアドレスの確認④

共有キーが生成され、表示されるので、メモを取る（コピー&ペースト）。後でSSGの設定する際に、Pre-Shared-Keyとして設定する。


2. SSGの設定例本例での環境と注意事項

SSG140を使用

マイクロソフト様推奨機器は、ISG1000 となっていますが、他SSG機種でも同様に接続可能です。

アクセス回線としてフレッツ光ネクストを使用

検証目的のため、本資料では動的IP割り当てのサービスを使用。実際は、Azure側機器からVPN接続が行われることもあるため、固定IPアドレスの使用を推奨。

Screen OS 6.3 R13を使用

マイクロソフト様資料では、6.2R13が接続実績バージョンとされているが、6.3も確認済み

ルートベースVPNを使用

機能的には、ポリシーベースVPNとルートベースVPNの双方に対応可能。また、マイクロソフト様資料でも双方の設定例が公開されている。

今回は、より一般的に利用されているルートベースVPNを使用


2. SSGの設定例 ① インタフェース設定 (LAN側インタフェース)

< CLI >

< GUI > Network > Interfaces > Edit より選択

SSG140->set interface ethernet0/0 ip 172.27.115.84/22

zoneを指定

IPアドレスを指定


2. SSGの設定例 ① インタフェース設定 (WAN側PPPoEインタフェース)

< GUI > Network > PPP > PPPoE Profile より選択 Network > Interfaceより

使用するインタフェースを選択

作成したPPPoEプロファイルを適応

< CLI >

SSG140-> set pppoe name Flet's SSG140-> set pppoe name Flet's username [email protected] password juniper SSG140-> set pppoe name Flet's interface ethernet0/9 SSG140-> set pppoe name Flet's authentication chap SSG140-> set pppoe name Flet's idle 0

ISPの認証情報を入力

zoneを指定


2. SSGの設定例 ① インタフェース設定 (Tunnelインタフェース)

< GUI > Network > Interface より”Tunnel IF” , Newを選択

< CLI >

SSG140-> set interface tunnel.1 ip unnumbered interface ethernet0/9 SSG140-> set interface tunnel.1 zone "Untrust"

Unnumberedを選択

zoneを指定

WAN側で使用するインタフェースを選択


2. SSGの設定例 ② ルーティング設定

< CLI >

SSG140-> set route 0.0.0.0/0 interface ethernet0/9

< GUI > Network > Routing より”trust-vr” , Newを選択

デフォルトルートを指定

WAN側で使用するインタフェースを指定


2. SSGの設定例 ② ルーティング設定

< CLI >

SSG140-> set route 10.10.0.0/16 interface tunnel.1

< GUI > Network > Routing より”trust-vr” , Newを選択

Arureのネットワークアドレスを指定

①で作成したTunnelインタフェースを指定


2. SSGの設定例 ③ IPsec IKE/Phase1設定

< GUI > VPNs > AutoKey Advanced > P1 Proposal よりNewを選択

< CLI >

SSG140-> set ike p1-proposal "Azure-P1" preshare group2 esp aes128 sha-1 second 28800


2. SSGの設定例 ③ IPsec IKE/Phase1設定

< GUI > VPNs > AutoKey Advanced > GatewayよりNewを選択

< CLI >

SSG140-> set ike gateway "Azure-GW" address A.A.A.A Main outgoing-interface "ethernet0/9" preshare "o+pRBYhzNeSf0JsuGYCW+0z1gonrA/HzppzG1gF7iAIyH201EIZuc3gU0/HFO8lO4uQ3HZnAov4+" proposal "Azure-P1"

AzureでアサインされたIPアドレス

任意の名前を指定

AzureでアサインされたPresharedキー

前項で作成したPhase1設定

Main Modeを選択

Advanced 設定へ移動

インタフェースを指定 A.A.A.A


2. SSGの設定例 ④ IPsec Phase2設定


< CLI >

SSG140-> set ike p2-proposal "Azure-P2" no-pfs esp aes128 sha-1 second 3600




< CLI >

SSG140-> set ike p2-proposal "Azure-P2" no-pfs esp aes128 sha-1 second 3600


Phase1で設定したGWを指定



< GUI > VPNs > AutoKey Advanced > P2 Proposal(前項)よりAdvanceを選択

< CLI >

SSG140-> set vpn "Azure" monitor optimized rekey SSG140-> set vpn "Azure" bind interface tunnel.1


