設定例集#124: 電子証明書を使用したルーター間IPsec VPN接続

	ルーターA	ルーターB
ISPから提供された情報
ISP接続用ユーザー名	user@ispA	user@ispB
ISP接続用パスワード	isppasswdA	isppasswdB
PPPoEサービス名	指定なし	指定なし
WAN側IPアドレス	動的割り当て（IPCP）	動的割り当て（IPCP）
DNSサーバー	自動取得（IPCP）	自動取得（IPCP）
接続形態	端末型	端末型
ルーターの基本設定
WAN側物理インターフェース	eth1	eth1
WAN側（ppp0）IPアドレス	接続時にISP-Aから取得	接続時にISP-Bから取得
LAN側（vlan1）IPアドレス	192.168.10.1/24	192.168.20.1/24
IKEフェーズ1（ISAKMP）設定
IKEバージョン	IKEv2
ローカルID	test1.example.com	test2.example.com
リモートID	test2.example.com	test1.example.com
ダイナミックDNSサーバー情報
サーバーのFQDN	members.example.com	members.example.com
サーバーのTCPポート番号	443	443
ダイナミックDNSクライアント情報
サーバー接続用ユーザー名	test	test
サーバー接続用パスワード	test	test
ホスト名	test1.example.com	test2.example.com
IPアドレスを登録するインターフェース	ppp0	ppp0

[事前共有鍵]

ルーターA・B間: secret

Note
ルーターA、Bが使用するホスト名やダイナミックDNSサーバーにアクセスするためのアカウントは、あらかじめ取得してあるものとします。
ホスト名やアカウントの取得については、ダイナミックDNSサービスの利用開始手順をご覧ください。

Note
本設定例では例示用IPアドレス、URLなどを使用しており、実際に設定する値とは異なります。実際の設定時には、ユーザーごとに通知される各種情報をご使用ください。

設定開始前に

自動設定の確認と削除

本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態（スタートアップコンフィグなしで起動した状態）から入力することを前提としています。

そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。

ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。

これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。

ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。

自動設定が行われる条件などの詳細については、AMF応用編のAMFネットワーク未検出時の拡張動作をご参照ください。

システム時刻の設定

ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。
ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。

手動で設定する方法 - 「運用・管理」/「システム」
NTPで自動設定する方法 - 「運用・管理」/「NTP」

ルーターAの設定

LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
```
no spanning-tree rstp enable
```
ダイナミックDNSクライアント機能を有効にします。これには、ddns enableコマンドを使います。
ダイナミックDNSクライアント機能の詳細は「IP付加機能」/「ダイナミックDNSクライアント」をご覧ください。
```
ddns enable
```
ダイナミックDNSサービス固有の設定を行います。これには、ddns-update-methodコマンドでDDNSアップデートメソッドモードに入り、update-url、host-name、username、password、update-interval、retry-intervalの各コマンドで具体的なパラメーターを設定します。

※クエリーパラメーターの開始を表す「?」をCLIから入力するには、Ctrl/V キーを入力してから ? を入力してください。単に ? を入力するとCLIヘルプが表示されてしまうためご注意ください。
```
ddns-update-method example
 update-url https://<USERNAME>:<PASSWORD>@members.example.com/update?hostname=<HOST-NAME>&myip=<IPADDRESS>
 host-name test1.example.com
 username test
 password test
 update-interval 60
 retry-interval 1 maximum-retries 5
```
WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface eth1
 encapsulation ppp 0
```
PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

・ダイナミックDNSクライアント機能によるIPアドレスの登録（ip ddns-update-method）
・IPCPによるDNSサーバーアドレスの取得要求（ppp ipcp dns）
・LCP EchoによるPPP接続状態の確認（keepalive）
・IPCPによるIPアドレスの取得要求（ip address negotiated）
・ユーザー名（ppp username）
・パスワード（ppp password）
・MSS書き換え（ip tcp adjust-mss）

PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface ppp0
 ip ddns-update-method example
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@ispA
 ppp password isppasswdA
 ip tcp adjust-mss pmtu
```
LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
```
interface vlan1
 ip address 192.168.10.1/24
```
ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。
```
zone private
 network lan
  ip subnet 192.168.10.0/24
 network peer
  ip subnet 192.168.20.0/24 interface tunnel0
 network tunnel
  ip subnet 172.16.0.0/30
```
外部ネットワークを表すゾーン「public」を作成します。
これには、前記コマンドに加え、host、ip addressの各コマンドを使います。
```
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
```
ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、sport、dport、icmp-type、icmp-codeの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
```
application esp
 protocol 50
```
ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
```
application isakmp
 protocol udp
 sport 500
 dport 500
```
外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。

