gorosuke5656の日記

ネットワーク好きで個人で色々勉強しています😀 ですので内容はメーカーの公式見解ではありません🙇‍♀️

JuniperSRXにおけるPolicy-BaseVPN構築時のトラブル対応例

NW全体構成と発生事象


【構成内容と事象概要】

Ubunto→Netscreen-50(対向ホストとして代用)間の通信をPolicy-BaseVPNで

暗号化する設定を実施【SRX100B、SRX100H2(機器節約のためVirtual-Routerを

設定(VR2))

UbuntoからPINGをNS-50を送信したところPING応答はあり

しかしながらVPN通信は実施されていないもよう。。

以下で切り分けを実施

 

*Policyにマッチした通信についてはPolicylogのファイルに残るように設定済み


【疎通確認及び現状】
① ubuntoからPINGを実施
gorosuke@ubuntu:~$ ping 10.1.7.1
PING 10.1.7.1 (10.1.7.1) 56(84) bytes of data.
64 bytes from 10.1.7.1: icmp_seq=1 ttl=62 time=2.49 ms
64 bytes from 10.1.7.1: icmp_seq=2 ttl=62 time=2.49 ms
64 bytes from 10.1.7.1: icmp_seq=3 ttl=62 time=2.34 ms

  → PING(対向NS-50からの応答あり)

② SRX100BによるVPN接続確認

〇 IKE確認を実施
admin@SRX100B> show security ike security-associations
Index Remote Address State Initiator cookie Responder cookie Mode
3908097 172.16.7.254 UP 3c64db285229e178 f21c859a12d409ae Main

 → 問題なし

〇 IPSEC確認を実施

admin@SRX100B> show security ipsec security-associations
Total active tunnels: 0
 → IPSECトンネルが確立されていない。。
  推測:Policy-BaseVPNのPolicyに合致していないが通信できているようだ。。

【設定確認】

① SRX100BにおいてPolicy(Trust⇒Untrust)設定を確認
[edit security policies from-zone trust to-zone untrust]
admin@SRX100B# show
policy PolicyBaseVPN {    
match {
source-address Server_Net;
destination-address Client_Net;
application any;
}
then {
permit {
tunnel {
ipsec-vpn PolicyBaseVPN;
}
}
log {
session-init;
session-close;
}
}
}
policy all-permit { 

match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
}
}

ということは別ポリシー(もしかしてAll-Permit)にひっかかって通信が確立している可能性あり??(All-Permitは全部通過させるので。。)

② SRX100Bでセッションログを確認
admin@SRX100B> show log PolicyLog | grep 10.1.7.1 | grep icmp
Feb 4 23:49:27 SRX100B RT_FLOW: %USER-6-RT_FLOW_SESSION_CREATE: session created 10.1.7.1/0->130.230.0.1/2051 icmp 10.1.7.1/0->130.230.0.1/2051 None None 1 all-permit untrust trust 76
Feb 4 23:49:28 SRX100B RT_FLOW: %USER-6-RT_FLOW_SESSION_CREATE: session created 10.1.7.1/1->130.230.0.1/2051 icmp 10.1.7.1/1->130.230.0.1/2051 None None 1 all-permit untrust trust 78
Feb 4 23:49:31 SRX100B RT_FLOW: %USER-6-RT_FLOW_SESSION_CLOSE: session closed response received: 10.1.7.1/0->130.230.0.1/2051 icmp 10.1.7.1/0->130.230.0.1/2051 None None 1 all-permit untrust trust 76 1(84) 1(84) 4

  → 通信がPolicy名:all-Permitにマッチしていることが確認できる。

③ SRX100Bで設定しているAddress-Book設定を確認
admin@SRX100B> show configuration security zones security-zone trust address-book
address Server_Net 130.230.0.0/24;

admin@SRX100B> show configuration security zones security-zone untrust address-book
address Client_Net 10.1.8.0/24;
 

⇒ サブネットが違うためヒットせずに次のPolicyであるALL-Permitにヒットして 通信を実施しているのでは。。。

④ SRX100BのAddress-Bookを削除/再登録
admin@SRX100B>

admin@SRX100B> configure
Entering configuration mode

[edit]
admin@SRX100B# delete security zones security-zone untrust address-book address Client_Net

[edit]
admin@SRX100B# set security zones security-zone untrust address-book address Client_Net 10.1.7.0/24

[edit]
admin@SRX100B# commit check
configuration check succeeds

[edit]
admin@SRX100B# commit
commit complete

⑤ SRX100Bの設定の確認
[edit]
admin@SRX100B# run show configuration security zones security-zone untrust
address-book {
address Client_Net 10.1.7.0/24;
}
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/1.0;
fe-0/0/3.0;
}

[edit]
admin@SRX100B#


⑥ 再度Ubunto⇒NS-50に対して通信(PING)をして確認

admin@SRX100B> show security ike security-associations
Index Remote Address State Initiator cookie Responder cookie Mode
3908097 172.16.7.254 UP 3c64db285229e178 f21c859a12d409ae Main

admin@SRX100B> show security ipsec security-associations
Total active tunnels: 1
ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys
<2 172.16.7.254 500 ESP:aes-128/sha1 c9a444c7 3577/ unlim - root

2 172.16.7.254 500 ESP:aes-128/sha1 177050b7 3577/ unlim - root

admin@SRX100B> show security ipsec security-associations detail
     ⇒ 詳細表示

〇 ESP統計情報を確認!
admin@SRX100B> show security ipsec statistics
ESP Statistics:
Encrypted bytes: 9728
Decrypted bytes: 5376
Encrypted packets: 64
Decrypted packets: 64
AH Statistics:
Input bytes: 0
Output bytes: 0
Input packets: 0
Output packets: 0
Errors:
AH authentication failures: 0, Replay errors: 0
ESP authentication failures: 0, ESP decryption failures: 0
Bad headers: 0, Bad trailers: 0

⑦ SRX100BのPolicyログを確認

admin@SRX100B> show log PolicyLog | match 10.1.7.1 | match icmp | match PolicyBasevpn
Feb 5 01:07:50 SRX100B RT_FLOW: %USER-6-RT_FLOW_SESSION_CREATE: session created 130.230.0.1/1->10.1.7.1/3219 icmp 130.230.0.1/1->10.1.7.1/3219 None None 1 PolicyBaseVPN trust untrust 130
Feb 5 01:07:51 SRX100B RT_FLOW: %USER-6-RT_FLOW_SESSION_CREATE: session created 130.230.0.1/2->10.1.7.1/3219 icmp 130.230.0.1/2->10.1.7.1/3219 None None 1 PolicyBaseVPN trust untrust 132
Feb 5 01:07:52 SRX100B RT_FLOW: %USER-6-RT_FLOW_SESSION_CREATE: session created 130.230.0.1/3->10.1.7.1/3219 icmp 130.230.0.1/3->10.1.7.1/3219 None None 1 PolicyBaseVPN trust untrust 133
Feb 5 01:07:53 SRX100B RT_FLOW: %USER-6-RT_FLOW_SESSION_CLOSE: session closed response received: 130.230.0.1/1->10.1.7.1/3219 icmp 130.230.0.1/1->10.1.7.1/3219 None None 1 PolicyBaseVPN trust untrust 130 1(84) 1(84) 3

⇒ Policy名:POLICYBaseVPNを使用して通信を実施!!

 

【結論】

事象を正しく把握することが大事

ログを確認する

 

始めて投稿しました!

自宅で実施したNWやサーバ、プログラミング等の内容を今後も投稿していきます!!