Network & Security

NetScreenやSSGで主にルートベースVPNを構築する際には
Proxy-IDを手動で設定する必要がある。
このProxy-IDとは何のために用いられ、どのように設定すべきかを解説する。

■ Proxy-IDとは

Proxy-IDはIKEによるVPNネゴシエーションのPhase2で利用される。
ルートベースVPNの設定を行う場合にはVPNゲートウェイの両端に
手動で設定する必要があるが、ポリシーベースVPNの設定の場合には
トンネルポリシーの中で使用される 送信元IP、宛先IP、サービス
を利用して自動的に構成される。

IKEのPhase2ネゴシエーションの際、お互いに設定されたProxy-IDを
相手側に送信し合う事でローカル側とリモート側に構成されている
Proxy-IDを検証する。

■ 事例：ポリシーベースVPN構成の場合

Source        Destination      Service   Action
10.1.1.0/24   192.168.1.0/24   ANY       Tunnel (INCOMING)

上記のようなIncomingのトンネルポリシーを作成した場合、
このデバイスは以下のような Proxy-ID をIKEのPhase2で利用する事になる。
(これは自動で生成されるものなので手動で Proxy-IDを設定する必要は無い)

Local Proxy ID  :  10.1.1.0/24
Remote Proxy ID :  192.168.1.0/24
Service         :  Any

対向のNetScreenとIKE/IPsecのネゴシエーションを行ない、
VPN接続を確立するにはこの Proxy-ID と対向デバイスから
受信した Proxy-ID が必ずマッチしなければならず、これは
とても重要な要素である。
例えば、上記のような例の場合にIKEのPhase2が正常に完了するためには
対向のNetScreenデバイスでOutgoingのトンネルポリシーは以下のように
構成されなければなら