Juniper SSGとMicrosoft Azure ワークとのサイト間VPN … · Juniper SSGとMicrosoft Azure仮想ネットワークとのサイト間VPN接続の構成 Juniper Networks K.K

Juniper SSGとMicrosoft Azure仮想ネットワークとのサイト間VPN接続の構成

Juniper Networks K.K. 2015年3月

2 Copyright © 2015 Juniper Networks, Inc. www.juniper.net

はじめに

  本資料では、日本マイクロソフト様Microsoft Azureクラウドサービスにおける仮想ネットワークのゲートウェイ機能と、オンプレミスサイトとのサイト間IPsec VPN接続について、オンプレミス側VPN機器としてSSGを使用した場合の構成例を説明しています。

  本構成例は、ご自身の責任のもとでご利用いただけますようお願いいたします。また本資料は2015年3月現在の仕様に基いて作成されておりますので、仕様変更等により画面デザインや設定方法が異なる場合がございます。


Microsoft Azure 仮想ネットワークサイト間接続手順

  1. 構成ネットワークと設定情報の確認

  2. Microsoft Azure 管理ポータルから、Microsoft Azureを構成 §  Microsoft Azure仮想ネットワークの構成 §  ローカルネットワークの構成 §  共有キーとゲートウェイIPアドレスの確認

  3. SSGの構成 §  SSG設定サンプルコンフィグ入手（オプション） §  SSGのバージョン確認 §  SSGの設定

  4. 接続と確認 §  Microsoft Azure仮想ネットワーク側 §  SSG側

  5. 接続できない時 §  状態確認 §  デバッグ


1. 構成ネットワークと設定情報の確認 VPNデバイスとネットワーク環境要件

  Microsoft Azure仮想ネットワークとの接続には、グローバルなIPv4アドレスおよび互換性のあるVPN機器が必要です。

  詳細な仕様については下記を参照して下さい。 https://msdn.microsoft.com/ja-jp/library/azure/jj156075.aspx

  SRXおよびNS/SSGは上記要件を満たしています。


1. 構成ネットワークと設定情報の確認構成ネットワーク例

ゲートウェイサブネット 10.10.32.0/29

サブネット1 10.10.0.0/24

仮想ネットワークアドレス空間 10.10.0.0/16

VPN　ゲートウェイ

Internet

ゲートウェイIPアドレス A.A.A.A

SSG WAN IPアドレス B.B.B.B

ethernet0/9 untrust zone

（今回は、ethernet0/9インタフェースで NTT フレッツ光ネクストにPPPoEで接続）

オンプレミスネットワーク 172.27.0.0/16

SSG140

ethernet0/0 172.27.115.84/22

trust zone

サブネット2 10.10.1.0/24

IPSec VPN

Microsoft Azure


2. Microsoft Azureの構成例

Microsoft Azureのポータルからログイン後、ネットワークを選択


2. Microsoft Azureの構成例仮想ネットワークの構成①

仮想ネットワーク名として任意の名前を入力


2. Microsoft Azureの構成例仮想ネットワークの構成②

サイト間VPNの構成を選択プライベートのDNSサーバを設置する場合に入力（今回は未使用）


2. Microsoft Azureの構成例オンプレミスネットワークの構成

オンプレミスネットワーク名として、任意の名前を入力

B.B.B.B

オンプレミスVPN機器(SSG)のIPsec終端インタフェースのグローバルIPアドレス

オンプレミスネットワークのIPアドレスレンジを設定後にSSGを設定する際には、local のProxy-idの値として利用される


2. Microsoft Azureの構成例仮想ネットワークの構成③

仮想ネットワーク全体のIPアドレスレンジを設定

仮想ネットワークのサブネットを設定 “サブネットの追加”で複数設定可能

“ゲートウェイサブネットの追加”でゲートウェイサブネットを設定


2. Microsoft Azureの構成例ゲートウェイの作成①

新しい仮想ネットワークが追加されるので、これを選択


2. Microsoft Azureの構成例ゲートウェイの作成②

ゲートウェイの作成で、静的ルーティングまたは動的ルーティングを選択して、ゲートウェイを作成(10分程度かかる) 静的・動的はVPN構成により選択しますが、SSGは両方のゲートウェイに対応