・rule 10 - 内部ネットワーク間の通信を許可します
・rule 20 - 内部ネットワークから外部への通信を許可します
・rule 30 - 本製品のWAN側インターフェースから外部へのDNS通信を許可します
・rule 40 - ダイナミックDNSサーバーにアクセスしてIPアドレスを登録するため、本製品のWAN側インターフェースから外部へのHTTPS通信を許可します
・rule 50, 60 - ISAKMPパケットを許可します
・rule 70, 80 - IPsec（ESP）パケットを許可します

ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
```
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit dns from public.wan.ppp0 to public.wan
 rule 40 permit https from public.wan.ppp0 to public.wan
 rule 50 permit isakmp from public.wan.ppp0 to public.wan
 rule 60 permit isakmp from public.wan to public.wan.ppp0
 rule 70 permit esp from public.wan.ppp0 to public.wan
 rule 80 permit esp from public.wan to public.wan.ppp0
 protect
```
LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
これには、nat、rule、enableの各コマンドを使います。
NATの詳細は「UTM」/「NAT」をご覧ください。
```
nat
 rule 10 masq any from private to public
 enable
```
CA証明書とサーバー証明書を準備するため、トラストポイントの設定を行います。
・トラストポイント「vpn_trust」のセットアップ（crypto pki trustpoint）
・サーバー証明書の取得方法（enrollment）
・外部CAが発行するサーバー証明書のサブジェクト名（subject-name）
・外部CAが発行するサーバー証明書のサブジェクト代替名（subject-alt-name）
```
crypto pki trustpoint vpn_trust
 enrollment terminal
 subject-name /CN=test1.example.com
 subject-alt-name test1.example.com
```
ISAKMPの通信方式を規定するISAKMPプロファイルを作成します。
ISAKMPプロファイルの詳細は「VPN」/「IPsec」をご覧ください。

ここでは、crypto isakmp profileコマンドでISAKMPプロファイルを作成し、以下の情報を設定します。
・自装置の認証方式（local authentication）
・対向装置の認証方式（remote authentication）
・証明書認証を行う場合に使用するトラストポイント（pki trustpoint）
・アルゴリズム（transform）
```
crypto isakmp profile cert_vpn
 local authentication certificate
 remote authentication certificate
 pki trustpoint vpn_trust
 transform 1 integrity SHA256 encryption AES256 group 14
```
対向ルーターとの間で使用するISAKMPプロファイルを指定します。これにはcrypto isakmp peerコマンドを使います。
```
crypto isakmp peer hostname test2.example.com profile cert_vpn
```
IPsecトンネルインターフェースtunnel0を作成します。
トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。
ここでは、ダイナミックDNSサービスによって登録されたホスト名（FQDN）で対向装置のアドレスと自装置、対向装置のIDを指定しています。

・トンネルインターフェースのMTU（mtu）
・トンネルインターフェースから送信するデリバリーパケットの始点（自装置）アドレス（tunnel source）
・トンネルインターフェースから送信するデリバリーパケットの終点（対向装置）アドレス（tunnel destination）
・トンネルインターフェースにおける自装置ID（ローカルID）（tunnel local name）
・トンネルインターフェースにおける対向装置ID（リモートID）（tunnel remote name）
・トンネルインターフェースに対するIPsec保護の適用（tunnel protection ipsec）
・トンネルインターフェースにおけるリンクステータス決定方式（tunnel oper-status-control）
・トンネリング方式（tunnel mode ipsec）
・トンネルインターフェースのIPアドレス（ip address）
・トンネルインターフェースにおけるMSS書き換え設定（ip tcp adjust-mss）
```
interface tunnel0
 mtu 1300
 tunnel source ppp0
 tunnel destination test2.example.com
 tunnel local name test1.example.com
 tunnel remote name test2.example.com
 tunnel protection ipsec
 tunnel oper-status-control ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.1/30
 ip tcp adjust-mss 1260
```
デフォルト経路（0.0.0.0/0）とルーターBのLAN側（192.168.20.0/24）への経路を設定します。これにはip routeコマンドを使います。
ただし、ルーター間のVPN接続が有効になるまでは、対向側LANへの経路は使用できないように設定します。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
```
ip route 0.0.0.0/0 ppp0
ip route 192.168.20.0/24 tunnel0
ip route 192.168.20.0/24 Null 254
```
以上で設定は完了です。
```
end
```

