設定例集#129: Google Cloud PlatformとのVPN接続（スタティックルーティング）

スタティックルーティングによるGoogle Cloud PlatformとのVPN接続例です。

構成

表 1：無線の基本設定
VAPインターフェース		SSID	セキュリティー方式	セキュリティーキー	WPAバージョン
vap1.0	無線1 (2.4GHz) VAP0	Network2	WPAパーソナル	passphrase1	WPA2 WPA3
vap2.0	無線2 (5GHz) VAP0	Network5	WPAパーソナル	passphrase17	WPA2 WPA3
vap3.0	無線2 (6GHz) VAP0	Network6	WPAパーソナル	passphrase34	WPA3

Note
VAPインターフェースの命名規則については「インターフェース」/「一般設定」をご参照ください。

ISPから提供された情報
ISP接続用ユーザー名	user@isp1
ISP接続用パスワード	isppasswd1
PPPoEサービス名	指定なし
WAN側IPアドレス	10.0.0.1/32
ブリッジの設定
ブリッジ	メンバー
br1	vap1.0 vap2.0 vap3.0
ルーターの基本設定
WAN側物理インターフェース	eth2
WAN側（ppp0）IPアドレス	10.0.0.1/32
LAN側（br1）IPアドレス	192.168.1.1/24
VPN接続設定
ローカルセレクター	192.168.1.0/24
リモートセレクター	172.30.0.0/24

[事前共有鍵]

ルーター・VPNゲートウェイ（Google Cloud Platform）間: secret

設定開始前に

自動設定の確認と削除

本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態（スタートアップコンフィグなしで起動した状態）から入力することを前提としています。

そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。

ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。

これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。

ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。

自動設定が行われる条件などの詳細については、AMF応用編のAMFネットワーク未検出時の拡張動作をご参照ください。

システム時刻の設定

ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。
特に本製品はリアルタイムクロックを内蔵していないため、起動するたびに時刻をあわせる必要があります。
ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。

手動で設定する方法 - 「運用・管理」/「システム」
NTPで自動設定する方法 - 「運用・管理」/「NTP」

TQRの設定

無線機能の設定

無線機能の設定を行うため、wirelessコマンドで無線設定モードに入ります。
```
wireless
```
各VAPで使用するセキュリティー設定を作成します。
セキュリティー設定の詳細は「無線機能」/「セキュリティー設定」をご覧ください。
・WPAパーソナル用セキュリティー設定（security mode wpa-personal）
・セキュリティーキー（key）
・WPAバージョン（versions）
```
 security 1 mode wpa-personal
  key passphrase1
  versions wpa2 wpa3
 security 17 mode wpa-personal
  key passphrase17
  versions wpa2 wpa3
 security 34 mode wpa-personal
  key passphrase34
  versions wpa3
```
各VAPで使用するネットワーク設定を作成します。
・ネットワーク設定（network）
・SSID（ssid）
・SSID非公開（hide-ssid）
・セキュリティー設定（security）

Note
本設定例では、2.4GHz、5GHz、6GHzのVAPに別々のSSIDを設定していますが、各帯域のVAPに同じSSIDを設定し、バンドステアリングを有効にすることで、複数の帯域をサポートしている無線端末に対し、混雑していない帯域への接続を促し、帯域を有効に使うことができます。
具体的な設定については設定例集#201aをご参照ください。
```
 network 1
  ssid Network2
  hide-ssid
  security 1
 network 17
  ssid Network5
  hide-ssid
  security 17
 network 34
  ssid Network6
  hide-ssid
  security 34
```
無線1/2/3に対して各種機能やVAPの設定を行います。
ap-profile localコマンドでAPプロファイルモードに移動してから、radioコマンドで無線番号を指定して以下のコマンドを実行します。
・無線の有効化（enable）
・VAPの設定（vap）
```
 ap-profile local
  radio 1
   enable
   vap 0 network 1
  radio 2
   enable
   vap 0 network 17
  radio 3
   enable
   vap 0 network 34
```
ここでいったん特権EXECモードに移動し、wireless ap-configuration apply ap localコマンドを実行して無線設定内容を適用してください。
これにより、各VAPインターフェース（vap1.0、vap2.0、vap3.0）が有効になります。
無線適用が終わったら再度グローバルコンフィグモードに戻って設定を続けます。
```
end
wireless ap-configuration apply ap local
configure terminal
```
ソフトウェアブリッジ「1」を作成します。これにはbridgeコマンドを使います。
ブリッジングの詳細は「ブリッジング」/「一般設定」をご覧ください。
```
bridge 1
```
vap1.0、vap2.0、vap3.0をブリッジ「1」に割り当てます。これにはbridge-groupコマンドを使います。