2. Microsoft Azureの構成例共有キーとゲートウェイIPアドレスの確認①

A.A.A.A

キーの管理を選択

自動的にゲートウェイIPアドレスがアサインされるが、SSGで対向のVPNゲートウェイの

IPアドレスとして設定する必要があるため、メモを取る


2. Microsoft Azureの構成例共有キーとゲートウェイIPアドレスの確認②

共有キーが表示されるので、メモまたはコピー&ペーストで保存する後にSSGを設定する際に、

PreShared-Keyとして設定する


3. SSGの設定例本資料での環境と注意事項

　SSG140を使用 §  本資料ではSSG140を前提にインタフェース等の設定を行っており、ご使用されるSSGの

機種とはインタフェースの割り当てが異なる場合、読み替えて設定を行って下さい。

  アクセス回線としてフレッツ光ネクストを使用 §  検証目的のため、本資料では動的IP割り当てのサービスを使用。

Microsoft AzureのゲートウェイからVPN接続が行われることもあるため、固定IPアドレスの使用を推奨。

  Screen OS 6.3 R18を使用 §  ScreenOS 6.2および6.3が対応しているが、本資料ではIKEバージョン2が要件である

Microsoft Azure動的ルーティングVPNゲートウェイも利用しているため、IKEバージョン2をサポートしているScreenOS 6.3を使用。

  Microsoft Azure仮想ネットワークVPNゲートウェイの種類 §  Microsoft Azure仮想ネットワークのVPNゲートウェイは静的または動的ゲートウェイを選

択可能であり、Ipsecの要件が異なるため、SSG側もそれぞれのゲートウェイの合わせた設定が必要。またポリシーベース、ルートベースVPN構成によってもSSG側の設定が異なる。本資料では　　　　　　　　　　　　　　　　　　のラベルで区別。

ルートベースポリシーベース


静的ルーティングVPNゲートウェイ使用時の設定


3. SSGの設定例 ① インタフェース設定 (LAN側インタフェース)

< CLI >

< GUI > Network > Interfaces > Listより設定するインタフェースのEditを選択

SSG140->set interface ethernet0/0 ip 172.27.115.84/22

zoneを指定

IPアドレスを指定

ルートベース

ポリシーベース


3. SSGの設定例 ① インタフェース設定 (WAN側PPPoEインタフェース) < GUI > Network > PPP > PPPoE Profile より選択

Network > Interfaceより使用するインタフェースを選択

作成したPPPoE Profileを指定

< CLI >

SSG140-> set pppoe name Flet's SSG140-> set pppoe name Flet's username [email protected] password juniper SSG140-> set pppoe name Flet's interface ethernet0/9 SSG140-> set pppoe name Flet's authentication chap SSG140-> set pppoe name Flet's idle 0

ISPの認証情報を入力

zoneを指定

ルートベース



3. SSGの設定例 ① インタフェース設定 (Tunnelインタフェース) < GUI > Network > Interface より”Tunnel IF” , Newを選択

< CLI >

SSG140-> set interface tunnel.1 ip unnumbered interface ethernet0/9 SSG140-> set interface tunnel.1 zone "Untrust"

Unnumberedを選択

zoneを指定

WAN側で使用するインタフェースを選択

ルートベース


3. SSGの設定例 ② ルーティング設定

< CLI >

SSG140-> set route 0.0.0.0/0 interface ethernet0/9

< GUI > Network > Routing > Destination より”trust-vr” , Newを選択

デフォルトルートを指定

WAN側で使用するインタフェースを指定

ルートベース




< CLI >

SSG140-> set route 10.10.0.0/16 interface tunnel.1


Microsoft Arure仮想ネットワークのアドレス空間を指定

①で作成したTunnelインタフェースを指定

ルートベース


3. SSGの設定例 ③ IPsec IKE/Phase1設定 < GUI > VPNs > AutoKey Advanced > P1 Proposal よりNewを選択

< CLI >

SSG140-> set ike p1-proposal "Azure-P1" preshare group2 esp aes256 sha-1 second 28800

ルートベース



3. SSGの設定例 ③ IPsec IKE/Phase1設定

< GUI > VPNs > AutoKey Advanced > GatewayよりNewを選択

Microsoft Azure VPNゲートウェイIPアドレス

Advanced 設定へ移動

ルートベース


IKEv1を選択

任意の名前を指定



< GUI > VPNs > AutoKey Advanced > GatewayのAdvanced設定

前項で作成したPhase 1 Proposalを選択

ModeはMainを選択

インタフェースを指定

Microsoft Azure VPNゲートウェイで表示された共有キー

Intervalとして10秒を指定

ルートベース




< CLI >

SSG140-> set ike gateway "Azure-GW" address A.A.A.A Main outgoing-interface "ethernet0/9" preshare "o+pRBYhzNeSf0JsuGYCW+0z1gonrA/HzppzG1gF7iAIyH201EIZuc3gU0/HFO8lO4uQ3HZnAov4+" proposal "Azure-P1" SSG140-> set ike gateway "Azure-GW“ dpd-liveness interval 10

