edit-icon download-icon

Juniper SRX ルーター設定例

最終更新日: Dec 26, 2019

本設定例では、VPC に 作成した VPN Gateway を、お客様拠点に設置した Juniper SRX ルーターと IPsec-VPN で接続します。

事前準備

ネットワークや IP アドレスの設計を事前に設計し、接続する VPC に VPN Gateway を購入します。

本設定例では、クラウド側の VPC (セグメント 192.168.0.0/24) と Juniper SRX ルーター側 (セグメント 192.168.100.0/24) を Route-based で接続します。

本設定例について

Alibaba Cloud の VPC との接続を保証するものではありません。

2019年 8 月の仕様に基づいて記載しています。確認しているファームウェアは下記のとおりです。今後、サービス内容の変更や、仕様変更などによって接続できなくなる可能性があります。

本設定例でテスト済みの Juniper SRX ルーターは以下になります。

モデル バージョン
Juniper SRX 320 15.1X49-D150.2

Juniper SRX に関する情報および設定方法については、ジュニパーネットワークス株式会社または販売代理店 までお問い合わせください。

設定手順

ステップ 1:VPN Gateway の設定

  1. 対象 VPC に VPN Gateway とカスタマーゲートウェイを作成します。カスタマーゲートウェイの設定ではお客様拠点 ルーターのグローバル IP アドレスを使って設定します。VPN Gateway 、カスタマーゲートウェイの具体的な設定方法は、「サイト間コネクションの設定」をご参照ください。
  2. IPsec Connections より VPN 接続を作成します。

    • 「名前」任意の識別名を入力します。
    • 「VPN Gateway」上項で作成したVPN Gateway名を選択します。
    • 「カスタマーゲートウェイ」 上項で作成したカスタマーゲートウェイを選択します。
    • 「ローカルネットワーク」 (0.0.0.0/0)を入力します。
    • 「リモートネットワーク」 (0.0.0.0/0)を入力します。
    • 「今すぐ有効化」“はい”を選択します。
    • 「高度な構成」有効にします。
    • 「事前共有鍵」拠点ルーター側と同一の任意の共有鍵を入力します。
    • 「バージョン」 ikev2 を選択します。
    • 「ヘルスチェック」 有効にします。
    • 「宛先 IP」お客様拠点側サブネット内の疎通可能な任意のIPアドレスを入力します。
    • 「送信元 IP」クラウド側サブネットの内で任意のIPアドレスを入力します。
    • 「再試行間隔」任意の間隔を指定します。
    • 「再試行回数」任意の回数を指定します。
    • 「OK」ボタンを押します。
      注意: ヘルスチェックとなります。有効にするとVPN Gatewayが対向のピアにヘルスチェックを送信し、IPsecトンネルの通信断を検出できるようになり、チェックが失敗した場合にはIPsecの再接続を試みます。そのほか項目についても運用方針に沿って指定いただけますが、拠点ルーター側と合わせる必要があります。
  3. ルートの追加をします。
    上記完了後、下記のポップアップが表示されるので、OKボタンを押します。
    vpn1
    下記、VPN-GW のルートテーブル画面へ遷移しますので、宛先ベースルーティングのタブを選択し、ルートエントリの追加を行います。
    vpn2
    ルートエントリの追加は下記の様に行います。
    「宛先 CIDR ブロック」お客様拠点側セグメントを設定します。
    「VPC に公開」“はい”を選択します。
    「OK」ボタンを押します。
    vpn3
    VPN-GW のルートテーブルにてルートエントリの追加が行われ、ステータスが公開済みとなっていることを確認します。
    vpn4

