【構成内容と事象概要】
Ubunto→Netscreen-50(対向ホストとして代用)間の通信をPolicy-BaseVPNで
暗号化する設定を実施【SRX100B、SRX100H2(機器節約のためVirtual-Routerを
設定(VR2))
UbuntoからPINGをNS-50を送信したところPING応答はあり
しかしながらVPN通信は実施されていないもよう。。
以下で切り分けを実施
*Policyにマッチした通信についてはPolicylogのファイルに残るように設定済み
【疎通確認及び現状】
① ubuntoからPINGを実施
gorosuke@ubuntu:~$ ping 10.1.7.1
PING 10.1.7.1 (10.1.7.1) 56(84) bytes of data.
64 bytes from 10.1.7.1: icmp_seq=1 ttl=62 time=2.49 ms
64 bytes from 10.1.7.1: icmp_seq=2 ttl=62 time=2.49 ms
64 bytes from 10.1.7.1: icmp_seq=3 ttl=62 time=2.34 ms
→ PING(対向NS-50からの応答あり)
② SRX100BによるVPN接続確認
〇 IKE確認を実施
admin@SRX100B> show security ike security-associations
Index Remote Address State Initiator cookie Responder cookie Mode
3908097 172.16.7.254 UP 3c64db285229e178 f21c859a12d409ae Main
→ 問題なし
〇 IPSEC確認を実施
admin@SRX100B> show security ipsec security-associations
Total active tunnels: 0
→ IPSECトンネルが確立されていない。。
推測:Policy-BaseVPNのPolicyに合致していないが通信できているようだ。。
【設定確認】
① SRX100BにおいてPolicy(Trust⇒Untrust)設定を確認
[edit security policies from-zone trust to-zone untrust]
admin@SRX100B# show
policy PolicyBaseVPN {
match {
source-address Server_Net;
destination-address Client_Net;
application any;
}
then {
permit {
tunnel {
ipsec-vpn PolicyBaseVPN;
}
}
log {
session-init;
session-close;
}
}
}
policy all-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
}
}
ということは別ポリシー(もしかしてAll-Permit)にひっかかって通信が確立している可能性あり??(All-Permitは全部通過させるので。。)
② SRX100Bでセッションログを確認
admin@SRX100B> show log PolicyLog | grep 10.1.7.1 | grep icmp
Feb 4 23:49:27 SRX100B RT_FLOW: %USER-6-RT_FLOW_SESSION_CREATE: session created 10.1.7.1/0->130.230.0.1/2051 icmp 10.1.7.1/0->130.230.0.1/2051 None None 1 all-permit untrust trust 76
Feb 4 23:49:28 SRX100B RT_FLOW: %USER-6-RT_FLOW_SESSION_CREATE: session created 10.1.7.1/1->130.230.0.1/2051 icmp 10.1.7.1/1->130.230.0.1/2051 None None 1 all-permit untrust trust 78
Feb 4 23:49:31 SRX100B RT_FLOW: %USER-6-RT_FLOW_SESSION_CLOSE: session closed response received: 10.1.7.1/0->130.230.0.1/2051 icmp 10.1.7.1/0->130.230.0.1/2051 None None 1 all-permit untrust trust 76 1(84) 1(84) 4
→ 通信がPolicy名:all-Permitにマッチしていることが確認できる。
③ SRX100Bで設定しているAddress-Book設定を確認
admin@SRX100B> show configuration security zones security-zone trust address-book
address Server_Net 130.230.0.0/24;
admin@SRX100B> show configuration security zones security-zone untrust address-book
address Client_Net 10.1.8.0/24;
⇒ サブネットが違うためヒットせずに次のPolicyであるALL-Permitにヒットして 通信を実施しているのでは。。。
④ SRX100BのAddress-Bookを削除/再登録
admin@SRX100B>
admin@SRX100B> configure
Entering configuration mode
[edit]
admin@SRX100B# delete security zones security-zone untrust address-book address Client_Net
[edit]
admin@SRX100B# set security zones security-zone untrust address-book address Client_Net 10.1.7.0/24
[edit]
admin@SRX100B# commit check
configuration check succeeds
[edit]
admin@SRX100B# commit
commit complete
⑤ SRX100Bの設定の確認
[edit]
admin@SRX100B# run show configuration security zones security-zone untrust
address-book {
address Client_Net 10.1.7.0/24;
}
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/1.0;
fe-0/0/3.0;
}
[edit]
admin@SRX100B#
⑥ 再度Ubunto⇒NS-50に対して通信(PING)をして確認
admin@SRX100B> show security ike security-associations
Index Remote Address State Initiator cookie Responder cookie Mode
3908097 172.16.7.254 UP 3c64db285229e178 f21c859a12d409ae Main
admin@SRX100B> show security ipsec security-associations
Total active tunnels: 1
ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys
<2 172.16.7.254 500 ESP:aes-128/sha1 c9a444c7 3577/ unlim - root
2 172.16.7.254 500 ESP:aes-128/sha1 177050b7 3577/ unlim - root
admin@SRX100B> show security ipsec security-associations detail
⇒ 詳細表示
〇 ESP統計情報を確認!
admin@SRX100B> show security ipsec statistics
ESP Statistics:
Encrypted bytes: 9728
Decrypted bytes: 5376
Encrypted packets: 64
Decrypted packets: 64
AH Statistics:
Input bytes: 0
Output bytes: 0
Input packets: 0
Output packets: 0
Errors:
AH authentication failures: 0, Replay errors: 0
ESP authentication failures: 0, ESP decryption failures: 0
Bad headers: 0, Bad trailers: 0
⑦ SRX100BのPolicyログを確認
admin@SRX100B> show log PolicyLog | match 10.1.7.1 | match icmp | match PolicyBasevpn
Feb 5 01:07:50 SRX100B RT_FLOW: %USER-6-RT_FLOW_SESSION_CREATE: session created 130.230.0.1/1->10.1.7.1/3219 icmp 130.230.0.1/1->10.1.7.1/3219 None None 1 PolicyBaseVPN trust untrust 130
Feb 5 01:07:51 SRX100B RT_FLOW: %USER-6-RT_FLOW_SESSION_CREATE: session created 130.230.0.1/2->10.1.7.1/3219 icmp 130.230.0.1/2->10.1.7.1/3219 None None 1 PolicyBaseVPN trust untrust 132
Feb 5 01:07:52 SRX100B RT_FLOW: %USER-6-RT_FLOW_SESSION_CREATE: session created 130.230.0.1/3->10.1.7.1/3219 icmp 130.230.0.1/3->10.1.7.1/3219 None None 1 PolicyBaseVPN trust untrust 133
Feb 5 01:07:53 SRX100B RT_FLOW: %USER-6-RT_FLOW_SESSION_CLOSE: session closed response received: 130.230.0.1/1->10.1.7.1/3219 icmp 130.230.0.1/1->10.1.7.1/3219 None None 1 PolicyBaseVPN trust untrust 130 1(84) 1(84) 3
⇒ Policy名:POLICYBaseVPNを使用して通信を実施!!
【結論】
事象を正しく把握することが大事
ログを確認する
始めて投稿しました!
自宅で実施したNWやサーバ、プログラミング等の内容を今後も投稿していきます!!