ダンゴムシです。
表題の通りです。
この記事の続きです。
Netscreenで複数拠点間のVPN網を構築しました。
(過去記事1、過去記事2、過去記事3、過去記事4、過去記事5、過去記事6)
iPhoneを、このVPN網に参加させたいのですが、iPhoneとNetscreenのVPNはうまくいかないので、自宅に転がっていたYAMAHAのRT57iを使って、iPhoneをVPN網に繋げてみようという話です。
こんな感じです。
Continue reading »
ダンゴムシです。
前回まででNetscreen5GTとNetscreen25でVPNによる接続が出来たました。
今回はココにもう1台のNetscreen5GT #2を追加します。
毎度の図です。
5GT同士では、両方とも動的IPのためVPNが出来ませんので、Netscreen25をハブにしてハブアンドスポーク型のVPN構成にします。
まずは前回までと同様に、Netscreen5GT #2とNetscreen25にVPNの設定を行います。
Netscreen25で使用する”tunnel.1”インタフェースは1台目の5GTで使用されていますので、”tunnel.2″などの新しいインタフェースで設定してください。
192.168.2.0/24のネットワークと192.168.0.0/24のネットワークで疎通が出来るようになったら、次はルーティングの設定を行います。
まずは1台目のNetscreen5GTにルーティングを追加します。
追加する設定は、新しく設置したNetscreen5GT #2のLAN側:Trustのネットワークである192.168.2.0/24への経路です。
このNetscreen5GT #2のLAN側:Trustのネットワークである192.168.2.0/24はNetscreen25の先にあるので、以下のような記述になります。
ns5gt-> set route 192.168.2.0/24 interface tunnel.1
次に今回設定したNetscreen5GT #2に同様の設定を行います。
設定するのは192.168.1.0/24のネットワークになります。(Netscreen5GT #2のトンネルインタフェースがtunnel.1の場合)
ns5gt#2-> set route 192.168.1.0/24 interface tunnel.1
Netscreen25は、既にどちらのネットワークともVPN接続が出来ている状態なので、ルーティングの追加は必要ありません。
192.168.1.0/24のネットワーク内の端末から192.168.2.1にpingで疎通があるか確認します。
client-pc:~ dangomushi$ ping 192.168.2.1 PING 192.168.2.1 (192.168.2.1): 56 data bytes 64 bytes from 192.168.2.1: icmp_seq=0 ttl=62 time=56.578 ms 64 bytes from 192.168.2.1: icmp_seq=1 ttl=62 time=224.822 ms 64 bytes from 192.168.2.1: icmp_seq=2 ttl=62 time=91.310 ms 64 bytes from 192.168.2.1: icmp_seq=3 ttl=62 time=101.153 ms 64 bytes from 192.168.2.1: icmp_seq=4 ttl=62 time=45.420 ms 64 bytes from 192.168.2.1: icmp_seq=5 ttl=62 time=62.652 ms ^C --- 192.168.2.1 ping statistics --- 6 packets transmitted, 6 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 45.420/96.989/224.822/60.363 ms client-pc:~ dangomushi$
これで終わりです。
ダンゴムシです。
2台のNetscreenをVPNで接続しようという話の続きです。
とりあえず構成図です。
前回は5GTの設定行いましたので、今回は25の設定を行います。
といってもほとんど対向の5GTと同じです。
前回設定した5GTの設定はこんな感じです。青色と赤色の文字の部分に注視してください。
set interface tunnel.1 zone Trust set interface tunnel.1 ip unnumbered interface trust set ike gateway VPN-GW address 1.1.1.1 aggressive local-id hogehoge outgoing-interface untrust preshare hogehogehoge sec-level standard set vpn 5GT-25 gateway VPN-GW no-replay tunnel idletime 0 sec-level standard set vpn 5GT-25 monitor set vpn 5GT-25 id 1 bind interface tunnel.1 set route 192.168.0.0/24 interface tunnel.1
25は以下のような設定にします。
対向のゲートウェイの名前は適当に”GW-5GT”としました。対向のNetscreenのIPは動的IPで固定ではないので”0.0.0.0”になります。
5GTにlocal-idとして設定したhogehogeをidとして指定します。Netscreen25のほうではlocal-idは不要です。
Preshared Keyは当然ですが対向Netscreenとそろえてください。
set interface tunnel.1 zone Trust set interface tunnel.1 ip unnumbered interface ethernet2 set ike gateway GW-5GT address 0.0.0.0 id hogehoge aggressive outgoing-interface ethernet1 preshare hogehogehoge sec-level standard set vpn GW-5GT gateway GW-5GT no-replay tunnel idletime 0 sec-level standard set vpn GW-5GT monitor set vpn GW-5GT id 1 bind interface tunnel.1 set route 192.168.1.0/24 interface tunnel.1
これで192.168.0.0/24と192.168.1.0/24のネットワークがVPNで接続されます。
192.168.1.0/24のネットワーク内の端末から192.168.1.1にpingで疎通があるか確認します。