ルーターBの設定

LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
```
no spanning-tree rstp enable
```
ダイナミックDNSクライアント機能を有効にします。これには、ddns enableコマンドを使います。
ダイナミックDNSクライアント機能の詳細は「IP付加機能」/「ダイナミックDNSクライアント」をご覧ください。
```
ddns enable
```
ダイナミックDNSサービス固有の設定を行います。これには、ddns-update-methodコマンドでDDNSアップデートメソッドモードに入り、update-url、host-name、username、password、update-interval、retry-intervalの各コマンドで具体的なパラメーターを設定します。

※クエリーパラメーターの開始を表す「?」をCLIから入力するには、Ctrl/V キーを入力してから ? を入力してください。単に ? を入力するとCLIヘルプが表示されてしまうためご注意ください。
```
ddns-update-method example
 update-url https://<USERNAME>:<PASSWORD>@members.example.com/update?hostname=<HOST-NAME>&myip=<IPADDRESS>
 host-name test2.example.com
 username test
 password test
 update-interval 60
 retry-interval 1 maximum-retries 5
```
WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface eth1
 encapsulation ppp 0
```
PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

・ダイナミックDNSクライアント機能によるIPアドレスの登録（ip ddns-update-method）
・IPCPによるDNSサーバーアドレスの取得要求（ppp ipcp dns）
・LCP EchoによるPPP接続状態の確認（keepalive）
・IPCPによるIPアドレスの取得要求（ip address negotiated）
・ユーザー名（ppp username）
・パスワード（ppp password）
・MSS書き換え（ip tcp adjust-mss）

PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface ppp0
 ip ddns-update-method example
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@ispB
 ppp password isppasswdB
 ip tcp adjust-mss pmtu
```
LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
```
interface vlan1
 ip address 192.168.20.1/24
```
ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。
```
zone private
 network lan
  ip subnet 192.168.20.0/24
 network peer
  ip subnet 192.168.10.0/24 interface tunnel0
 network tunnel
  ip subnet 172.16.0.0/30
```
外部ネットワークを表すゾーン「public」を作成します。
これには、前記コマンドに加え、host、ip addressの各コマンドを使います。
```
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
```
ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、sport、dport、icmp-type、icmp-codeの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
```
application esp
 protocol 50
```
ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
```
application isakmp
 protocol udp
 sport 500
 dport 500
```
外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。

・rule 10 - 内部ネットワーク間の通信を許可します
・rule 20 - 内部ネットワークから外部への通信を許可します
・rule 30 - 本製品のWAN側インターフェースから外部へのDNS通信を許可します
・rule 40 - ダイナミックDNSサーバーにアクセスしてIPアドレスを登録するため、本製品のWAN側インターフェースから外部へのHTTPS通信を許可します
・rule 50, 60 - ISAKMPパケットを許可します
・rule 70, 80 - IPsec（ESP）パケットを許可します

ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
```
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit dns from public.wan.ppp0 to public.wan
 rule 40 permit https from public.wan.ppp0 to public.wan
 rule 50 permit isakmp from public.wan.ppp0 to public.wan
 rule 60 permit isakmp from public.wan to public.wan.ppp0
 rule 70 permit esp from public.wan.ppp0 to public.wan
 rule 80 permit esp from public.wan to public.wan.ppp0
 protect
```
LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
これには、nat、rule、enableの各コマンドを使います。
NATの詳細は「UTM」/「NAT」をご覧ください。
```
nat
 rule 10 masq any from private to public
 enable
```
CA証明書とサーバー証明書を準備するため、トラストポイントの設定を行います。
・トラストポイント「vpn_trust」のセットアップ（crypto pki trustpoint）
・サーバー証明書の取得方法（enrollment）
・外部CAが発行するサーバー証明書のサブジェクト名（subject-name）
・外部CAが発行するサーバー証明書のサブジェクト代替名（subject-alt-name）
```
crypto pki trustpoint vpn_trust
 enrollment terminal
 subject-name /CN=test2.example.com
 subject-alt-name test2.example.com
```
ISAKMPの通信方式を規定するISAKMPプロファイルを作成します。
ISAKMPプロファイルの詳細は「VPN」/「IPsec」をご覧ください。

