Magicode logo
Magicode
0
17 min read

Juniper SRX210設定ドキュメント

juniperSRXVPN

仕事で新拠点と既存拠点をVPNで接続する必要が出てきました。 以前に設定した人は退職し、ドキュメントも一切残っていませんでした。 かろうじてrootのパスワードが判ったので、既存の設定を抜き出して試行錯誤でセットアップしたときの備忘録です。 新拠点は稼働しましたが、まだおかしなところもありそうなので現在進行形の情報です。 具体的な設定内容は差し障りがあるので、操作方法を中心に書いてあります。

関連情報

Configuring Network Interfaces(juniper)

操作手順

基本的な操作

3つのモードで操作することができます。 JUNOSコマンドが使用できるモードはオペレーションモードとコンフィグレーションモード。 シェルコマンドモードではUNIXコマンド(FreeBSD)を使用。 Tabキーによるコマンド補完が効きます。

操作モードプロンプト説明
シェルコマンド%FreeBSDのシェルにアクセスできるモード。
オペレーション>ソフトウェア、ネットワーク接続性、ハードウェアのステータス確認とモニター
コンフィグレーション#JUNOSを設定(追加、変更、削除)する時のモード

オペレーションモードに移行したい場合はcliと入力 コンフィグレーションモードに移行したい場合configureと入力

起動・停止

JUNOS(Juniper)はFreeBSDがベースのOSであり、通常のPCやLinuxマシンと同じく、シャットダウン処理が必要です。

  1. コマンドラインからのシャットダウン
    1. コンソール(TeraTerm等でコンソールケーブル経由)で機器にログインします。

※シリアル接続の Baud rate=9600 を設定してください。 2. root ユーザでログインし、以下のコマンドを実行します。

↑ Yes を入力します。 (以下のメッセージを出力した後、電源が落ちます。約1分)

  1. 起動手順

電源ケーブルを挿入した後、電源ボタンを押下します。

Juniper SRX100

  1. 再起動

オペレーションモードで request system reboot コマンド

各種設定

設定の確認方法

1. 設定の表示(SETモード)

オペレーションモードで show configuration コマンド

SETモードで表示される。「no-more」を付けないと画面毎に表示が止まる。 このまま、コンソールから投入できるので便利。

2. 設定の表示(階層モード)

階層モードで表示される。「no-more」を付けないと画面毎に表示が止まる。 階層で表示されるので見やすい。

3. 設定の表示(個別設定値)
4. VPNの接続状態

Stateが「UP」の状態が正常。「DOWN」などは異常であるが、再起動後などセッションが確立すると「UP」に変わる

「DOWN」の状態から回復しないときは、該当のトンネルをdisableにし、再度元に戻す。 余り有効では無いかも。。。

root@XXXXXX> set interfaces st0 unit 0 disable 
root@XXXXXX> commit 
root@XXXXXX> set interfaces st0 unit 0 family inet
root@XXXXXX> commit 
root@XXXXXX> show security ike security-associations

設定の方法

1. コンフィグレーションの設定方法 (setコマンド)

設定するためには、コンフィグレーションモードから set コマンドを使用して設定します。 設定を削除する場合はdeleteコマンドを使用します。 JUNOSでは設定追加や設定削除の際にコマンドをフルパスで設定する方法、 該当する階層で設定する方法の2種類があります。 show xxxxxxxxx | display set コマンドでフルパスのset文を取得し、setコマンドを修正し、投入するのが簡単です。

2. 設定の初期化(要注意)
  1. Active コンフィグを工場出荷状態に初期化する
  1. 平文パスワード(plain-text-password)を設定する

commitしないと終われません。

設定

1. Pre-shared Key(事前共有キー)

お互いのルーターを認証するため交換する暗号鍵
値はhost-nameとする(対向先と同じ値であればなんでも良い)。自動的に暗号化される。

set security ike policy ike_pol_Honmachi pre-shared-key ascii-text "Honmachi"

若しくは以下のページも生成可能。 強力な事前共有キーの生成

2. PPPoE認証パスワードの設定

プロバイダから指示されたパスワードをテキストで設定する。 自動的に暗号化される。

set interfaces pp0 unit 0 ppp-options chap default-chap-secret "PPPoE_Password"
set interfaces pp0 unit 0 ppp-options chap local-name "pppoe_user@provider.ne.jp"
set interfaces pp0 unit 0 ppp-options chap passive
set interfaces pp0 unit 0 ppp-options pap local-name "pppoe_user@provider.ne.jp"
set interfaces pp0 unit 0 ppp-options pap local-password "PPPoE_Password"

3. タイムサーバ

設定時、名前解決が出来ないためエラーとなる。 インターネット接続後に再設定すること。

root@HakataBranch# set system ntp server ntp.nict.jp
error: could not resolve name: ntp.nict.jp: ntp.nict.jp

[edit]
root@HakataBranch# commit
commit complete

4. DHCPサーバの設定

  • vlan.0に192.168.10.1/24が割り当てる。
  • Winsサーバを2台割り当てる。
  • trustゾーンに割り当てられています。
  • インターフェースのge-0/0/1とfe-0/0/2〜3をvlan.0に割り当てる。
  • dhcpのIPアドレス範囲を192.168.10.201〜192.168.10.240とする。
  • trustゾーンでdhcpが利用できるようにする。

