« NetScreen/SSG Proxy-IDとは何ですか? | トップページ | NetScreen/SSG ポリシーベースVPNで生成されるProxy-IDの確認方法 »

NetScreen/SSG Proxy-ID に関するエラーログメッセージ

Event Log Error Message: No Policy Exists for the Proxy ID
Event Log Error Message: because the peer did not send a proxy ID.

NetScreen/SSGでのVPN接続の設定後、ログに
   [ No Policy Exists for the Proxy ID ] や
   [ because the peer did not send a proxy ID. ]
と表示されてVPN接続が確立されない問題について解説する。

■ [ No Policy Exists for the Proxy ID ]エラーログの内容と意味

NetScreenのログに以下のようなメッセージが出力されている場合は、
IKEのPhase2ネゴシエーションの際に、対向のデバイスから送信された
Proxy-IDがローカル側のデバイスのProxy-IDとマッチしていない事を示す。

    No Policy Exists for the proxy id

通常、Proxy-ID( local network, remote network, service port, etc.) は
ローカルとリモートのVPNの両端同士でマッチする必要がある。
(local idとremote idは自デバイスから見て構成するので逆になる)

■ [ because the peer did not send a proxy ID ]エラーログの内容と意味

NetScreenのログに以下のようなメッセージが出力されている場合は、
IKEのPhase2ネゴシエーションの際に、Proxy-IDが対向の
デバイスから送信されていない事を示す。

Rejected an IKE packet on ethernet3 from 1.1.1.1:500 to 2.2.2.2:500
with cookies xxxxxxxxxxxxxxxa and xxxxxxxxxxxxxxb because the peer did
not send a proxy ID.
IKE<1.1.1.1> Phase 2 msg ID <xxxxxxxx>: Negotiations have failed.

例えば、YAMAHAのRTXシリーズなどは、デフォルトでは
Proxy IDを送信しない仕様の為、特に注意が必要である。

YAMAHAでProxy IDを送信するよう設定するには以下コマンドを入力する。
YAMAHAにはProxy IDの Service に該当する設定は無いがNetScreen側の
Proxy IDの Service が 少なくとも ANY の値であれば問題無くマッチする
事が確認できている。

   ipsec ike remote id gateway_id ip_address/mask
   ipsec ike local id gateway_id ip_address/mask

■ 解決方法 (通常の方法)

ローカルとリモートのNetScreen上のProxy-IDの値を合わせる。
すなわち、ポリシーベースVPNではポリシーを適切に設定し、
ルートベースVPNではProxy-IDを手動で適切に設定する。
リモート側にProxy-IDが設定されていない場合には、ローカル側と
合わせるように適切にProxy-IDを構成する。
もしくは、対向のデバイスからProxy-IDの値が送信されていない場合には
Proxy-IDを送信するように設定する。

■ Proxy-IDチェック機能の無効化 (推奨されない)

デフォルトでは、"set ike policy-checking"のコマンドが有効になっており
この場合、Proxy-IDが必ずマッチしている事が必須となる。
但し、この設定は以下のコマンドを実行する事で無効化する事もできる。

   unset ike policy-checking

上記コマンドでProxy-IDのチェックを無効化した場合、Proxy-IDの
チェック無しにPhase2のネゴシエーションが完了しVPN接続が確立する。

しかし、Proxy-IDは別のレベルでのセキュリティを提供しているため
Juniperはこの"policy-checking"を無効にする事を推奨していない。
また、1つの対向IPsecゲートウェイに対し、1つのVPNポリシーが
構成されている場合のみ、ポリシーのチェックを無効化する事ができる。
もし、1つの対向IPsecゲートウェイに対して複数のポリシーが存在する場合
Proxy-IDが無いと複数のIPsecSAを判別する手段が無くなるため
ポリシーチェック機能は無効化すべきでは無い。
さもないと、以下の警告メッセージが出力される。

"If more than one policy is desired per Gateway, policy checking must
first be enabled by executing the "set ike policy checking" command."

メッセージ日本語訳
"もし、1つのゲートウェイに対して2つ以上のポリシーを構成したいので
あれば最初に"set ike policy checking"を実行しポリシーのチェックを
有効化しなければなりません。"

※more than one policy は直訳すると「1つ以上のポリシー」だが
 意訳すると「1つよりも多くのポリシー」と考えるため
 「2つ以上のポリシー」と訳した。

■ 参考:

Event Log Error Message: No Policy Exists for the Proxy ID
(KB ID: KB6744)
http://kb.juniper.net/KB6744

YAMAHA Network Equipment コマンドリファレンス

|

« NetScreen/SSG Proxy-IDとは何ですか? | トップページ | NetScreen/SSG ポリシーベースVPNで生成されるProxy-IDの確認方法 »

「NetScreen」カテゴリの記事