Azure Virtual Network の Local Network アドレスは認証情報の一部、 ASA 5505 でそれを突き止めるまで

VirtualNetworkOnpremise

ここのアドレスを正確にダウンロードした VpnDeviceScript.cfg の “SP_OnPremiseNetworkIpRange” に転記する。

   1:  object-group network <RP_OnPremiseNework>
   2:   network-object <SP_OnPremiseNetworkIpRange> <SP_OnPremiseNetworkSubnetMask>
   3:   exit

前回の接続成功の時はサブネットなし、単純に /24 ネットワーク同士を接続しただけだったが、実際に運用に向けてサブネットありの構成にしようとした。この時「Local Network アドレスが一致していなければならない」(= サブネットであるゲートウェイアドレスではない) というところで躓いたのが今回の話。

Azureのドキュメントでは状況確認に “show crypto isakmp sa”を使え、というようなことが書いてあるのだが、接続できなかった場合の原因はこれでは全く分からない。

結局 Cisco ASA 5505 にて以下の作業を実施した。

  • ssh でログインできるようにする
  • 時刻合わせをし、ログ出力に時刻を出力させる
  • debug 出力を眺めて原因究明する

sshでログインできるようにする、時刻合わせとログ出力に時刻を出力するまでの設定

(「Cisco ASA 5500 シリーズ コンフィギュレーション

ガイド(CLI を使用) Cisco ASA 5500 Series Configuration Guide using the CLI

ソフトウェア バージョン 8.3」 を参照しました)

   1:  !
   2:  ! ssh でログインできるようになるまで
   3:  !
   4:  ! パスワードの設定。sshログインする際のユーザー名は asa になる
   5:  passwd ほげほげ
   6:  ! enable パスワード
   7:  enable password ほげほげ
   8:   
   9:  ! ホストキーを生成
  10:  crypto key generate rsa modulus 1024
  11:   
  12:  ! 内側アドレスからのみ接続を許可
  13:  ssh 192.168.0.0 255.255.0.0 inside
  14:  ! 接続タイムアウトを30分に延長 (既定では5分)
  15:  ssh timeout 30
  16:  ! ssh2 のみを受け付け
  17:  ssh version 2
  18:   
  19:  ! 時刻合わせ
  20:  ! NTP server は ntp.jst.mfeed.ad.jp のIPアドレスを指定している
  21:  clock timezone JST 9
  22:  ntp server 210.173.160.87 source outside
  23:  ntp server 210.173.160.57 source outside
  24:  ntp server 210.173.160.27 source outside
  25:   
  26:  !
  27:  ! ロギング
  28:  !
  29:   
  30:  logging enable
  31:  logging buffered critical
  32:  logging buffer-size 16384
  33:  logging timestamp

この後 “debug crypto isakmp 128” を非config レベルで入力してデバッグログを確認。出力終了は “no debug crypto isakmp”

デバッグログの一部は以下のような感じ。 PHASE 1 COMPLETED と出ているので 問題は PHASE 2 と特定、その後 “ID_IPV4_ADDR_SUBNET” とネットワークアドレスをIDとして出力しており、この部分が自分の投入した config と異なるな、ということで気付くことができました。

■ %ASA-5-713119: Group = 168.63.xxx.xxx, IP = 168.63.xxx.xxx, PHASE 1 COMPLETED
%ASA-7-714011: Group = 168.63.xxx.xxx, IP = 168.63.xxx.xxx, ID_IPV4_ADDR_SUBNET ID received--172.16.16.0--255.255.252.0
%ASA-7-713035: Group = 168.63.xxx.xxx, IP = 168.63.xxx.xxx, Received remote IP Proxy Subnet data in ID Payload:   Address 172.16.16.0, Mask 255.255.252.0, Protocol 0, Port 0
%ASA-7-714011: Group = 168.63.xxx.xxx, IP = 168.63.xxx.xxx, ID_IPV4_ADDR_SUBNET ID received--192.168.0.0--255.255.0.0
%ASA-7-713034: Group = 168.63.xxx.xxx, IP = 168.63.xxx.xxx, Received local IP Proxy Subnet data in ID Payload:   Address 192.168.0.0, Mask 255.255.0.0, Protocol 0, Port 0
■ %ASA-5-713259: Group = 168.63.xxx.xxx, IP = 168.63.xxx.xxx, Session is being torn down. Reason: crypto map policy not found
# ということは Yamaha RTX でも ipsec ike local id 1 192.168.0.0/16, ipsec ike remote id 1 172.16.16.0/22 とかやればもしかして通るのかしら。もしかするとここらの仕様が以前確認した時と変更になっている可能性も否めない。# しかし アメリカ amazon.com 経由の ASA5505 新品が3万円しないのでYamahaでなくてもいいか、という気分になってきたこの頃

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。