Bindするインタフェースを指定



< GUI > VPNs > AutoKey Advanced より前項で設定した項目よりProxy IDを選択

< CLI >

SSG140-> set vpn "Azure" proxy-id local-ip 172.27.112.0/22 remote-ip 10.10.0.0/16 "ANY“ SSG140-> set flow vpn-tcp-mss 1320

Azure側で設定した項目と一致させる


2. SSGの設定例 ⑤ ポリシー設定

< CLI >

SSG140-> set policy id 1 from "Trust" to "Untrust" "Any-IPv4" "Any-IPv4" "ANY" permit SSG140-> set policy id 1 SSG140-> set policy id 2 from "Untrust" to "Trust" "Any-IPv4" "Any-IPv4" "ANY" permit SSG140-> set policy id 2

< GUI > Policy > Policies より”From “ , “To” を選択

通信させるIPアドレス、プロトコルを指定


3. 接続と確認 Windows Azureからの接続リクエスト

接続を選択

A.A.A.A


3. 接続と確認 Windows Azure接続確認

接続される

A.A.A.A


3. 接続と確認 SSG側接続確認: IPSec VPN接続ステータス SSG140-> get sa active Total active sa: 1 total configured sa: 1 HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys 00000001< A.A.A.A 500 esp:a128/sha1 c0a6688b 3586 unlim A/U -1 0 00000001> A.A.A.A 500 esp:a128/sha1 32aae2e3 3586 unlim A/U -1 0 SSG140-> get sa id 1 index 0, name Azure, peer gateway ip A.A.A.A. vsys<Root> auto key. tunnel if binding node, tunnel mode, policy id in:<-1> out:<-1> vpngrp:<-1>. sa_list_nxt:<-1>. tunnel id 1, peer id 0, NSRP Local. site-to-site. Local interface is ethernet0/9 <B.B.B.B>. esp, group 0, a128 encryption, sha1 authentication autokey, IN active, OUT active monitor<1>, latency: -1, availability: 100 DF bit: clear app_sa_flags: 0x24001a3 proxy id: local 172.27.112.0/255.255.252.0, remote 10.10.0.0/255.255.0.0, proto 0, port 0/0 ike activity timestamp: 606646174 DSCP-mark : disabled nat-traversal map not available incoming: SPI c0a6688b, flag 00004000, tunnel info 40000001, pipeline life 3600 sec, 3575 remain, 0 kb, 0 bytes remain anti-replay off, idle timeout value <0>, idled 3 seconds next pak sequence number: 0x0 bytes/paks:1379808/43119; sw bytes/paks:1379808/43119 outgoing: SPI 32aae2e3, flag 00000000, tunnel info 40000001, pipeline life 3600 sec, 3575 remain, 0 kb, 0 bytes remain anti-replay off, idle timeout value <0>, idled 5 seconds next pak sequence number: 0x3 bytes/paks:2053392/46668; sw bytes/paks:2053392/46668

Activeの数値がカウントされる

詳細接続情報


3. 接続と確認 SSG側接続確認: セッション確認

SSG140-> get session

nat used ipv6 addr: allocated 0/maximum 192256

alloc 9/max 48064, alloc failed 0, mcast alloc 0, di alloc failed 0

total reserved 0, free sessions in shared pool 48055

id 48048/s**,vsys 0,flag 00000040/0000/0001/0000,policy 2,time 6, dip 0 module 0

if 20(nspflag 2801):10.10.0.0/3245->172.27.112.0/1,1,000000000000,sess token 4,vlan 0,tun 40000001,vsd 0,route 15

if 0(nspflag 0800):10.10.0.0/3245<-172.27.112.0/1,1,000000000000,sess token 3,vlan 0,tun 0,vsd 0,route 3