Note
本設定例では、2.4GHz、5GHz、6GHzの同一番号のVAPをブリッジに所属させ同じセグメントで運用しています。
各帯域のVAPを異なるセグメントで運用する場合は、「無線機能」/「設定のポイント」を参照してVAPごとにIPアドレスを設定し、エンティティーとファイアウォールの設定を変更してください。
```
interface vap1.0
 bridge-group 1

interface vap2.0
 bridge-group 1

interface vap3.0
 bridge-group 1
```
ここで再び特権EXECモードに移動し、wireless ap-configuration apply ap localコマンドを実行して無線設定内容を適用してください。
VAPを作成した後にブリッジを作成してVAPに適用する場合は、VAP作成後に無線適用が必須となります。
無線適用が終わったら再度グローバルコンフィグモードに戻って設定を続けます。
```
end
wireless ap-configuration apply ap local
configure terminal
```

ルーター機能の設定

WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface eth1
 encapsulation ppp 0
```
PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

・LCP EchoによるPPP接続状態の確認（keepalive）
・IPアドレスの固定設定（ip address）
・ユーザー名（ppp username）
・パスワード（ppp password）
・MSS書き換え（ip tcp adjust-mss）

PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface ppp0
 keepalive
 ip address 10.0.0.1/32
 ppp username user@isp1
 ppp password isppasswd1
 ip tcp adjust-mss pmtu
```
LAN側インターフェースbr1にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
```
interface br1
 ip address 192.168.1.1/24
```
ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。
```
zone private
 network lan
  ip subnet 192.168.1.0/24
 network peer
  ip subnet 172.30.0.0/24
 network tunnel
  ip subnet 192.168.100.0/30
```
外部ネットワークを表すゾーン「public」を作成します。
前記コマンドに加え、ここではhost、ip addressの各コマンドも使います。
```
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.1
```
ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、sport、dport、icmp-type、icmp-codeの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
```
application esp
 protocol 50
```
ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
```
application isakmp
 protocol udp
 sport 500
 dport 500
```
NAT-Traversalパケットを表すカスタムアプリケーション「nat-t」を定義します。
```
application nat-t
 protocol udp
 dport 4500
```
外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。

・rule 10 - 内部から内部への通信を許可します
・rule 20 - 内部から外部への通信を許可します
・rule 30, 40 - ISAKMPパケットを許可します
・rule 50, 60 - NAT-Traversalパケットを許可します
・rule 70, 80 - IPsec（ESP）パケットを許可します

ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
```
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.ppp0 to public.wan
 rule 40 permit isakmp from public.wan to public.wan.ppp0
 rule 50 permit nat-t from public.wan.ppp0 to public.wan
 rule 60 permit nat-t from public.wan to public.wan.ppp0
 rule 70 permit esp from public.wan.ppp0 to public.wan
 rule 80 permit esp from public.wan to public.wan.ppp0
 protect
```
LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
これには、nat、rule、enableの各コマンドを使います。
NATの詳細は「UTM」/「NAT」をご覧ください。
```
nat
 rule 10 masq any from private to public
 enable
```
対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
```
crypto isakmp key secret address 10.0.0.2
```
IPsecの通信方式を規定するIPsecプロファイルを作成します。
IPsecプロファイルの詳細は「VPN」/「IPsec」をご覧ください。

ここでは、crypto ipsec profileコマンドでIPsecプロファイルを作成し、以下の情報を設定します。

・SA有効期間（lifetime）
・Perfect Forward Secrecy（pfs）
・アルゴリズム（transform）
```
crypto ipsec profile ipsec1
 lifetime seconds 10800
 pfs 14
 transform 1 protocol esp integrity SHA1 encryption AES256
```
IPsecトンネルインターフェースtunnel0を作成します。
トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

・トンネルインターフェースから送信するデリバリーパケットの始点（自装置）アドレス（tunnel source）
・トンネルインターフェースから送信するデリバリーパケットの終点（対向装置）アドレス（tunnel destination）
・トンネルインターフェースに適用するローカルセレクター（tunnel local selector）
・トンネルインターフェースに適用するリモートセレクター（tunnel remote selector）
・トンネルインターフェースに対するIPsec保護の適用とIPsecプロファイルの指定（tunnel protection ipsec）
・トンネリング方式（tunnel mode ipsec）
・トンネルインターフェースのIPアドレス（ip address）
```
interface tunnel0
 tunnel source 10.0.0.1
 tunnel destination 10.0.0.2
 tunnel local selector 192.168.1.0/24
 tunnel remote selector 172.30.0.0/24
 tunnel protection ipsec profile ipsec1
 tunnel mode ipsec ipv4
 ip address 192.168.100.1/30
```
デフォルト経路（0.0.0.0/0）とGoogle Cloud PlatformのVPS（172.30.0.0/24）への経路を設定します。これにはip routeコマンドを使います。
ただし、ルーター間のVPN接続が有効になるまでは、VPSへの経路は使用できないように設定します。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
```
ip route 0.0.0.0/0 ppp0
ip route 172.30.0.0/24 tunnel0
ip route 172.30.0.0/24 null 254
```
以上で設定は完了です。
```
end
```

