[index] AT-AR1050V コマンドリファレンス 5.5.4
ISP接続用ユーザー名 | user@isp |
ISP接続用パスワード | isppasswd |
PPPoEサービス名 | 指定なし |
WAN側IPアドレス | 10.0.0.1/32 |
接続形態 | 端末型(アドレスは動的割り当て) |
WAN側物理インターフェース | eth1 |
WAN側(ppp0)IPアドレス | 10.0.0.1/32 |
LAN側(vlan1)IPアドレス(1) | 192.168.10.1/24 |
LAN側(vlan2)IPアドレス(2) | 192.168.30.1/24 |
OpenVPNトンネルインターフェース | tunnel0(Tun(L3)モード) |
OpenVPNトンネルインターフェースIPアドレス | 192.168.20.1/24 |
ユーザーA | userA | passwdA | 192.168.20.2/24 |
ユーザーB | userB | passwdB | 192.168.20.3/24 |
ユーザーC | userC | passwdC | 192.168.20.4/24 |
ユーザーD | userD | passwdD | 192.168.20.5/24 |
interface eth1 encapsulation ppp 0
interface ppp0 ppp ipcp dns request keepalive ip address negotiated ppp username user@isp ppp password isppasswd ip tcp adjust-mss pmtu
vlan database vlan 2
interface port1.0.3-1.0.4 switchport access vlan 2
interface vlan1 ip address 192.168.10.1/24 interface vlan2 ip address 192.168.30.1/24
zone private network lan ip subnet 192.168.10.0/24 ip subnet 192.168.20.0/24 ip subnet 192.168.30.0/24
zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host ppp0 ip address dynamic interface ppp0
zone openvpn network url host microsoft ip address dynamic fqdn windowsupdate.microsoft.com ip address dynamic fqdn update.microsoft.com
firewall rule 10 permit any from private to private rule 20 permit any from private to public rule 30 permit openvpn from public.wan to public.wan.ppp0 protect
nat rule 10 masq any from private to public enable
radius-server host 127.0.0.1 key awplus-local-radius-server
aaa authentication openvpn default group radius
crypto pki trustpoint local crypto pki enroll local radius-server local server enable nas 127.0.0.1 key awplus-local-radius-server group userA attribute Framed-IP-Address 192.168.20.2 attribute Framed-IP-Netmask 255.255.255.0 attribute Framed-Route "192.168.10.0/24 192.168.20.1" attribute Framed-Route "192.168.30.0/24 192.168.20.1" group userB attribute Framed-IP-Address 192.168.20.3 attribute Framed-IP-Netmask 255.255.255.0 attribute Framed-Route "192.168.10.0/24 192.168.20.1" attribute Framed-Route "192.168.30.0/24 192.168.20.1" group userC attribute Framed-IP-Address 192.168.20.4 attribute Framed-IP-Netmask 255.255.255.0 attribute Framed-Route "192.168.10.0/24 192.168.20.1" attribute Framed-Route "192.168.30.0/24 192.168.20.1" group userD attribute Framed-IP-Address 192.168.20.5 attribute Framed-IP-Netmask 255.255.255.0 attribute Framed-Route "192.168.10.0/24 192.168.20.1" attribute Framed-Route "192.168.30.0/24 192.168.20.1" user userA password passwdA group userA user userB password passwdB group userB user userC password passwdC group userC user userD password passwdD group userD
interface tunnel0 ip address 192.168.20.1/24 tunnel openvpn route openvpn tunnel mode openvpn tun ip tcp adjust-mss 1260
ip dns forwarding ip dns forwarding cache size 10000
ip domain-lookup via-relay
ip route 0.0.0.0/0 ppp0
end
copy running-config startup-config
」の書式で実行します。awplus# copy running-config startup-config ↓ Building configuration... [OK]
awplus# write memory ↓ Building configuration... [OK]
awplus(config)# log buffered level informational facility local5 ↓
awplus# show log | include Firewall ↓
# OpenVPNサーバー(ルーター)と接続先ポートの指定 remote 10.0.0.1 1194 udp # 経路情報等をサーバーから取得する pull # TLSクライアントを有効にする tls-client # 使用する暗号形式 cipher AES-128-CBC # デジタル署名形式 auth SHA1 # TLSのバージョン tls-version-min 1.2 # TLSの形式 tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA explicit-exit-notify # ユーザー名・パスワード認証を有効にする auth-user-pass # ルーターから取得したローカルCAの自署ルート証明書 ca cacert.pem # keepaliveの送信間隔とタイムアウトの時間 keepalive 10 120 # 使用するモード(Tunモード) dev tun # インターフェースのIPをサーバーから取得する float # IPv6のトンネリングを有効にする(Tunモードのみ) tun-ipv6 # トンネルを有効にする(Tunモード時必須) topology subnet # 暗号化前のパケットのTOS値を暗号化後のパケットにコピーする passtos # 接続に使用するポート番号 port 1194 # ログのレベル(0~7)。0はログを生成せず、数が大きくなるほど詳細なログを表示する verb 3 # パスワードの保存を無効にする setenv ALLOW_PASSWORD_SAVE 0
route 192.168.10.0 255.255.255.0 setenv CLIENT_CERT 0