ルートベース



3. SSGの設定例 ④ IPsec Phase2設定

< GUI > VPNs > AutoKey Advanced > P2 Proposal よりNewを選択

< CLI >

SSG140-> set ike p2-proposal "Azure-P2" no-pfs esp aes256 sha-1 second 3600

ルートベース



3. SSGの設定例 ④ IPsec IKE/Phase2設定

< GUI > VPNs > AutoKey IKE よりNewを選択


Phase1で設定したGatewayを指定


ルートベース




< GUI > VPNs > AutoKey IKE(前項)よりAdvancedを選択

< CLI >

SSG140-> set vpn "Azure" gateway "Azure-GW" tunnel idletime 0 proposal "Azure-P2“ SSG140-> set vpn "Azure" monitor optimized rekey SSG140-> set vpn "Azure" bind interface tunnel.1

Compatibleを選択

Bindするtunnelインタフェースを指定

ルートベース






< CLI >

SSG140-> set vpn "Azure" gateway "Azure-GW" tunnel idletime 0 proposal "Azure-P2“ SSG140-> set vpn "Azure" monitor optimized rekey





3. SSGの設定例 ④ IPsec Phase2設定

< GUI > VPNs > AutoKey IKE より前項で設定した項目よりProxy IDを選択

< CLI >

SSG140-> set vpn "Azure" proxy-id local-ip 172.27.0.0/16 remote-ip 10.10.0.0/16 "ANY“

Microsoft Azure仮想ネットワークのアドレス空間

オンプレミスネットワークのサブネットワーク

ルートベース


ポリシーベースVPN構成では複数のProxy IDを設定することが出来ないので、それぞれのサブネットごとにAutoKey IKEを設定する


3. SSGの設定例 ⑤ ポリシー設定

< CLI >

SSG140-> set address "Trust" "Onpremise-NW" 172.27.0.0 255.255.0.0 SSG140-> set address "Untrust" "Azure-NW" 10.10.0.0 255.255.0.0

< GUI >

Policy > Policy Elements > Addresses > List より”Trust”または”Untrust”を選択し、”New”でMicrosoft Azure仮想ネットワークのアドレス空間とオンプレミスネットワークをアドレスオブジェクとして追加



ルートベース



< CLI >

SSG140-> set policy id 1 from "Trust" to "Untrust" "Onpremise-NW" "Azure-NW" "ANY" permit SSG140-> set policy id 2 from "Untrust" to "Trust" "Azure-NW" "Onpremise-NW" "ANY" permit

< GUI >

Policy > Policies より”From “ , “To” でZoneを選択し、”New”で作成

ルートベース

前項で設定したアドレスオブジェクトを指定

通信させるプロトコルを指定

Actionとして”Permit”を指定


3. SSGの設定例 ⑤ ポリシー設定 < GUI >




VPNで設定したVPN Nameを指定


Actionとして”Tunnel”を指定



< CLI >

SSG140-> set policy id 19 from "Trust" to "Untrust" "Onpremise-NW" "Azure-NW" "ANY" tunnel vpn "Azure" pair-policy 20 SSG140->　set policy id 20 from "Untrust" to "Trust" "Azure-NW" "Onpremise-NW" "ANY" tunnel vpn "Azure" pair-policy 19



動的ルーティングVPNゲートウェイ使用時の設定


3. SSGの設定例 ① インタフェース設定 (LAN側インタフェース)

< CLI >

< GUI > Network > Interfaces > Listより設定するインタフェースのEditを選択

SSG140->set interface ethernet0/0 ip 172.27.115.84/22

zoneを指定

IPアドレスを指定

ルートベース



3. SSGの設定例 ① インタフェース設定 (WAN側PPPoEインタフェース) < GUI > Network > PPP > PPPoE Profile より選択

Network > Interfaceより使用するインタフェースを選択

作成したPPPoE Profileを指定

< CLI >

SSG140-> set pppoe name Flet's SSG140-> set pppoe name Flet's username [email protected] password juniper SSG140-> set pppoe name Flet's interface ethernet0/9 SSG140-> set pppoe name Flet's authentication chap SSG140-> set pppoe name Flet's idle 0