ここでは、crypto isakmp profileコマンドでISAKMPプロファイルを作成し、以下の情報を設定します。
・自装置の認証方式（local authentication）
・対向装置の認証方式（remote authentication）
・証明書認証を行う場合に使用するトラストポイント（pki trustpoint）
・アルゴリズム（transform）
```
crypto isakmp profile cert_vpn
 local authentication certificate
 remote authentication certificate
 pki trustpoint vpn_trust
 transform 1 integrity SHA256 encryption AES256 group 14
```
対向ルーターとの間で使用するISAKMPプロファイルを指定します。これにはcrypto isakmp peerコマンドを使います。
```
crypto isakmp peer hostname test1.example.com profile cert_vpn
```
IPsecトンネルインターフェースtunnel0を作成します。
トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。
ここでは、ダイナミックDNSサービスによって登録されたホスト名（FQDN）で対向装置のアドレスと自装置、対向装置のIDを指定しています。

・トンネルインターフェースのMTU（mtu）
・トンネルインターフェースから送信するデリバリーパケットの始点（自装置）アドレス（tunnel source）
・トンネルインターフェースから送信するデリバリーパケットの終点（対向装置）アドレス（tunnel destination）
・トンネルインターフェースにおける自装置ID（ローカルID）（tunnel local name）
・トンネルインターフェースにおける対向装置ID（リモートID）（tunnel remote name）
・トンネルインターフェースに対するIPsec保護の適用（tunnel protection ipsec）
・トンネルインターフェースにおけるリンクステータス決定方式（tunnel oper-status-control）
・トンネリング方式（tunnel mode ipsec）
・トンネルインターフェースのIPアドレス（ip address）
・トンネルインターフェースにおけるMSS書き換え設定（ip tcp adjust-mss）
```
interface tunnel0
 mtu 1300
 tunnel source ppp0
 tunnel destination test1.example.com
 tunnel local name test2.example.com
 tunnel remote name test1.example.com
 tunnel protection ipsec
 tunnel oper-status-control ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.2/30
 ip tcp adjust-mss 1260
```
デフォルト経路（0.0.0.0/0）とルーターAのLAN側（192.168.10.0/24）への経路を設定します。これにはip routeコマンドを使います。
ただし、ルーター間のVPN接続が有効になるまでは、対向側LANへの経路は使用できないように設定します。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
```
ip route 0.0.0.0/0 ppp0
ip route 192.168.10.0/24 tunnel0
ip route 192.168.10.0/24 Null 254
```
以上で設定は完了です。
```
end
```

電子証明書の準備

ISAKMP設定を行う前に、各ルーターのCLI上から、以下の手順にしたがって電子証明書を準備してください。

トラストポイントの設定（上記コンフィグ内にも有り）

外部CAのルート証明書、本製品の秘密鍵ペアとサーバー証明書を保存するためのトラストポイント「vpn_trust」を作成します。

awplus(config)# crypto pki trustpoint vpn_trust ↓
Created trustpoint "vpn_trust".
awplus(ca-trustpoint)# enrollment terminal ↓
awplus(ca-trustpoint)# subject-name /CN=test1.example.com ↓
awplus(ca-trustpoint)# subject-alt-name test1.example.com ↓
awplus(ca-trustpoint)# end ↓

外部CAのルート証明書をインポート

トラストポイント「vpn_trust」に外部CAのルート証明書をインポートし、同トラストポイントの使用準備を完了します。
外部CAのルート証明書ファイルをテキストエディターで開き、-----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- の行までをクリップボードにコピーします。

crypto pki authenticateコマンドを実行すると次のようなメッセージが表示されるので、コピーしておいたものをペーストし、「Enter」キーを押してください。

awplus# crypto pki authenticate vpn_trust ↓
Paste the certificate PEM file into the terminal.
Type "abort" to cancel.