client-pc:~ dangomushi$ ping 192.168.0.1 PING 192.168.0.1 (192.168.0.1): 56 data bytes 64 bytes from 192.168.0.1: icmp_seq=0 ttl=63 time=13.652 ms 64 bytes from 192.168.0.1: icmp_seq=1 ttl=63 time=13.674 ms 64 bytes from 192.168.0.1: icmp_seq=2 ttl=63 time=19.929 ms 64 bytes from 192.168.0.1: icmp_seq=3 ttl=63 time=17.094 ms 64 bytes from 192.168.0.1: icmp_seq=4 ttl=63 time=39.460 ms 64 bytes from 192.168.0.1: icmp_seq=5 ttl=63 time=29.139 ms ^C --- 192.168.0.1 ping statistics --- 6 packets transmitted, 6 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 13.652/22.158/39.460/9.337 ms client-pc:~ dangomushi$
もう少し、Netscreen & VPNネタが続きます。
では、また。
ダンゴムシです。
今回からNetscreen同士でVPN接続をしていこうと思います。
※ VPNの説明ではなく、Netscreen(ScreenOS)での設定ですので、VPNについての詳細は他サイトなどを参照してください。
まず1台は前回までに設定したNetscreen25です。
静的グローバルアドレス:1.1.1.1でWANと接続されています。
対向はNetscreen5GTです。
PPPOEで接続し、プロバイダからDHCPで割り振られる動的グローバルアドレスでWANと接続されています。
ns5gt-> get system Product Name: NetScreen-NS5GT Serial Number: ****************, Control Number: 00000000 Hardware Version: 1010(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0) Software Version: 5.4.0r15.0, Type: Firewall+VPN Feature: AV-K Compiled by build_master at: Thu Nov 12 17:38:41 PST 2009 Base Mac: ****.****.**** File Name: screenos_image, Checksum: d43b7917
同じNetscreenであれば、5GTでも25でも機種は問題ないと思います。ScreenOSのバージョンは今回は25と5GTもOSは5.4系のものです。
NetscreenとSSGの場合は、やったことがないので分かりません。どーなんでしょうか…
とりあえず構成を図にしてみます。
5GT、25ともに既にWAN(インターネット)に接続されているものとします。
たぶん前回までの設定で?がると思うので…
Continue reading »
ダンゴムシです。
前々回、前回に引き続き、Netscreen25に必要最低限の設定をしてきます。
今回はLAN側ネットワークに設置したサーバでWEBサーバを稼働させて、Webをインターネット(WAN)に公開します。
ちなみにサーバ”SVR”は前回アドレスリストに以下のように設定しました。
ns25-> set address Trust SVR 192.168.0.101 255.255.255.255
Netscreenはファイアウォールなので、基本は自身(Netscreen)を通過する通信はすべて遮断されます。
適切に通信制御を行うためにポリシーを追加します。
Continue reading »
ダンゴムシです。
前回に引き続き、Netscreen25に必要最低限の設定をしてきます。
今回はLAN側ネットワークにサーバを設置します。
ネットワーク構成は下の図のようになります。
Continue reading »
おひさしぶりです。
ヤフオクで安いNetscreen25を見つけたので購入しました。
購入したNetscreenは以下の状態です。
ns25-> get system Product Name: NetScreen-25 Serial Number: ****************, Control Number: 00000000 Hardware Version: 4010(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0) Software Version: 5.4.0r16.0, Type: Firewall+VPN Compiled by build_master at: Tue Feb 23 23:15:52 PST 2010 Base Mac: ****.****.**** File Name: ns50ns25.5.4.0r16.0, Checksum: 256f46f0
ファイアウォールとして使用できるように最低限の設定をします。
あくまでもここで記述する内容の設定は私の個人的な設定であり、弊社で提供するレンタルファイアウォール運用管理サービスで提供している機器の設定ではありませんのでご注意ください。
下の図ようなネットワーク構成にしたい思います。
Continue reading »
お久しぶりです。
だいぶ前に、iPhoneとNetscreenでVPN出来たら良いな・・・という記事を書いたんですが、この記事にコメントを頂きまして、あぁ、そうかYAMAHAルーターとVPNという手があったかということで早速試してみました。
と行きたかったのですが…
Continue reading »
お久しぶりです、ダンゴムシです。
最後の投稿が2009年4月ですので、8ヶ月ぶりの投稿です。
代理店さんのご厚意でJuniper社製ネットワーク機器であるSRXシリーズのエントリーモデルであるSRX100Bを借りることができましたので、動作検証も兼ねていろいろと動かしています。
弊社では、Juniper社製のSSGシリーズをあんなトコロやこんなトコロで稼働させていますので、ScreenOSであれば、適当な設定で動かすことぐらいは、社内ニートの私でも出来るのですが、このSRX100BのOSはJUNOSという「あー、Juniperのアレね」というぐらいの知識しかない代物であり、まったくもって未知の領域であり、給料泥棒の私では歯が立たちません。
というわけで、ググりつつ試行錯誤です。
そんな最中に、yebo blogさんというblogでJUNOSのイースターエッグについて書かれた記事を見つけましたので、早速試してみました。
データセンターに死んだ魚の目をしたヤツがいたら、ソレが私です。
お久しぶりです、ダンゴムシです。
CNET Japanでおもしろそうな記事を見つけました。
内容はこの投稿のタイトルの通りですが、
> Googleはまた、2005年以来、同社のデータセンターが標準規格の運送用コンテナで構成されていることを初めて明らかにした。
や
> Googleが内蔵型バッテリというアプローチを採用していること
など、興味深いことが書かれています。
それでは。
