ＶＰＮの構築について

いつもお世話になっております。

ＶＰＮ構築中にpingが通らなく、困っています。
当方初心者でして、、不明な点があればご指摘下さい。

フレッツ接続で拠点間のＶＰＮを構築しています。
ネットワークの構成はメッシュを使用しています。
ルーターはNetScreenとYAMAHA製のものを使用しています。
また、このタイプの接続が可能かどうかは、他拠点で検証済みであり、現在繋がっているところがあります。

今回のpingが通らない症状ですが、次のようになっています。
※拠点ＢはNetScreenであり、他拠点はYAMAHAです。

・拠点Ａ⇒拠点Ｂはpingが通ります。
・拠点Ｂ⇒拠点Ａはpingが通りません。

拠点ＢからＡに向けて、tracertを行った所、拠点B⇒拠点C⇒***time out というようになぜか、拠点Ｃを経由するような形になっていました。

これはNetScreen側のスクリプトの問題でしょうか。
それともYAMAHA側の問題でしょうか。
また、双方のスクリプトの記述を見ているのですが、それらしいルーティングの設定をしているところが分かりませんでした。

他にもどこがおかしくなっているのか試す手段がありましたらご教授宜しくお願い致しますm(__)m

No.2 ベストアンサー 回答者： kuma-ku 回答日時： 2006/06/20 00:36

>>get sa

>他の拠点の機器にも、同じSA ID が保存されているはずなので
>HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys
>
>コマンド入力後に表示された内容ですが、この内、SAのIDはどれを指すのでしょうか。

SA は”SPI”がその値になります。

>>get route
>実行した結果3つでてきました。
>trust側のローカルIPアドレス
>untrust側のグローバルIPアドレス
>untrust側で0.0.0.0/0

ルートについては、了解しました。
NetScreen では、ルーティング情報に従ってVPN Tunnel を選択する方式(ルートベースVPN)と、
VPN Policy に基づきVPN Tunnel を選択する方式(ポリシーベースVPN)があるため、
今回の構成では、後者が使われているものと思われます。

>>また、WebUI の画面から
>AとCのグローバルアドレスに間違いはありませんでしたが、気になる点がありました。
>拠点A　172.16.13.0/24
>拠点C　172.16.0.0/12
>この拠点Cの指定方法は問題ないのでしょうか。

おそらく、ここが問題だと思われます。
それぞれのNW の範囲は、以下のようになります。
拠点A は[172.16.13.0～172.16.13.255]
拠点C は[172.16.0.0～172.31.255.255]

もしかして、現在の拠点C とのVPN ポリシーが、拠点A よりも上位に存在していませんか？

ポリシーベースVPN の場合、Firewall の透過・不透過ルールとともに、
VPN のルールもポリシー設定の中で定義します。

このとき、どのポリシーを使用するかは、
上から順番にマッチング検索が行われ処理されます。

その為、拠点C が拠点A よりも上位にある場合、拠点A 宛の通信パケットが、
拠点C のポリシーにマッチしてしまい、
拠点C に転送されているものと推測します。


拠点A からのPing が通るのは、拠点B からの戻りのパケットが、
セッションテーブルにより処理されるため、ポリシー設定の影響を受けない為です。

一度ご確認ください。

この回答へのお礼

ご返信有難う御座います。
ご指摘の通り、拠点Aを上位に持ってくることで正常に通信ができました。

大変、勉強になりました。
有難う御座いました。

お礼日時：2006/06/20 20:21

No.1 回答者： kuma-ku 回答日時： 2006/06/18 21:18

こんばんは

メッシュの構成ということなので、VPN の設定は各NetScreen にも、YAMAHA にも、
各拠点への接続分入っていると言うことですよね？
仮に、拠点B のNetScreen に拠点C への設定しか入っていない場合、
HUB&SPOKE と言う構成になります。


NetScreen のCLI/Telnet での確認コマンドをいくつか紹介しておきますので、
一度確認してみてください。
※当方、YAMAHA については疎いので、コメントは控えておきます。

get sa
このコマンドは、対抗とのVPN パスの状態を確認するためのものです。
他の拠点の機器にも、同じSA ID が保存されているはずなので、
確認してみてください。

get route
このコマンドは、ルーティング情報を確認するためのものです。
拠点B のNetScreen のルーティング情報を参照し、
拠点A のルートが、当該のTunnel I/F を指しているか、
確認してみてください。

また、WebUI の画面からで結構ですので、
拠点A との接続のVPN Policy の設定で、
拠点A とC のNW やホストのアドレスが正しいか、
確認してみてください。

取り急ぎ、以上をご確認ください。

この回答へのお礼

ご返信有難う御座います。

補足致します。
拠点Aには拠点Cの設定（メッシュ）がされており、拠点Cとは双方向に現在繋がっております。

以下、NetScreen側の確認致しましたが、、まだ解決しておりません。
不明な点もありますので、差し支えなければ、教えて頂きたいです。

>get sa
>他の拠点の機器にも、同じSA ID が保存されているはずなので
HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys

コマンド入力後に表示された内容ですが、この内、SAのIDはどれを指すのでしょうか。

>get route
実行した結果3つでてきました。
trust側のローカルIPアドレス
untrust側のグローバルIPアドレス
untrust側で0.0.0.0/0

現在稼動しているNetScreenも参考に見たのですが、結果は似たように３つ出ました。

>また、WebUI の画面から
AとCのグローバルアドレスに間違いはありませんでしたが、気になる点がありました。
拠点A　172.16.13.0/24
拠点C　172.16.0.0/12
この拠点Cの指定方法は問題ないのでしょうか。

以上、宜しくお願い致します。

お礼日時：2006/06/19 19:56