内容を確認し、「Accept this certificate?」に「y」で答えてください。

awplus# crypto pki authenticate vpn_trust ↓
Paste the certificate PEM file into the terminal.
Type "abort" to cancel.
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
xaPuyjGcQ3kCjW32sO0InQxjLPCp/celKKRZbIwETAor
-----END CERTIFICATE-----
Complete ("END CERTIFICATE" detected).
Subject     : /C=JP/O=EXAMPLE/CN=SampleRootCA
Issuer      : /C=JP/O=EXAMPLE/CN=SampleRootCA
Valid From  : Apr  7 05:32:30 2023 GMT
Valid To    : Apr  4 05:32:30 2033 GMT
Fingerprint : D51BB535 8CBCFE2C BDD6E56B 759BB5C9 4CF9DCBF 
This is a self-signed CA certificate.
The certificate has been validated successfully.
Accept this certificate? (y/n): y
Successfully authenticated trustpoint "vpn_trust".

サーバー証明書の署名要求（CSR）の生成

外部CA発行の証明書を利用するためのトラストポイント「vpn_trust」において、本製品の公開鍵ペア（秘密鍵と公開鍵）を生成し、サーバー証明書の署名要求（CSR）を生成します。
crypto pki enrollコマンドを実行すると次のようにCSRの内容が出力されるので、-----BEGIN CERTIFICATE REQUEST----- から -----END CERTIFICATE REQUEST----- の行までをクリップボードにコピーしてPC上のファイル（ここでは「example_csr.pem」とします）に保存してください。

awplus# crypto pki enroll vpn_trust ↓
Using private key "server-default"...
Cut and paste this request to the certificate authority:
-----------------------------------------------------------------
-----BEGIN CERTIFICATE REQUEST-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
sQCD7gbOkrMSEpDCSdB85P5on2Gs+CwpHsYlhA==
-----END CERTIFICATE REQUEST-----
-----------------------------------------------------------------

サーバー証明書の発行

PC上に保存したCSRファイル（本例ではexample_csr.pem）を外部CAに渡し、サーバー証明書の発行を依頼してください。
ここでは、外部CAが発行した本製品のサーバー証明書を example_cert.pem という名前のファイルとして入手したものと仮定します。

サーバー証明書のインポートとトラストポイントへの保存

PEM形式のサーバー証明書を端末画面またはファイルからインポートして、指定したトラストポイントに保存します。
本製品のサーバー証明書をテキストエディターで開き、-----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- の行までをクリップボードにコピーします。

crypto pki import pemコマンドを実行すると次のようなメッセージが表示されるので、コピーしておいたものをペーストし、「Enter」キーを押してください。

awplus# crypto pki import vpn_trust pem terminal ↓
Paste the certificate PEM file into the terminal.
Type "abort" to cancel.

内容を確認し、「Accept this certificate?」に「y」で答えてください。

awplus# crypto pki import vpn_trust pem terminal  ↓
Paste the certificate PEM file into the terminal.
Type "abort" to cancel.
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
WF/C9/ijoy0UIjDFJms6uBo5gw==
-----END CERTIFICATE-----

Complete ("END CERTIFICATE" detected).
Subject     : /O=AlliedWare Plus/CN=test1.example.com
Issuer      : /C=JP/O=EXAMPLE/CN=SampleRootCA
Valid From  : Apr 19 07:41:24 2023 GMT
Valid To    : Apr 18 07:41:24 2024 GMT
Fingerprint : FAB1FC57 6CD0DC6A 7198C3F2 67E37C0F 6FAE8AFB 
This is not a valid CA certificate. Attempting to import as a server certificate.
The certificate has been validated successfully.
Accept this certificate? (y/n): y
The certificate was successfully imported.