IKE セッションが確立している


4. 接続できない時よくある問題

•Proxy-IDとポリシーオブジェクトの不一致

IPSec VPNの設定のLocal/Remote Proxy-IDと該当するセキュリティポリシーのsource-address/destination-address/applicationが一致していないと、proxy-idのネゴシエーションが不成功となることがあります。VPN設定と、ポリシーのこれら値が一致していることを確認してください。

•Windows Azure管理ポータルのステータス

Windows Azure管理ポータルでは、接続/切断を実行後にもVPNのステータスがすぐには反映されないことがあります。Windows Azure管理ポータルでVPNが切断であっても、SSG側で正常に接続されている状態のときは、しばらく様子を見てください。


4. 接続できない時 SSG側接続確認: SSG ScreenOSバージョン

SSG140-> get system version Encoding: 1 Version: 6.3.0.1.0.0.0.0 DM Version: 1

ScreenOSのバージョン


4. 接続できない時 SSG側接続確認: インタフェース状態確認

SSG140-> get interface eth0/9 Interface ethernet0/9: description ethernet0/9 number 13, if_info 10504, if_index 0, mode route link up, phy-link up/full-duplex, admin status up status change:5, last change:04/11/2013 20:51:53 vsys Root, zone Untrust, vr trust-vr dhcp client disabled PPPoE enable admin mtu 0, operating mtu 1500, default mtu 1500 *ip B.B.B.B/28 mac 0017.cb43.f48d *manage ip B.B.B.B, mac 0017.cb43.f48d route-deny disable pmtu-v4 disabled ping disabled, telnet disabled, SSH disabled, SNMP disabled web disabled, ident-reset disabled, SSL disabled DNS Proxy disabled, webauth disabled, g-arp enabled, webauth-ip 0.0.0.0 OSPF disabled OSPFv3 disabled BGP disabled RIP disabled RIPng disabled mtrace disabled PIM: not configured IGMP not configured MLD not configured NHRP disabled bandwidth: physical 100000kbps, configured egress [gbw 0kbps mbw 0kbps] configured ingress mbw 0kbps, current bw 0kbps total allocated gbw 0kbps DHCP-Relay disabled at interface level DHCP-server disabled

WAN側インタフェースがup で無い時はPPPoEの接続に

問題あり


4. 接続できない時 SSG側接続確認: ルーティング確認

SSG140-> get route IPv4 Dest-Routes for <untrust-vr> (0 entries) -------------------------------------------------------------------------------------- H: Host C: Connected S: Static A: Auto-Exported I: Imported R: RIP/RIPng P: Permanent D: Auto-Discovered N: NHRP iB: IBGP eB: EBGP O: OSPF/OSPFv3 E1: OSPF external type 1 E2: OSPF/OSPFv3 external type 2 trailing B: backup route IPv4 Dest-Routes for <trust-vr> (7 entries) -------------------------------------------------------------------------------------- ID IP-Prefix Interface Gateway P Pref Mtr Vsys -------------------------------------------------------------------------------------- * 15 10.10.0.0/16 tun.1 0.0.0.0 S 20 1 Root * 16 0.0.0.0/0 eth0/9 122.208.14.161 S 20 1 Root • 12 B.B.B.B/32 eth0/9 0.0.0.0 H 0 0 Root * 3 172.27.112.0/22 eth0/0 0.0.0.0 C 0 0 Root * 4 172.27.115.84/32 eth0/0 0.0.0.0 H 0 0 Root * 5 172.27.0.0/16 eth0/0 172.27.112.1 S 20 1 Root


SSG140-> get event 2013-04-10 16:53:38 system info 00536 IKE A.A.A.A: Received a notification message for DOI 1 16384 CONNECTED. 2013-04-10 16:53:38 system info 00536 IKE A.A.A.A Phase 2 msg ID 45dde8ea: Completed negotiations with SPI c0a66852, tunnel ID 1, and lifetime 3600 seconds/0 KB. 2013-04-10 16:53:38 system info 00536 IKE A.A.A.A phase 2:The symmetric crypto key has been generated successfully. 2013-04-10 16:53:38 system info 00536 IKE A.A.A.A Phase 2: Initiated negotiations. 2013-04-10 16:53:38 system info 00536 IKE A.A.A.A Phase 1: Completed Main mode negotiations with a 28800-second lifetime.