NoteAndroid版およびiOS版クライアントではTap(L2)モードでのOpenVPN接続は未サポートです。
NoteDHCPによるIPアドレス払い出しをしたい場合は以下のように設定してください。ただし、本設定の場合、FQDNにて指定したエンティティ定義のルート情報をクライアントに通知することはできません。
radius-server local server enable nas 127.0.0.1 key awplus-local-radius-server user userA password passwdA user userB password passwdB user userC password passwdC user userD password passwdD ! interface tunnel0 ip address 192.168.20.1/24 tunnel mode openvpn tap ip tcp adjust-mss 1260 ! ip dhcp option 121 name Classless-Static-Route hex ! ip dhcp pool pool10 network 192.168.20.0 255.255.255.0 range 192.168.20.2 192.168.20.10 option Classless-Static-Route 18c0a80ac0a8140118c0a81ec0a81401 lease 0 2 0 subnet-mask 255.255.255.0 ! service dhcp-server
Note本製品のDHCPサーバー機能を利用してOpenVPNクライアントにIPアドレスを提供する場合は、ip dhcp optionコマンドで定義した DHCPオプション121(Classless Static Route Option)を用いてスタティック経路を通知してください。
optionコマンドで指定している18c0a80ac0a8140118c0a81ec0a81401
は、各経路の「宛先ネットワークマスク長、宛先ネットワークアドレス、ネクストホップアドレス」を16進数表記で連結したもので、次のように解釈します。
16進表記 10進表記 説明 経路エントリー #1 (宛先 192.168.10/24 ネクストホップ 192.168.20.1) 18
24
宛先マスク長 c0 a8 0a
192 168 10
宛先アドレス c0 a8 14 01
192 168 20 1
ネクストホップアドレス 経路エントリー #2 (宛先 192.168.30/24 ネクストホップ 192.168.20.1) 18
24
宛先マスク長 c0 a8 1e
192 168 30
宛先アドレス c0 a8 14 01
192 168 20 1
ネクストホップアドレス
! interface eth1 encapsulation ppp 0 ! interface ppp0 ppp ipcp dns request keepalive ip address negotiated ppp username user@isp ppp password isppasswd ip tcp adjust-mss pmtu ! vlan database vlan 2 ! interface port1.0.3-1.0.4 switchport access vlan 2 ! interface vlan1 ip address 192.168.10.1/24 interface vlan2 ip address 192.168.30.1/24 ! zone private network lan ip subnet 192.168.10.0/24 ip subnet 192.168.20.0/24 ip subnet 192.168.30.0/24 ! zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host ppp0 ip address dynamic interface ppp0 ! zone openvpn network url host microsoft ip address dynamic fqdn windowsupdate.microsoft.com ip address dynamic fqdn update.microsoft.com ! firewall rule 10 permit any from private to private rule 20 permit any from private to public rule 30 permit openvpn from public.wan to public.wan.ppp0 protect ! nat rule 10 masq any from private to public enable ! radius-server host 127.0.0.1 key awplus-local-radius-server ! aaa authentication openvpn default group radius ! crypto pki trustpoint local crypto pki enroll local radius-server local server enable nas 127.0.0.1 key awplus-local-radius-server group userA attribute Framed-IP-Address 192.168.20.2 attribute Framed-IP-Netmask 255.255.255.0 attribute Framed-Route "192.168.10.0/24 192.168.20.1" attribute Framed-Route "192.168.30.0/24 192.168.20.1" group userB attribute Framed-IP-Address 192.168.20.3 attribute Framed-IP-Netmask 255.255.255.0 attribute Framed-Route "192.168.10.0/24 192.168.20.1" attribute Framed-Route "192.168.30.0/24 192.168.20.1" group userC attribute Framed-IP-Address 192.168.20.4 attribute Framed-IP-Netmask 255.255.255.0 attribute Framed-Route "192.168.10.0/24 192.168.20.1" attribute Framed-Route "192.168.30.0/24 192.168.20.1" group userD attribute Framed-IP-Address 192.168.20.5 attribute Framed-IP-Netmask 255.255.255.0 attribute Framed-Route "192.168.10.0/24 192.168.20.1" attribute Framed-Route "192.168.30.0/24 192.168.20.1" user userA password passwdA group userA user userB password passwdB group userB user userC password passwdC group userC user userD password passwdD group userD ! interface tunnel0 ip address 192.168.20.1/24 tunnel openvpn route openvpn tunnel mode openvpn tun ip tcp adjust-mss 1260 ! ip dns forwarding ip dns forwarding cache size 10000 ! ip domain-lookup via-relay ! ip route 0.0.0.0/0 ppp0 ! end
(C) 2019 - 2024 アライドテレシスホールディングス株式会社
PN: 613-002735 Rev.AD