ISPの認証情報を入力

zoneを指定

ルートベース



3. SSGの設定例 ① インタフェース設定 (Tunnelインタフェース) < GUI > Network > Interface より”Tunnel IF” , Newを選択

< CLI >

SSG140-> set interface tunnel.1 ip unnumbered interface ethernet0/9 SSG140-> set interface tunnel.1 zone "Untrust"

Unnumberedを選択

zoneを指定

WAN側で使用するインタフェースを選択

ルートベース



< CLI >

SSG140-> set route 0.0.0.0/0 interface ethernet0/9


デフォルトルートを指定

WAN側で使用するインタフェースを指定

ルートベース




< CLI >

SSG140-> set route 10.10.0.0/16 interface tunnel.1


Microsoft Azure仮想ネットワークのアドレス空間を指定

①で作成したTunnelインタフェースを指定

ルートベース



< GUI > VPNs > AutoKey Advanced > GatewayよりNewを選択

Microsoft Azure VPNゲートウェイIPアドレス


IKEv2を選択


ルートベース




< GUI > VPNs > AutoKey Advanced > GatewayのAdvanced設定

Compatibleを選択

インタフェースを指定

Microsoft Azure VPNゲートウェイで表示された共有キー

Intervalとして10秒を指定

ルートベース




< CLI >

SSG140-> set ike gateway ikev2 "Azure-GW" address A.A.A.A outgoing-interface "ethernet0/9" preshare "e6lasZb9N+Sp3Is0KKCji/pxY0nIysufP7vgeztS8fGoVIXsm/KAuS5v+wzDI5ClekVx6dIH7+zQ" sec-level compatible SSG140-> set ike gateway "Azure-GW“ dpd-liveness interval 10

ルートベース




< GUI > VPNs > AutoKey IKE よりNewを選択


Phase1で設定したGatewayを指定


ルートベース





< CLI >

SSG140-> set vpn "Azure" gateway "Azure-GW" tunnel idletime 0 sec-level compatible SSG140-> set vpn "Azure" bind interface tunnel.1 SSG140-> set vpn "Azure" monitor optimized rekey

Compatibleを選択


ルートベース




< CLI >

SSG140-> set vpn "Azure" gateway "Azure-GW" tunnel idletime 0 sec-level compatible SSG140-> set vpn "Azure" monitor optimized rekey

Compatibleを選択




< CLI >

SSG140-> set address "Trust" "Onpremise-NW" 172.27.0.0 255.255.0.0 SSG140-> set address "Untrust" "Azure-NW" 10.10.0.0 255.255.0.0

< GUI >

Policy > Policy Elements > Addresses > List より”Trust”または”Untrust”を選択し、”New”でMicrosoft Azure仮想ネットワークのアドレス空間とオンプレミスネットワークをアドレスオブジェクとして追加



ルートベース



< CLI >

SSG140-> set policy id 1 from "Trust" to "Untrust" "Onpremise-NW" "Azure-NW" "ANY" permit SSG140-> set policy id 2 from "Untrust" to "Trust" "Azure-NW" "Onpremise-NW" "ANY" permit

< GUI >


ルートベース



Actionとして”Permit”を指定


3. SSGの設定例 ⑤ ポリシー設定 < GUI >




VPNで設定したVPN Nameを指定


Actionとして”Tunnel”を指定



< CLI >

SSG140-> set policy id 19 from "Trust" to "Untrust" "Onpremise-NW" "Azure-NW" "ANY" tunnel vpn "Azure" pair-policy 20 SSG140->　set policy id 20 from "Untrust" to "Trust" "Azure-NW" "Onpremise-NW" "ANY" tunnel vpn "Azure" pair-policy 19



A.A.A.A

4. 接続と確認 Microsoft Azureからの接続リクエスト

接続を選択


4. 接続と確認 Microsoft Azure接続確認

接続される

A.A.A.A


5. 接続できない・通信ができない時よくある問題

  Proxy-IDとポリシーオブジェクトの不一致 §  IPsec Phase2設定のProxy IDのLocal/Remote IPと該当するセキュリティポリシーの

source-address/destination-addressが一致していないと、Proxy IDのネゴシエーション

が失敗します。VPN設定と、ポリシーのこれら値が一致していることを確認してください。失敗している場合、eventログに下記のログが出力されるので、どのLocal/Remote IPの設定が間違っているか確認する事が出来ます。 IKE A.A.A.A Phase 2: No policy exists for the proxy ID received: local ID (192.168.0.0/255.255.0.0, 0, 0) remote ID (10.10.0.0/255.255.0.0, 0, 0).

