NetScreen/SSG Proxy-IDとは何ですか？

NetScreenやSSGで主にルートベースVPNを構築する際には
Proxy-IDを手動で設定する必要がある。
このProxy-IDとは何のために用いられ、どのように設定すべきかを解説する。

■ Proxy-IDとは

Proxy-IDはIKEによるVPNネゴシエーションのPhase2で利用される。
ルートベースVPNの設定を行う場合にはVPNゲートウェイの両端に
手動で設定する必要があるが、ポリシーベースVPNの設定の場合には
トンネルポリシーの中で使用される 送信元IP、宛先IP、サービス
を利用して自動的に構成される。

IKEのPhase2ネゴシエーションの際、お互いに設定されたProxy-IDを
相手側に送信し合う事でローカル側とリモート側に構成されている
Proxy-IDを検証する。

■ 事例：ポリシーベースVPN構成の場合

Source        Destination      Service   Action
10.1.1.0/24   192.168.1.0/24   ANY       Tunnel (INCOMING)

上記のようなIncomingのトンネルポリシーを作成した場合、
このデバイスは以下のような Proxy-ID をIKEのPhase2で利用する事になる。
(これは自動で生成されるものなので手動で Proxy-IDを設定する必要は無い)

Local Proxy ID  :  10.1.1.0/24
Remote Proxy ID :  192.168.1.0/24
Service         :  Any

対向のNetScreenとIKE/IPsecのネゴシエーションを行ない、
VPN接続を確立するにはこの Proxy-ID と対向デバイスから
受信した Proxy-ID が必ずマッチしなければならず、これは
とても重要な要素である。
例えば、上記のような例の場合にIKEのPhase2が正常に完了するためには
対向のNetScreenデバイスでOutgoingのトンネルポリシーは以下のように
構成されなければならない。
そうでないとVPN接続が確立しないはずである。

Source          Destination   Service   Action
192.168.1.0/24  10.1.1.0/24   ANY       Tunnel (OUTGOING)

■ ポリシーベースVPNにアドレスグループを利用した場合の注意事項

ポリシーベースVPNのためのポリシーにアドレスグループや
サービスグループを利用した場合には Proxy-IDは
0.0.0.0/0 や 0.0.0.0/32 になるので注意が必要である。

特にルートベースVPNのNetScreenとポリシーベースVPNのNetScreenを
VPN接続するにはポリシーベースVPNで構成されたNetScreen側が
送信する Proxy-ID の値を明確に確認する事が重要となり、
ルートベースVPN側のNetScreenではその値に合わせて
Proxy-ID の設定をすれば良い。

■ 事例：ルートベースVPN構成の場合

ルートベースVPNで構成する場合のProxy-IDの設定は単純である。
ルートベースVPNの場合にはNetScreenが対向デバイスにVPNトンネルを
介してパケットを送出するには「ルーティング」が利用されるため
もはや作成したポリシーとProxy-IDには関係が無い。
例え、VPN接続拠点とのポリシーを記述したとしてもProxy-IDは
自動で生成されなくなっている。
そのためルートベースVPNの場合 Proxy-ID を手動で設定する必要がある。

では、どのような Proxy-ID を設定すべきだろうか？

答えは、
   極論で言えばマッチすれば何でも(任意の値)良い。
   マッチさえすればVPN接続は確立するのである。

例えば、一方のNetScreenが以下のような設定であるならば

Local Proxy ID  :  1.1.1.1/32
Remote Proxy ID :  1.1.1.1/32
Service         :  Any

他方のNetScreenも以下のようなProxy-IDを設定すれば
VPN接続は確立できる。

Local Proxy ID  :  1.1.1.1/32
Remote Proxy ID :  1.1.1.1/32
Service         :  Any

ここで、1.1.1.1は対向のNetScreenデバイスにとって
何の関係も無い(該当IPを持っている必要は何ら無い)
IPアドレスであってもマッチさえすれば問題は無い。
但し、Proxy-IDは対向との設定がマッチする事を
確認する一種の認証機能でもあるため実際には
NetScreenが隣接するネットワークを設定した方が
(より実情に近い値を設定した方が)良いだろう。

例えば、一方のNetScreenが以下のような設定であるならば

Local Proxy ID  :  192.168.100.0/24
Remote Proxy ID :  172.16.200.0/24
Service         :  Any

他方のNetScreenは以下のようなProxy-IDの設定

Local Proxy ID  :  172.16.200.0/24
Remote Proxy ID :  192.168.100.0/24
Service         :  Any

■ 参考：

What is a Proxy-ID? (KB ID: KB5565)
http://kb.juniper.net/KB5565

Cannot communicate between policy-based VPN and route-based VPN
(KB ID: KB7163)
http://kb.juniper.net/KB7163