IX2207でトンネルができない!
とある案件で、IX2207と対向がFortiGateを想定したIPSECを使ったインターネットVPNの検証を行っていたところ、一向に繋がりません。IX2207側のログを確認したところ、ネゴシエーションさえ発生していないように見えます。苦し紛れにVPNの対向側セグメントにPingを飛ばして見たところ、通ってしまいました。。。IKEもIPSECもちゃんとSAができています。
しばらくこの事象には遭遇していなかったため、すっかり忘れていました。よくあるよくある。
構成としては、IX2270側はグローバルIP変動、FortiGate側はグローバルIP固定のため、IX2207側がイニシエーターのアグレッシブモードとして動作。
IKEの仕様!?
これまで富士通Si-RやYAMAHAのRTXシリーズでIPSECを扱うことが多く、コンフィグして機器を起動し回線接続すると、特に意識することなくSAができていたため、IX検証中も同様の動作を期待していました。手動でPing飛ばさないとSAができないのでは運用上とても困るため、メーカに確認したところ「IKEの仕様です」という回答でした。
回避方法は?
さすがNECさん。ちゃんと回避方法も教えてくれました。IXルータが持つ「ネットワークモニタ」という機能を利用して、VPNの向こう側へ通信を発生させ、IKEのネゴシエーションを発生させます。
(設定例)
——
!
watch-group wg_ipsec 10
event 10 ip unreach-host 192.168.xxx.xxx Tunnel0.0 source GigaEthernet2.0
action 999 turn-BAK-LED-on
probe-timer restorer 10
probe-timer variance 10
exit
!
network-monitor wg_ipsec enable
!
——
他の機種はどうやっているのだろうか・・・
上記の事象がIKEの仕様であるならば、Si-RやRTXはなぜ特に意識することなく繋がったのだろうか・・・。何らかの仕掛けがされているんですかね?IPSEC/IKEは標準化されているプロトコルですので、NECさんの言うことは間違いなく正しいと思われます。調べる余力ができたら調べてみます。
実際に途方に暮れたため、メモしておきますね。
お客様の
「昨日よりもちょっとだけ便利!」「今日も快適!」明日はもっとワクワク!」を支えるICTサービスパートナー
ノールネットワークス合同会社 / Knoll Networks LLC
info@knoll-networks.co.jp
長崎県佐世保市崎岡町2720-8 佐世保情報産業プラザ
0956-76-7098