セキュリティポリシーを追加していく過程で急に繋がらなくなるので注意が必要。

set system services dhcp wins-server 192.168.10.100
set system services dhcp wins-server 192.168.20.100
set system services dhcp router 192.168.10.1
set system services dhcp pool 192.168.10.0/24 address-range low 192.168.10.201
set system services dhcp pool 192.168.10.0/24 address-range high 192.168.10.240
set system services dhcp propagate-settings vlan.0
set security zones security-zone Internal interfaces vlan.0 host-inbound-traffic system-services dhcp
IPアドレスの設定内容確認
root@HakataBranch> show system services dhcp pool
Pool name           Low address      High address     Excluded addresses
192.168.10.0/24     192.168.10.201   192.168.10.240
IPアドレスの払出状況確認
root@HakataBranch> show system services dhcp binding
IP address       Hardware address   Type     Lease expires at
192.168.10.202   38:f3:ab:62:c7:fa  dynamic  2022-02-18 10:31:39 GMT+9
192.168.10.201   8c:8c:aa:e8:a9:80  dynamic  2022-02-18 08:42:12 GMT+9

5. コミットせずにexitしたら

コミットの確認がされます。[Yes]でキャンセルされます。

[edit]
root@HakataBranch# exit
The configuration has been changed but not committed
Exit with uncommitted changes? [yes,no] (yes) no

Exit aborted

[edit]
root@HakataBranch#

6. root パスワードの設定

root パスワードの設定は、以下のコマンドを実行して対話的に設定します。

root@HakataBranch# set system root-authentication plain-text-password
[edit]
root# set system root-authentication plain-text-password
New password:
Retype new password:

設定したパスワードはコンフィグ上では暗号化されて表示されます。

root@HakataBranch> show configuration | display set | match root
set system root-authentication encrypted-password "$1$xeVYrSDn$r3BMhDVdRuyqb8WEhLEae0"

暗号化済みのパスワードを使用して設定する場合は以下の様にコマンド1行で設定可能です。

root# set system root-authentication encrypted-password "$1$xeVYrSDn$r3BMhDVdRuyqb8WEhLEae0"

トラブルシューティング

起動しないとき

起動が遅いので焦らず起動を待つ。コンソールのメッセージを確認する。

1. 正しく電源断しなかった場合

電源ケーブルが抜けたなど、シャットダウンコマンドに依らず電源が落ちた場合など 以下のメッセージが出た場合はOSにダメージがあり、バックアップから起動しています。

以下の手順で、バックアップをプライマリーにコピーします。 手順は以下を参照しました(その通りには進めなかった)。 運悪くBACKUP IMAGEで起動してしまったJUNOS BOXを直す方法。

2. ARALMのオレンジ点灯

SRXの工場出荷時の状態では、レスキューコンフィグと呼ばれるコンフィグが設定されていないためフロントパネルのALARMがオレンジ色に点灯しています。このレスキューコンフィグを作成することでアラームランプが点灯しなくなります。レスキューコンフィグとは設定ミス等で通信障害が発生したりアクセスができなくなった場合に備えて、管理者が予め保存して緊急時に読み込ませるコンフィグです。

  • アクティブなコンフィグをレスキューコンフィグとして作成
  • 現在のレスキューコンフィグを削除するための設定
  • 現在のレスキューコンフィグの内容を確認する
  • 現在のレスキューコンフィグをロードしActivateする
3.Configファイルの取得

以下のフォルダーに保管されているので、最新のjuniper.conf.gzをSFTPなどで取得する。 取得形式は階層表示となる。

root@XXXXX% ls -l /config
total 76
drwxrwxr-x  2 root  wheel   512 Dec  4  2010 .snap
-rw-r-----  1 root  wheel  2467 Mar 10 00:05 juniper.conf.1.gz
-rw-r-----  1 root  wheel  2466 Mar 10 00:04 juniper.conf.2.gz
-rw-r-----  1 root  wheel  2466 Mar 10 00:01 juniper.conf.3.gz
-rw-r-----  1 root  wheel  2466 Mar 10 00:00 juniper.conf.4.gz
-rw-r-----  1 root  wheel  2470 Mar  9 23:59 juniper.conf.5.gz
-rw-r-----  1 root  wheel  2459 Mar 10 00:17 juniper.conf.gz
---x--x---  1 root  wheel    32 Mar 10 00:06 juniper.conf.md5
-rw-r-----  1 root  wheel  2459 Mar 11 02:06 rescue.conf.gz
-rw-r--r--  1 root  wheel   824 Jan 20 10:40 usage.db
-rw-r--r--  1 root  wheel  1376 Apr  1  2012 usage.db.1334134267
-rw-r--r--  1 root  wheel  1376 Apr 10  2012 usage.db.1642707607
root@XXXXX%
4.強制切断回避

sshで接続していても、しばらく操作していないと強制切断されてしまう件について、これに下記の設定を追加することで、強制切断問題が解消する。 version 10.3R2では設定できませんでしたので、未確認です。

root@XXXXX> set system services ssh client-alive-interval 120
root@XXXXX> set system services ssh client-alive-count-max 30
root@XXXXX> commit
  • client-alive-interval :120秒に一回、クライアントへ死活確認パケットを投げる。
  • client-alive-count-max:クライアントからの応答が無い場合、30回までは死活確認パケットを投げる(それでも帰ってこない場合はクライアントは死んだものと判断する)。

Discussion

コメントにはログインが必要です。