こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

サイト間VPNで上位機器でIKE,ESPの許可設定

下記のことを実施したいと考えていますが、YAMAHAのRTX1000同士でVPNが張れません。

原因及び対応方法がわからず、困っております。
ご教示頂けますようお願い致します。

【行いたいこと】
1.VPNルータAのLAN1のセグメント(192.168.5.0/24)の端末からVPNルータBのLAN1のセグメント(192.168.3.0/24)の端末へVPN接続を行いたい。VPM接続を行うのは、RTX1000同士だが、VPNルータBの上位にSonicWALL TZ100があり、VPN接続を行うため、IKE,ESPを許可する必要がある。

2.PNルータAのLAN1のセグメント(192.168.5.0/24)の端末からVPNルータBのLAN1のセグメント(192.168.3.0/24)にVPN接続した後にSonicWALL TZ100のX2(LAN)のセグメント(192.168.4.0/24)にアクセスをさせたい。

【構成】
192.168.4.0/24 (X2) --TZ100 (X1) ----- (LAN2) RTX1000 VPNルータA(LAN1) --192.168.5.0/24
               (X0)
                |
              (LAN2)
             RTX1000 VPNルータB
              (LAN1)
               |  
           192.168.3.0/24

【YAMAHA RTX1000 ファームウェア:8.01.29 VPNルータA】
ip lan1 address 192.168.5.50/24ip lan2 address 192.168.1.60/24
ip route default gateway 192.168.1.1
ip lan2 nat descriptor 1nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.1.60
nat descriptor address inner 1 auto
tunnel select 1
ipsec tunnel 101ipsec sa policy 101 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.5.50
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 192.168.1.60
tunnel enable 1
nat descriptor masquerade static 1 1 192.168.5.50 udp 500
nat descriptor masquerade static 1 2 192.168.5.50 esp
ipsec auto refresh on
ip route 192.168.3.0/24 gateway tunnel 1

【YAMAHA RTX1000 ファームウェア:8.01.29 VPNルータB】
ip lan1 address 192.168.3.20/24ip lan2 address 192.168.2.30/24
ip route default gateway 192.168.2.40
ip route 192.168.4.0/24 gateway 192.168.2.40
nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.2.30
nat descriptor address inner 1 auto
tunnel select 1
ipsec tunnel 101ipsec sa policy 101 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.3.20
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 192.168.1.60
tunnel enable 1
nat descriptor masquerade static 1 1 192.168.3.20 udp 500
nat descriptor masquerade static 1 2 192.168.3.20 esp
ipsec auto refresh on
ip route 192.168.5.0/24 gateway tunnel 1

【SonicWALL TZ100 ファームウェア:SonicOS Enhanced 5.8.1.12-65o.01.jpn】
X0(LAN) 192.168.2.40/24
X1(WAN) 192.168.1.50/24 G/W:192.168.1.1 DNS:4.2.2.2
X2(LAN) 192.168.4.40/24

アクセスルール(LAN > WAN)
No.1 送信元:すべて 送信先:すべて サービス:すべて 動作:許可

アクセスルール(WAN > LAN)
No.1 送信元:すべて 送信先:WANプライマリIP サービス:ESP(IPSec) 動作:許可
No.2 送信元:すべて 送信先:WANプライマリIP サービス:IKE 動作:許可

NATポリシー
No.1 変換前の送信元:すべて 変換後の送信元:オリジナル 変換前の送信先:WANプライマリIP 変換後の送信先:192.168.2.30 変換前のサービス:ESP(IPSec) 変換後のサービス:オリジナル

No.2 変換前の送信元:すべて 変換後の送信元:オリジナル 変換前の送信先:WANプライマリIP 変換後の送信先:192.168.2.30 変換前のサービス:IKE 変換後のサービス:オリジナル

アドレスオブジェクト
名前:192.168.2.30
ゾーン:LAN
タイプ:ホスト
IPアドレス:192.168.2.30

投稿日時 - 2013-07-08 23:24:07

QNo.8168364

困ってます

質問者が選んだベストアンサー

こんにちは。hirasaku です。

続きの続きですか。。。

レスがついていなかったもので。

で、単純にルータAの ipsec ike remote address 1 192.168.1.50
にすればいいんじゃないですかね。
(ここに書いたときのタイプミスでなければ・・・)

あと、ルータAに
ip route 192.168.4.0/24 gateway tunnel 1
を追加してあげれば、SonicのX2セグメントにいけるはず。

では。

投稿日時 - 2013-07-10 13:46:39

補足

ありがとうございます。

ルータAのipsec ike remote address 1 192.168.1.60ですが、ルータに投入する前に作ったものにも同じように書いてありました。
投稿ミスでなく、気が付かないでルータに投入してしまった可能性もあるので、もう一度、ご指摘頂きました箇所を修正して試してみます。

投稿日時 - 2013-07-10 21:46:28

お礼

ありがとうございます。

VPN接続で192.168.4.0/24にはアクセスできませんでしたが、192.168.5.0/24から192.168.3.0/24へのVPN接続がうまくいきました。

192.168.5.0/24のネットワークはSonicWALLのX1の先にありますが、192.168.5.0/24からの通信がX0から行われるのおかしいのでIP spoofと判断されて、IPS(侵入防御)により落とされていました。

これについてはSonicWALLのサポートセンターに問い合わせてみます。Dynamic Support8×5の契約があるので・・・。
-----------------------------------------------
Intrusion Prevention IP spoof dropped (送信元)192.168.5.200, 512, X0 (送信先)192.168.4.200, 8, X2
-----------------------------------------------

投稿日時 - 2013-07-14 11:50:02

このQ&Aは役に立ちましたか?

2人が「このQ&Aが役に立った」と投票しています

回答(2)

ANo.2

 hirasakuさん、もしかしてハマってませんか?
 それとなく、伝えた方が良いですよ。キーポイントが、静的ルーティング設定に有ること+α等々、個人でたどり着く迄自己勉強・調べる事に間接誘導した方が、質問している方のルーター設定スキルアップになるかと思いますよ。
 若しくは、公開しているサイト等自分で調べる等。

投稿日時 - 2013-07-10 21:23:28

お礼

ありがとうございます。

投稿日時 - 2019-03-10 11:07:44

あなたにオススメの質問