設定の保存

■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。

awplus# copy running-config startup-config ↓
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。

awplus# write memory ↓
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

■ ファイアウォールのログをとるには、次のコマンド（log(filter)）を実行します。

awplus(config)# log buffered level informational facility local5 ↓

■ 記録されたログを見るには、次のコマンド（show log）を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。

awplus# show log | include Firewall ↓

Google Cloud Platformの設定

Note
詳細はGoogle Cloud Platformのドキュメントをご参照ください。

Google Cloud Platformにログインします。
画面左上のナビケーションメニューから「VPCネットワーク」画面を開きます。
「VPCネットワークを作成」をクリックし、「VPCネットワークの作成」画面を開きます。
「VPCネットワークの作成」画面で下記のとおり設定して画面下部の「作成」をクリックします。
《VPCネットワーク》
- 名前：vpc-network
《新しいサブネット》
- 名前：vpc-subnet
- リージョン：asia-northeast1
- IPv4範囲：172.30.0.0/24
画面左上のナビケーションメニューから「ネットワーク接続」>「VPN」画面を開きます。
「VPN接続を作成」をクリックし、「VPNの作成」画面を開きます。
「Classic VPN」を選択し、「続行」をクリックします。
「VPN接続の作成」画面で下記のとおり設定して画面下部の「作成」をクリックします。
《Google Compute Engine VPNゲートウェイ》
- 名前：vpn-to-at-router
- ネットワーク：vpc-network（手順4で作成した「vpc-network」を選択し「OK」をクリック）
- リージョン：asia-northeast1 (東京)
- IPアドレス：vpn-gateway（「IPアドレスを作成」をクリックし、「新しい静的IPアドレスの予約」画面で名前に「vpn-gateway」を設定し「予約」をクリック）
《トンネル》
- 名前：tunnel-1
- リモートピアIPアドレス：10.0.0.1
- IKEバージョン：IKEv2
- IKE事前共有キー：secret（「生成してコピー」をクリック）
- ルーティングオプション：ポリシーベース
- リモートネットワークIPの範囲：192.168.1.0/24
- ローカルサブネットワーク：vpc-subnet（手順4で作成した「vpc-subnet」を選択し「OK」をクリック）
- ローカルIP範囲：172.30.0.0/24（ローカルサブネットワークで「vpc-subnet」を選択すると自動的に設定されます）

■ Google Cloud PlatformでVPNトンネルのステータスを確認するには、「ネットワーク接続」>「VPN」画面で「CLOUD VPNトンネル」タブを開きます。
《VPN未接続時》

《VPN接続時》

ここでトンネル名「tunnel-1」をクリックすると詳細が表示されます。

TQRのコンフィグ

!
wireless
!
 security 1 mode wpa-personal
  key passphrase1
  versions wpa2 wpa3
 security 17 mode wpa-personal
  key passphrase17
  versions wpa2 wpa3
 security 34 mode wpa-personal
  key passphrase34
  versions wpa3
!
 network 1
  ssid Network2
  hide-ssid
  security 1
 network 17
  ssid Network5
  hide-ssid
  security 17
 network 34
  ssid Network6
  hide-ssid
  security 34
!
 ap-profile local
  radio 1
   enable
   vap 0 network 1
  radio 2
   enable
   vap 0 network 17
  radio 3
   enable
   vap 0 network 34
!
bridge 1
!
interface vap1.0
 bridge-group 1

interface vap2.0
 bridge-group 1

interface vap3.0
 bridge-group 1
!
interface eth1
 encapsulation ppp 0
!
interface ppp0
 keepalive
 ip address 10.0.0.1/32
 ppp username user@isp1
 ppp password isppasswd1
 ip tcp adjust-mss pmtu
!
interface br1
 ip address 192.168.1.1/24
!
zone private
 network lan
  ip subnet 192.168.1.0/24
 network peer
  ip subnet 172.30.0.0/24
 network tunnel
  ip subnet 192.168.100.0/30
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.1
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 sport 500
 dport 500
!
application nat-t
 protocol udp
 dport 4500
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.ppp0 to public.wan
 rule 40 permit isakmp from public.wan to public.wan.ppp0
 rule 50 permit nat-t from public.wan.ppp0 to public.wan
 rule 60 permit nat-t from public.wan to public.wan.ppp0
 rule 70 permit esp from public.wan.ppp0 to public.wan
 rule 80 permit esp from public.wan to public.wan.ppp0
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
crypto isakmp key secret address 10.0.0.2
!
crypto ipsec profile ipsec1
 lifetime seconds 10800
 pfs 14
 transform 1 protocol esp integrity SHA1 encryption AES256
!
interface tunnel0
 tunnel source 10.0.0.1
 tunnel destination 10.0.0.2
 tunnel local selector 192.168.1.0/24
 tunnel remote selector 172.30.0.0/24
 tunnel protection ipsec profile ipsec1
 tunnel mode ipsec ipv4
 ip address 192.168.100.1/30
!
ip route 0.0.0.0/0 ppp0
ip route 172.30.0.0/24 tunnel0
ip route 172.30.0.0/24 null 254
!
end

PN: 613-003360 Rev.C