  Microsoft Azure管理ポータルのステータス §  Microsoft Azure管理ポータルでは、接続/切断を実行後にもVPNのステータスがすぐに

は反映されないことがあります。Microsoft Azure管理ポータルでVPNが接続/切断で

あっても、SSG側で正常に接続/切断されている状態のときは、ステータスが更新されるまでお待ち下さい。

  TCP MSS 適化 §  VPNトラフィックに対して、下記コマンドでmssを設定。

set flow vpn-tcp-mss 1350 (PPPoE接続の場合、1320)


5. 接続と確認 SSG側接続確認: IPsec VPN接続ステータス

SSG140-> get sa active Total active sa: 2 total configured sa: 2 HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys 0000000b< A.A.A.A 500 esp:3des/sha1 a73e1b79 3523 unlim A/- -1 0 0000000b> A.A.A.A 500 esp:3des/sha1 cce5f86a 3523 unlim A/- -1 0 00000015< B.B.B.B 500 esp:3des/sha1 a73e1b78 3399 unlim A/- -1 0 00000015> B.B.B.B 500 esp:3des/sha1 8441bbfc 3399 unlim A/- -1 0 SSG140-> get sa id 11 index 6, name Azure-APAC, peer gateway ip A.A.A.A. vsys<Root> auto key. tunnel if binding node, tunnel mode, policy id in:<-1> out:<-1> vpngrp:<-1>. sa_list_nxt:<-1>. tunnel id 11, peer id 2, NSRP Local. site-to-site. Local interface is ethernet0/0 <X.X.X.X>. esp, group 0, 3des encryption, sha1 authentication autokey, IN inactive, OUT inactive monitor<0>, latency: -1, availability: 0 DF bit: clear app_sa_flags: 0x440020 proxy id: local 0.0.0.0/0.0.0.0, remote 0.0.0.0/0.0.0.0, proto 0, port 0/0 ike activity timestamp: 588081534 DSCP-mark : disabled nat-traversal map not available incoming: SPI a73e1b79, flag 00004000, tunnel info 4000000b, pipeline life 3600 sec, 3272 remain, 0 kb, 0 bytes remain anti-replay off, idle timeout value <0>, idled 28 seconds next pak sequence number: 0x0 bytes/paks:1827318/28305; sw bytes/paks:1827318/28305 outgoing: SPI cce5f86a, flag 00000000, tunnel info 4000000b, pipeline life 3600 sec, 3272 remain, 0 kb, 0 bytes remain anti-replay off, idle timeout value <0>, idled 328 seconds next pak sequence number: 0x0 bytes/paks:2637361/34757; sw bytes/paks:2637361/34757

Activeの数値がカウントされる

詳細接続情報


5. 接続と確認 SSG側接続確認: セッション確認

SSG140-> get session nat used ipv6 addr: allocated 0/maximum 192256 alloc 9/max 48064, alloc failed 0, mcast alloc 0, di alloc failed 0 total reserved 0, free sessions in shared pool 48055id 16020/s**,vsys 0,flag 00000040/0000/0001/0000,policy 12,time 2, dip 0 module 0

if 20(nspflag 2801):10.136.32.0/24568->172.27.0.0/1,1,000000000000,sess token 4,vlan 0,tun 4000000b,vsd 0,route 16

if 11(nspflag 800800):10.136.32.0/24568<-172.27.0.0/1,1,0010dbff4090,sess token 3,vlan 0,tun 0,vsd 0,route 5

id 16029/s**,vsys 0,flag 00000040/0080/0021/0010,policy 320002,time 6, dip 0 module 0 if 0(nspflag 4601):A.A.A.A/500->X.X.X.X/500,17,000000000000,sess token 4,vlan 0,tun 0,vsd 0,route 0

if 3(nspflag 2002010):A.A.A.A/500<-X.X.X.X/500,17,000000000000,sess token 5,vlan 0,tun 0,vsd 0,route 0