  4. IPsec Connectionsの画面より、VPN 接続が追加されることを確認します。
    vpn5

ステップ 2:Juniper SRX ルーターの設定

Juniper SRX ルーターにアクセスし以下の項目を設定します。

  • IPsec接続設定

    1. !
    2. set security ike proposal <IKE-PROPOSAL> authentication-method pre-shared-keys
    3. set security ike proposal <IKE-PROPOSAL> dh-group group2
    4. set security ike proposal <IKE-PROPOSAL> authentication-algorithm sha1
    5. set security ike proposal <IKE-PROPOSAL> encryption-algorithm aes-128-cbc
    6. set security ike proposal <IKE-PROPOSAL> lifetime-seconds 86400
    7. !
    8. set security ike policy <IKE-POLICY> proposals <IKE-PROPOSAL>
    9. set security ike policy <IKE-POLICY> pre-shared-key ascii-text <Alibaba Cloud VPN Gatewayと同一の任意の共有鍵>
    10. !
    11. set security ike gateway <GW> ike-policy <IKE-POLICY>
    12. set security ike gateway <GW> address <VPN GatewayのグローバルIPアドレス>
    13. set security ike gateway <GW> dead-peer-detection always-send
    14. set security ike gateway <GW> dead-peer-detection interval <DPDの任意の間隔>
    15. set security ike gateway <GW> dead-peer-detection threshold <DPDの任意の回数>
    16. set security ike gateway <GW> external-interface <VPN GatewayのグローバルIPアドレス>
    17. set security ike gateway <GW> version v2-only
    18. !
    19. !
    20. set security ipsec proposal <IPSEC-PROPOSAL> protocol esp
    21. set security ipsec proposal <IPSEC-PROPOSAL> authentication-algorithm hmac-sha1-96
    22. set security ipsec proposal <IPSEC-PROPOSAL> encryption-algorithm aes-128-cbc
    23. set security ipsec proposal <IPSEC-PROPOSAL> lifetime-seconds 86400
    24. !
    25. set security ipsec policy <IPSEC-POLICY> proposals <IPSEC-PROPOSAL>
    26. !
    27. set security ipsec vpn <VPN> bind-interface st0.0
    28. set security ipsec vpn <VPN> ike gateway <GW>
    29. set security ipsec vpn <VPN> ike proxy-identity local 0.0.0.0/0
    30. set security ipsec vpn <VPN> ike proxy-identity remote 0.0.0.0/0
    31. set security ipsec vpn <VPN> ike proxy-identity service any
    32. set security ipsec vpn <VPN> ike ipsec-policy <IPSEC-POLICY>
    33. !
  • NAT設定

    1. set security nat source rule-set <NAT> from zone <Trust>
    2. set security nat source rule-set <NAT> to zone <Untrust>
    3. set security nat source rule-set <NAT> rule <NAT-Rule> match source-address 192.168.100.0/24
    4. set security nat source rule-set <NAT> rule <NAT-Rule> match destination-address 0.0.0.0/0
    5. set security nat source rule-set <NAT> rule <NAT-Rule> then source-nat interface
    6. !
    7. set security zones security-zone <VPN> address-book address <CLOUD> 192.168.0.0/24
    8. set security zones security-zone <VPN> interfaces st0.0
    9. !
    10. set security zones security-zone <Trust> address-book address <SRX> 192.168.100.0/24
    11. set security zones security-zone <Trust> interfaces <LANInterface名>
    12. !
    13. set security zones security-zone <Untrust> interfaces <WANInterface名> host-inbound-traffic system-services ike
    14. !
    15. set security policies from-zone <VPN> to-zone <Trust> policy <VPN_SRX> match source-address <CLOUD>
    16. set security policies from-zone <VPN> to-zone <Trust> policy <VPN_SRX> match destination-address SRX
    17. set security policies from-zone <VPN> to-zone <Trust> policy <VPN_SRX> match application any
    18. set security policies from-zone <VPN> to-zone <Trust> policy VPN_SRX then permit
    19. !
    20. set security policies from-zone <Trust> to-zone <VPN> policy <SRX_VPN> match source-address <SRX>
    21. set security policies from-zone <Trust> to-zone <VPN> policy <SRX_VPN> match destination-address <CLOUD>
    22. set security policies from-zone <Trust> to-zone <VPN> policy <SRX_VPN> match application any
    23. set security policies from-zone <Trust> to-zone <VPN> policy <SRX_VPN> then permit
    24. !
    25. set security policies from-zone <Trust> to-zone <Untrust> policy <Permit> match source-address any
    26. set security policies from-zone <Trust> to-zone <Untrust> policy <Permit> match destination-address any
    27. set security policies from-zone <Trust> to-zone <Untrust> policy <Permit> match application any
    28. set security policies from-zone <Trust> to-zone <Untrust> policy <Permit> then permit
    29. !
  • Tunnelインターフェイスの設定

    1. set interfaces st0 unit 0 family inet
  • 経路設定

    1. set routing-options static route 192.168.0.0/24 next-hop st0.0

ステップ 3:ステータス確認

Juniper SRX ルーターの設定が完了し、接続が成功すれば、接続ステータスが「成功」、ヘルスチェックステータスが「正常」に変わります。vpn6

ステップ4:接続のテスト

VPC 内の ECS インスタンスにログインし、拠点内のプライベート IP アドレスに ping を送信して、VPC と拠点側の通信が成功することを確認します。