4. 接続できない時 SSGでのイベントログの確認

イベントログを確認してどのようなエラーが出ているか確認できる


接続時IKE debug （取得方法）

SSG140-> debug ike detail SSG140-> undebug all SSG140-> get dbuf stream ## 2013-04-10 18:57:12 : IKE<A.A.A.A> nhtb_list_update_status: vpn Azure ## 2013-04-10 18:57:12 : IKE<A.A.A.A> ** link state return 0 ## 2013-04-10 18:57:12 : IKE<A.A.A.A> sa_link_status_for_tunl_ifp: saidx 0, preliminary status 0 ## 2013-04-10 18:57:14 : IKE<A.A.A.A> nhtb_list_update_status: vpn Azure ## 2013-04-10 18:57:14 : IKE<A.A.A.A> ** vpn mon return up 4 ## 2013-04-10 18:57:14 : IKE<A.A.A.A> sa_link_status_for_tunl_ifp: saidx 0, preliminary status 4 ## 2013-04-10 18:57:14 : IKE<A.A.A.A> local_if is ethernet0/9 ## 2013-04-10 19:09:22 : IKE<A.A.A.A> ike packet, len 296, action 0 ## 2013-04-10 19:09:22 : IKE<A.A.A.A> Catcher: received 268 bytes from socket. ## 2013-04-10 19:09:22 : IKE<A.A.A.A> ****** Recv packet if <ethernet0/9> of vsys <Root> ****** ## 2013-04-10 19:09:22 : IKE<A.A.A.A> Catcher: get 268 bytes. src port 500 ## 2013-04-10 19:09:22 : IKE<0.0.0.0 > ISAKMP msg: len 268, nxp 8[HASH], exch 32[QM], flag 01

E ## 2013-04-10 19:09:22 : IKE<A.A.A.A> Create conn entry... ## 2013-04-10 19:09:22 : IKE<A.A.A.A> ...done(new 80000000) ## 2013-04-10 19:09:22 : IKE<A.A.A.A> Phase 2 msg-id <80000000>: Responded to the first peer

message. ## 2013-04-10 19:09:22 : IKE<A.A.A.A> Decrypting payload (length 240) ## 2013-04-10 19:09:22 : IKE<A.A.A.A > Recv*: [HASH] [SA] [NONCE] [ID] [ID] ## 2013-04-10 19:09:22 : valid id checking, id type:IP Subnet, len:16. ## 2013-04-10 19:09:22 : valid id checking, id type:IP Subnet, len:16.

Debug の取り方

～


Microsoft様の各種リンクと公開情報

Windows Azure Management Portal ログイン：

https://manage.windowsazure.com/

About VPN Devices for Virtual Network (w/ sample configuration)

http://msdn.microsoft.com/en-us/library/windowsazure/jj156075.aspx

Establish a site-to-site VPN connection

http://msdn.microsoft.com/en-us/library/windowsazure/jj156210

Create a Virtual Network for Cross-Premises Connectivity

https://www.windowsazure.com/en-us/manage/services/networking/cross-premises-connectivity/

Juniper ISG1000 ScreenOS 6.3r9 or ScreenOS 6.2r13


https://manage.windowsazure.com/

















Documents

SSGシリーズ Microsoft Windows Azure Virtual …...SSGシリーズ Microsoft Windows Azure Virtual Networkとの Site-to-Site VPN接続の構成ガイド ジュニパーネットワークス株式会社

SSGシリーズ Microsoft Windows Azure Virtual …...SSGシリーズ Microsoft Windows Azure Virtual Networkとの Site-to-Site VPN接続の構成ガイドジュニパーネットワークス株式会社