id 16032/s**,vsys 0,flag 00000040/0000/0001/0000,policy 12,time 2, dip 0 module 0 if 20(nspflag 2801):10.136.48.0/12109->172.27.0.0/1,1,000000000000,sess token 4,vlan 0,tun 40000015,vsd 0,route 17

if 11(nspflag 800800):10.136.48.0/12109<-172.27.0.0/1,1,0010dbff4090,sess token 3,vlan 0,tun 0,vsd 0,route 5

id 16037/s**,vsys 0,flag 00000040/0000/0001/0000,policy 12,time 2, dip 0 module 0 if 20(nspflag 2801):10.136.32.0/24570->10.0.0.0/1,1,000000000000,sess token 4,vlan 0,tun 4000000b,vsd 0,route 16

if 13(nspflag 0800):10.136.32.0/24570<-10.0.0.0/1,1,000000000000,sess token 3,vlan 0,tun 0,vsd 0,route 13

id 16046/s**,vsys 0,flag 00000040/0080/0021/0010,policy 320002,time 6, dip 0 module 0 if 0(nspflag 4601):B.B.B.B/500->X.X.X.X/500,17,000000000000,sess token 4,vlan 0,tun 0,vsd 0,route 0

if 3(nspflag 2002010):B.B.B.B/500<-X.X.X.X/500,17,000000000000,sess token 5,vlan 0,tun 0,vsd 0,route 0

id 16050/s**,vsys 0,flag 00000040/0000/0001/0000,policy 12,time 2, dip 0 module 0 if 20(nspflag 2801):10.136.48.0/12111->10.0.0.0/1,1,000000000000,sess token 4,vlan 0,tun 40000015,vsd 0,route 17

if 13(nspflag 0800):10.136.48.0/12111<-10.0.0.0/1,1,000000000000,sess token 3,vlan 0,tun 0,vsd 0,route 13

IKE セッションが確立している


5. 接続できない時 SSG側接続確認: SSG ScreenOSバージョン

SSG140-> get system version Encoding: 1 Version: 6.3.0.1.0.0.0.0 DM Version: 1

ScreenOSのバージョン


5. 接続できない時 SSG側接続確認: インタフェース状態確認

SSG140-> get interface eth0/9 Interface ethernet0/9: description ethernet0/9 number 13, if_info 10504, if_index 0, mode route link up, phy-link up/full-duplex, admin status up status change:5, last change:04/11/2013 20:51:53 vsys Root, zone Untrust, vr trust-vr dhcp client disabled PPPoE enable admin mtu 0, operating mtu 1500, default mtu 1500 *ip X.X.X.X/28 mac 0017.cb43.f48d *manage ip X.X.X.X, mac 0017.cb43.f48d route-deny disable pmtu-v4 disabled ping disabled, telnet disabled, SSH disabled, SNMP disabled web disabled, ident-reset disabled, SSL disabled DNS Proxy disabled, webauth disabled, g-arp enabled, webauth-ip 0.0.0.0 OSPF disabled OSPFv3 disabled BGP disabled RIP disabled RIPng disabled mtrace disabled PIM: not configured IGMP not configured MLD not configured NHRP disabled bandwidth: physical 100000kbps, configured egress [gbw 0kbps mbw 0kbps] configured ingress mbw 0kbps, current bw 0kbps total allocated gbw 0kbps DHCP-Relay disabled at interface level DHCP-server disabled

WAN側インタフェースがup で無い時はPPPoEの接続に問題あり


5. 接続できない時 SSG側接続確認: ルーティング確認

SSG140-> get route

IPv4 Dest-Routes for <untrust-vr> (0 entries) -------------------------------------------------------------------------------------- H: Host C: Connected S: Static A: Auto-Exported I: Imported R: RIP/RIPng P: Permanent D: Auto-Discovered N: NHRP iB: IBGP eB: EBGP O: OSPF/OSPFv3 E1: OSPF external type 1 E2: OSPF/OSPFv3 external type 2 trailing B: backup route IPv4 Dest-Routes for <trust-vr> (7 entries) -------------------------------------------------------------------------------------- ID IP-Prefix Interface Gateway P Pref Mtr Vsys -------------------------------------------------------------------------------------- * 15 10.10.0.0/16 tun.1 0.0.0.0 S 20 1 Root * 16 0.0.0.0/0 eth0/9 X.X.X.Z S 20 1 Root * 12 X.X.X.X/32 eth0/9 0.0.0.0 H 0 0 Root * 11 X.X.X.X/28 eth0/9 0.0.0.0 C 0 0 Root * 3 172.27.112.0/22 eth0/0 0.0.0.0 C 0 0 Root * 4 172.27.115.84/32 eth0/0 0.0.0.0 H 0 0 Root * 5 172.27.0.0/16 eth0/0 172.27.112.1 S 20 1 Root


