スズキです。
ike-scan 自体は、下記の記事が参考になります。
ポイントは下記 ike-scan の実行結果の部分でしょうか?
- 0 returned handshake; 0 returned notify
- This means the target is not an IPsec gateway.
- 1 returned handshake; 0 returned notify
- This means the target is configured for IPsec and is willing to perform IKE negotiation, and either one or more of the transforms you proposed are acceptable.
- 0 returned handshake; 1 returned notify
- VPN gateways respond with a notify message when none of the transforms are acceptable (though some gateways do not, in which case further analysis and a revised proposal should be tried).
まずはツールのインストールです。
# yum -y install ike-scan
...
そして事前準備として、”ike-scan”を実行するサーバの”Global IP”を”Customer Gateway”として登録し、
“VPN Connection”まで作成しておきます。
ひとまず、VGW(27.0.1.16)に対して実行してみます。
# ike-scan 27.0.1.16
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
27.0.1.16 Notify message 14 (NO-PROPOSAL-CHOSEN) HDR=(CKY-R=9dbe3c06f9b221ca, msgid=92fac26c)
Ending ike-scan 1.9: 1 hosts scanned in 0.015 seconds (65.52 hosts/sec). 0 returned handshake; 1 returned notify
“notify”が返ってきました。
次に、”transform”(“認証アルゴリズム”や”暗号化アルゴリズム”などの組み合わせ)を合わせて(指定して)
実行してみます。
# ike-scan 27.0.1.16 --trans="(1=7,14=128,2=2,3=1,4=2)"
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
27.0.1.16 Main Mode Handshake returned HDR=(CKY-R=d9f3373e7c0b6971) SA=(Enc=AES KeyLength=128 Hash=SHA1 Auth=PSK Group=2:modp1024) VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0)
Ending ike-scan 1.9: 1 hosts scanned in 0.012 seconds (82.88 hosts/sec). 1 returned handshake; 0 returned notify
今度は”handshake”が返ってきました。
※ “–trans=”(1=7,14=128,2=2,3=1,4=2)”は下記のように対応しています。
| 1=7 | Enc=AES |
| 14=128 | KeyLength=128 |
| 2=2 | Hash=SHA1 |
| 3=1 | Auth=PSK |
| 4=2 | Group=2:modp1024 |
以上になります。
VPCとVPN接続できない場合は”ike-scan”で確認するのがよいかもしれません。
