IX2207でトンネルができない!

とある案件で、IX2207と対向がFortiGateを想定したIPSECを使ったインターネットVPNの検証を行っていたところ、一向に繋がりません。IX2207側のログを確認したところ、ネゴシエーションさえ発生していないように見えます。苦し紛れにVPNの対向側セグメントにPingを飛ばして見たところ、通ってしまいました。。。IKEもIPSECもちゃんとSAができています。

しばらくこの事象には遭遇していなかったため、すっかり忘れていました。よくあるよくある。

構成としては、IX2270側はグローバルIP変動、FortiGate側はグローバルIP固定のため、IX2207側がイニシエーターのアグレッシブモードとして動作。

IKEの仕様!?

これまで富士通Si-RやYAMAHAのRTXシリーズでIPSECを扱うことが多く、コンフィグして機器を起動し回線接続すると、特に意識することなくSAができていたため、IX検証中も同様の動作を期待していました。手動でPing飛ばさないとSAができないのでは運用上とても困るため、メーカに確認したところ「IKEの仕様です」という回答でした。

回避方法は?

さすがNECさん。ちゃんと回避方法も教えてくれました。IXルータが持つ「ネットワークモニタ」という機能を利用して、VPNの向こう側へ通信を発生させ、IKEのネゴシエーションを発生させます。

(設定例)
——
!
watch-group wg_ipsec 10
event 10 ip unreach-host 192.168.xxx.xxx Tunnel0.0 source GigaEthernet2.0
action 999 turn-BAK-LED-on
probe-timer restorer 10
probe-timer variance 10
exit
!
network-monitor wg_ipsec enable
!
——

他の機種はどうやっているのだろうか・・・

上記の事象がIKEの仕様であるならば、Si-RやRTXはなぜ特に意識することなく繋がったのだろうか・・・。何らかの仕掛けがされているんですかね?IPSEC/IKEは標準化されているプロトコルですので、NECさんの言うことは間違いなく正しいと思われます。調べる余力ができたら調べてみます。

実際に途方に暮れたため、メモしておきますね。

お客様の

「昨日よりもちょっとだけ便利!」「今日も快適!」明日はもっとワクワク!」を支えるICTサービスパートナー

ノールネットワークス合同会社 / Knoll Networks LLC

info@knoll-networks.co.jp

長崎県佐世保市崎岡町2720-8 佐世保情報産業プラザ
0956-76-7098