設定の保存

■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。

awplus# copy running-config startup-config ↓
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。

awplus# write memory ↓
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

■ ファイアウォールのログをとるには、次のコマンド（log(filter)）を実行します。

awplus(config)# log buffered level informational facility local5 ↓

■ 記録されたログを見るには、次のコマンド（show log）を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。

awplus# show log | include Firewall ↓

ルーターAのコンフィグ

!
no spanning-tree rstp enable
!
ddns enable
!
ddns-update-method example
 update-url https://<USERNAME>:<PASSWORD>@members.example.com/update?hostname=<HOST-NAME>&myip=<IPADDRESS>
 host-name test1.example.com
 username test
 password test
 update-interval 60
 retry-interval 1 maximum-retries 5
!
interface eth1
 encapsulation ppp 0
!
interface ppp0
 ip ddns-update-method example
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@ispA
 ppp password isppasswdA
 ip tcp adjust-mss pmtu
!
interface vlan1
 ip address 192.168.10.1/24
!
zone private
 network lan
  ip subnet 192.168.10.0/24
 network peer
  ip subnet 192.168.20.0/24 interface tunnel0
 network tunnel
  ip subnet 172.16.0.0/30
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 sport 500
 dport 500
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit dns from public.wan.ppp0 to public.wan
 rule 40 permit https from public.wan.ppp0 to public.wan
 rule 50 permit isakmp from public.wan.ppp0 to public.wan
 rule 60 permit isakmp from public.wan to public.wan.ppp0
 rule 70 permit esp from public.wan.ppp0 to public.wan
 rule 80 permit esp from public.wan to public.wan.ppp0
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
crypto pki trustpoint vpn_trust
 enrollment terminal
 subject-name /CN=test1.example.com
 subject-alt-name test1.example.com
!
crypto isakmp profile cert_vpn
 local authentication certificate
 remote authentication certificate
 pki trustpoint vpn_trust
 transform 1 integrity SHA256 encryption AES256 group 14
!
crypto isakmp peer hostname test2.example.com profile cert_vpn
!
interface tunnel0
 mtu 1300
 tunnel source ppp0
 tunnel destination test2.example.com
 tunnel local name test1.example.com
 tunnel remote name test2.example.com
 tunnel protection ipsec
 tunnel oper-status-control ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.1/30
 ip tcp adjust-mss 1260
!
ip route 0.0.0.0/0 ppp0
ip route 192.168.20.0/24 tunnel0
ip route 192.168.20.0/24 Null 254
!
end

ルーターBのコンフィグ

!
no spanning-tree rstp enable
!
ddns enable
!
ddns-update-method example
 update-url https://<USERNAME>:<PASSWORD>@members.example.com/update?hostname=<HOST-NAME>&myip=<IPADDRESS>
 host-name test2.example.com
 username test
 password test
 update-interval 60
 retry-interval 1 maximum-retries 5
!
interface eth1
 encapsulation ppp 0
!
interface ppp0
 ip ddns-update-method example
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@ispB
 ppp password isppasswdB
 ip tcp adjust-mss pmtu
!
interface vlan1
 ip address 192.168.20.1/24
!
zone private
 network lan
  ip subnet 192.168.20.0/24
 network peer
  ip subnet 192.168.10.0/24 interface tunnel0
 network tunnel
  ip subnet 172.16.0.0/30
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 sport 500
 dport 500
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit dns from public.wan.ppp0 to public.wan
 rule 40 permit https from public.wan.ppp0 to public.wan
 rule 50 permit isakmp from public.wan.ppp0 to public.wan
 rule 60 permit isakmp from public.wan to public.wan.ppp0
 rule 70 permit esp from public.wan.ppp0 to public.wan
 rule 80 permit esp from public.wan to public.wan.ppp0
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
crypto pki trustpoint vpn_trust
 enrollment terminal
 subject-name /CN=test2.example.com
 subject-alt-name test2.example.com
!
crypto isakmp profile cert_vpn
 local authentication certificate
 remote authentication certificate
 pki trustpoint vpn_trust
 transform 1 integrity SHA256 encryption AES256 group 14
!
crypto isakmp peer hostname test1.example.com profile cert_vpn
!
interface tunnel0
 mtu 1300
 tunnel source ppp0
 tunnel destination test1.example.com
 tunnel local name test2.example.com
 tunnel remote name test1.example.com
 tunnel protection ipsec
 tunnel oper-status-control ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.2/30
 ip tcp adjust-mss 1260
!
ip route 0.0.0.0/0 ppp0
ip route 192.168.10.0/24 tunnel0
ip route 192.168.10.0/24 Null 254
!
end

PN: 613-002107 Rev.AW