例:CLI を使用したサイト間 VPN の設定

このセクションでは、コマンド ライン インターフェースを使用した VPN ポリシーの作成方法を説明します。すべてのパラメータは CLI を使用して設定でき、VPN はウェブの管理インターフェースを使用しなくても有効にできます。

補足：この例では、他端の VPN ポリシーが既に作成されているとします。

CLI へのアクセス

または

設定

この例では、次の設定を使用して 2 台の NSA 3600 装置間にサイト間 VPN を設定します。

ローカル NSA 3600 (自宅):
WAN IP:10.50.31.150
LAN サブネット:192.168.61.0
マスク 255.255.255.0

リモート NSA 3600 (オフィス):
WAN IP:10.50.31.104
LAN サブネット:192.168.15.0
マスク:255.255.255.0

認証方式:事前共有鍵を使用する IKE
フェーズ 1 交換メイン モード
フェーズ 1 暗号化:3DES
フェーズ 1 認証: SHA1
フェーズ 1 DH グループ:2
フェーズ 1 存続期間:28800
フェーズ 2 プロトコル:ESP
フェーズ 2 暗号化:3DES
フェーズ 2 認証:SHA1
フェーズ 2 存続期間:28800
PFS なし

(config[NSA3600]> address-object Office LAN
(config-address-object[OfficeLAN])>

補足：アドレス オブジェクトの設定モードであることを示すためにプロンプトが変化しています。

(config-address-object[OfficeLAN])> zone VPN
(config-address-object[OfficeLAN])> network 192.168.15.0 255.255.255.0
(config-address-object[OfficeLAN])> finished

NSA3600 > show address-object OfficeLAN

出力結果は次のようになります。

address-object OfficeLAN
network 192.168.15.0 255.255.255.0
zone VPN

vpn policy [名前] [認証方式]

(config[NSA3600])> vpn policy OfficeVPN pre-shared
(config-vpn[OfficeVPN])>

補足：VPN ポリシーの設定モードであることを示すためにプロンプトが変化します。この VPN に関するすべての設定は、ここで入力します。

(config-vpn[OfficeVPN])> pre-shared-secret sonicwall

(config-vpn[OfficeVPN])> gw ip-address 10.50.31.104

(config-vpn[OfficeVPN])> network local address-object "LAN Primary Subnet"
(config-vpn[OfficeVPN])> network remote address-object "OfficeLAN"

(config-vpn[OfficeVPN])> proposal ike main encr triple-des auth sha1 dh 2
lifetime 28800
(config-vpn[OfficeVPN])> proposal ipsec esp encr triple-des auth sha1 dh no
lifetime 28800

(config-vpn[OfficeVPN])> advanced keepalive

(config[NSA3600])> vpn enable "OfficeVPN"

(config-vpn[OfficeVPN])> finished
(config[NSA3600])>

設定が完了しました。

補足： コマンド プロンプトが設定モードのプロンプトに戻ります。

VPN 設定の表示

設定されているすべての VPN ポリシーの一覧を表示するには、次の手順に従います。

(config[NSA3600])> show vpn policy

Policy:WAN GroupVPN (Disabled)
Key Mode:Pre-shared
Pre Shared Secret:DE65AD2228EED75A

Proposals:
IKE:Aggressive Mode, 3DES SHA, DH Group 2, 28800 seconds
IPSEC:ESP, 3DES SHA, No PFS, 28800 seconds

Advanced:
Allow NetBIOS OFF, Allow Multicast OFF
Management:HTTP OFF, HTTPS OFF
Lan Default GW:0.0.0.0
Require XAUTH:ON, User Group:Trusted Users

Client:
Cache XAUTH Settings:Never
Virtual Adapter Settings:なし
Allow Connections To:Split Tunnels
Set Default Route OFF, Apply VPN Access Control List OFF
Require GSC OFF
Use Default Key OFF

Policy:OfficeVPN (Enabled)
Key Mode:Pre-shared
Primary GW:10.50.31.104
Secondary GW:0.0.0.0
Pre Shared Secret: sonicwall

IKE ID:
Local:IP アドレス
Peer:IP アドレス

Network:
Local:LAN Primary Subnet
Remote:OfficeLAN

Proposals:
IKE:Main Mode, 3DES SHA, DH Group 2, 28800 seconds
IPSEC:ESP, 3DES SHA, No PFS, 28800 seconds

Advanced:
Keepalive ON, Add Auto-Rule ON, Allow NetBIOS OFF
Allow Multicast OFF
Management:HTTP ON, HTTPS ON
User Login:HTTP ON, HTTPS ON
Lan Default GW:0.0.0.0
Require XAUTH:OFF
Bound To:Zone WAN

(config[NSA3600])> show vpn policy "OfficeVPN"

出力結果は次のようになります。

Policy:OfficeVPN (Enabled)
Key Mode:Pre-shared
Primary GW:10.50.31.104
Secondary GW:0.0.0.0
Pre Shared Secret: sonicwall

IKE ID:
Local:IP アドレス
Peer:IP アドレス

Network:
Local:LAN Primary Subnet
Remote:OfficeLAN

Proposals:
IKE:Main Mode, 3DES SHA, DH Group 2, 28800 seconds
IPSEC:ESP, 3DES SHA, No PFS, 28800 seconds

Advanced:
Keepalive ON, Add Auto-Rule ON, Allow NetBIOS OFF
Allow Multicast OFF
Management:HTTP ON, HTTPS ON
User Login:HTTP ON, HTTPS ON
Lan Default GW:0.0.0.0
Require XAUTH:OFF
Bound To:Zone WAN

(config[NSA3600])> show vpn sa "OfficeVPN"

Policy:OfficeVPN
IKE SAs

GW:10.50.31.150:500 --> 10.50.31.104:500
Main Mode, 3DES SHA, DH Group 2, Responder
Cookie:0x0ac298b6328a670b (I), 0x28d5eec544c63690 (R)
Lifetime:28800 seconds (28783 seconds remaining)

IPsec SAs

GW:10.50.31.150:500 --> 10.50.31.104:500
(192.168.61.0 - 192.168.61.255) --> (192.168.15.0 - 192.168.15.255)
ESP, 3DES SHA, In SPI 0xed63174f, Out SPI 0x5092a0b2
Lifetime:28800 seconds (28783 seconds remaining)