はじめに
IPSec VPN接続では異なる機器同士の設定でつまずく点が多くあります。今回はVMware NSX EdgeとJuniper SSG5のIPSec VPN接続設定における落とし穴について記載します。
VMware NSX Edgeについて
下記のURLを参照してください。
http://www.vmware.com/jp/products/nsx
Juniper SSG5について
下記のURLを参照してください。
http://www.hs-juniperproducts.jp/security/ssg/spec.html
NSX Edgeと接続する場合のIPSec VPN推奨設定
下記の表を参考にIPSec VPNを設定します。
以下はvCloud AirにおけるIPSec VPN接続ガイドですが、日本語で記載されており参考になります。
https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2094854
Juniper SSG5におけるIPSec VPN設定
下記ページよりIPSec VPN接続ガイド_Juniper_SSGをダウンロードして参照してください。
https://www.vmware-gogo.com/p/vcloudair_campaign/
VMware NSX EdgeとJuniper SSG5のIPSec VPN接続設定における落とし穴
上記で公開されていない落とし穴が2つありました。
Proxy ID設定が必要
プロキシIDは、VPNピア間でポリシールールを交換するために使用されます。デフォルトでSSGではポリシーチェックが使用可能になっており、プロキシIDにより送信されるポリシーはローカルで構成されているポリシーと比較されます。プロキシID不一致はVPNの失敗によくあるようです。
参照先:http://www.infraeye.com/study/juniperssg20.html
設定画面例:
VPNモニターの設定が必要
以下のメッセージがログに記録されており、Phase 2のVPN Monitorの設定でDestination IP欄に対向側でpingに応答するIPアドレスを入力することでVPNトンネルステータスが安定しました。デフォルトの設定値は「default」が入力されています。
Message
VPN monitoring for VPN 〈vpn_name〉 has deactivated the SA with ID 0x 〈tunnel-id〉x.
Meaning
The security device determined that the VPN monitoring status for the specified VPN tunnel changed from up to down. Consequently, the security device deactivated the specified Phase 2 security association (SA).