5. 接続できない時 SSGのイベントログの確認

SSG140-> get event 2015-03-12 10:33:01 system info 00536 IKE 191.234.20.158 IKESA : Completed IKESA negotiations with CREATE CHILD SA. 2015-03-12 10:30:12 system info 00536 IKE 191.234.20.158 child sa with CREATE CHILD SA: Completed negotiations with SPI a73e1b5e, tunnel ID 11, and lifetime 3600 seconds/0 KB. 2015-03-12 10:28:06 system info 00536 IKE 104.46.232.175 child sa with CREATE CHILD SA: Completed negotiations with SPI a73e1b5d, tunnel ID 21, and lifetime 3600 seconds/0 KB. 2015-03-12 10:24:11 system info 00536 IKE 191.234.20.158 child sa with CREATE CHILD SA: Completed negotiations with SPI a73e1b5c, tunnel ID 11, and lifetime 3600 seconds/0 KB.

イベントログを確認してどのようなエラーが出ているか確認できる


5. 接続できない時接続時IKE debug取得方法

SSG140-> debug ike detail SSG140-> undebug all SSG140-> get dbuf stream ## 2015-03-12 12:13:36 : IKE<A.A.A.A> ike packet, len 88, action 0 ## 2015-03-12 12:13:36 : IKE<A.A.A.A> Catcher: received 60 bytes from socket. ## 2015-03-12 12:13:36 : IKE<A.A.A.A> ****** Recv packet if <ethernet0/0> of vsys <Root> ******

## 2015-03-12 12:13:36 : IKE<A.A.A.A> Catcher: get 60 bytes. src port 500 ## 2015-03-12 12:13:36 : IKE<0.0.0.0 > found existing ike sa node 2a4b0fc ## 2015-03-12 12:13:36 : IKE<A.A.A.A> Search IKE_SA table, found 2a4b0fc. ## 2015-03-12 12:13:36 : Duplicated pkt checking ... ## 2015-03-12 12:13:36 : len in wind 60, hash in wind -1057538087, len 60, hash -564505166

## 2015-03-12 12:13:36 : hash in SA is de5a55b2, len 60 ## 2015-03-12 12:13:36 : start seq no is 966, avil seq no is 0, win size is 1 ## 2015-03-12 12:13:36 : return seq no 966 as Responder ## 2015-03-12 12:13:36 : start seq no is 967, avil seq no is 0, win size is 1 ## 2015-03-12 12:13:36 : IKE<A.A.A.A> ISAKMP msg: ver 20, len 28, nxp 0 exch 37[INFO], flag 08(I(1) R(0) V(0)), msgid 966

## 2015-03-12 12:13:36 : init cookie ## 2015-03-12 12:13:36 : 4d 1b df 06 b8 96 3d 17 ## 2015-03-12 12:13:36 : resp cookie ## 2015-03-12 12:13:36 : 7c e5 cf 13 e6 cd 67 4b ## 2015-03-12 12:13:36 : current state is 7, exch is 37, response is 0 ## 2015-03-12 12:13:36 : ikev2_ex.c process_informational_req 495

debug の取得


日本マイクロソフト様の各種リンクと公開情報

  Microsoft Azure管理ポータル §  https://manage.windowsazure.com/

  仮想ネットワーク概要 §  https://msdn.microsoft.com/ja-jp/library/azure/jj156007.aspx

  仮想ネットワーク FAQ §  https://msdn.microsoft.com/ja-jp/library/azure/dn133803.aspx

  仮想ネットワークに使用する VPN デバイスについて §  https://msdn.microsoft.com/ja-jp/library/azure/jj156075.aspx

Documents

Juniper SSGとMicrosoft Azure ワークとのサイト間VPN … · Juniper SSGとMicrosoft Azure仮想ネット ワークとのサイト間VPN接続の構成 Juniper Networks K.K

Juniper SSGとMicrosoft Azure ワークとのサイト間VPN … · Juniper SSGとMicrosoft Azure仮想ネットワークとのサイト間VPN接続の構成 Juniper Networks K.K