＜前頁 次頁＞ ＜＜ ＞＞ ↓ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）

CUGサービス(端末型)における3点間IPsec VPN（インターネットアクセス・支社間通信は本社経由）

本社(ルーターA：AR550S)と支社（ルーターB、C：AR260S V2）をCUG(Closed Users Group)サービス(NTT東日本のフレッツ・グループアクセス(ライト)およびNTT西日本のフレッツ・グループ(ベーシックメニュー))の「端末型払い出し」に接続します。本社〜拠点間にIPsec（ESP）トンネルを構築して拠点間通信を実現しつつ、本社（ルーターA）経由でインターネットアクセスも行います。

表 1

	ルーターA
PPPユーザー名	user1@example
PPPパスワード	password
サービス名	指定なし
IPアドレス	グローバルアドレス1個（動的割り当て）
DNSサーバー	接続時に通知される

表 2

	ルーターA	ルーターB	ルーターC
ユーザーID（PPPユーザー名）	router1	router2	router3
パスワード（PPPパスワード）	password	password	password
サービス名	指定なし	指定なし	指定なし
IPアドレス	172.16.0.1/32	172.16.0.2/32	172.16.0.3/32

表 3

	ルーターB	ルーターC
WAN側IPアドレス	自動取得(172.16.0.2/32を取得)	自動取得(172.16.0.3/32を取得)
LAN側IPアドレス	192.168.20.1/24	192.168.30.1/24
VPN接続設定
ローカルセキュアグループ〜リモートセキュアグループ	192.168.20.0/24 〜 すべて	192.168.30.0/24 〜 すべて
ローカルゲートウェイ	pppoe0	pppoe0
リモートゲートウェイ	172.16.0.1	172.16.0.1
IKE設定
交換モード	メイン	メイン
事前共有鍵	secret_ab	secret_ac
暗号化認証アルゴリズム	3DES & SHA1-DH2	3DES & SHA1-DH2
IPsec設定
暗号化認証アルゴリズム	ESP 3DES HMAC SHA1	ESP 3DES HMAC SHA1
PFSグループ	なし	なし

• ルーターAは PPPoEマルチセッションでISPとCUGサービスに同時接続します。
  
• ルーターB〜A間、C〜A間のIPsecポリシーにて、リモートセキュアグループを「すべて」とすることでインターネット宛パケットもカプセリング対象になるようにします。
  

Note - ルーターB、Cの設定手順は同一です。ルーターCの設定内容につきましては、文中の「ルーターCは〜」をご参照ください

ルーターA（AR550S）の設定

1. セキュリティーモードで各種設定を行うことができるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードも「secoff」とします。
   
   
   add user=secoff password=secoff priv=sec ↓
   
   
2. ISPへ接続するため、eth0インターフェース上にppp0を作成します。
   
   
   cre ppp=0 over=eth0-any ↓
   
   
3. ISPから通知されたユーザー名、パスワードを設定します。ISDN回線向けの機能であるBAPは無効化し、LCP ECHOによるPPPセッション監視を有効化します。
   
   
   set ppp=0 over=eth0-any user=user1@example password=password iprequest=on lqr=off bap=off echo=on ↓

   
   
4. CUGサービスに接続するため、eth0インターフェース上にppp1を作成します。
   
   
   cre ppp=1 over=eth0-any ↓
   
   
5. CUGサービスから提供されたユーザー名、パスワードを設定します。ISDN回線向けの機能であるBAPは無効化し、LCP ECHOによるPPPセッション監視を有効化します。
   
   
   set ppp=1 over=eth0-any user=router1 password=password lqr=off bap=off echo=on ↓
   
   
6. IPルーティングを行うためIPモジュールを有効化します。また、IPインターフェースがIPアドレスを自動取得できるよう、リモートアサインも有効化します。
   
   
   ena ip ↓
ena ip remote ↓

   
   
7. IPインターフェースvlan1にIPアドレス192.168.10.1/24を設定します。
   
   
   add ip int=vlan1 ip=192.168.10.1 mask=255.255.255.0 ↓
   
   
8. ISPに接続するppp0はIPアドレスを自動取得するので、IPアドレスに0.0.0.0を設定します。
   
   
   add ip int=ppp0 ip=0.0.0.0 ↓
   
   
9. CUGサービスへ接続するppp1には、CUGサービスから提供された172.16.0.1/32 を設定します。
   
   
   add ip int=ppp1 ip=172.16.0.1 mask=255.255.255.255 ↓
   
   
10. デフォルトルートをppp0に設定します。
    
    
    add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0 ↓
    
    
11. 対向ルーターのIPアドレスと、対向拠点サブネット向けのルートをppp1に設定します。
    
    
    add ip rou=172.16.0.2 mask=255.255.255.255 int=ppp1 next=0.0.0.0 ↓
add ip rou=172.16.0.3 mask=255.255.255.255 int=ppp1 next=0.0.0.0 ↓
add ip rou=192.168.20.0 mask=255.255.255.0 int=ppp1 next=0.0.0.0 ↓
add ip rou=192.168.30.0 mask=255.255.255.0 int=ppp1 next=0.0.0.0 ↓

    
    
12. ppp0がISPに接続した際、通知されたDNSサーバーアドレスを使用するように設定します。
    
    
    add ip dns int=ppp0 ↓
    
    

    Note - ISPからDNSサーバーアドレスが指定されている場合は、次のように設定します。

    
    
    add ip dns primary=プライマリーDNSサーバー secondary=セカンダリーDNSサーバー ↓
    
    
13. DNSリレーを有効化します。
    
    
    ena ip dnsrelay ↓
    
    
14. ファイアウォールを有効化します。
    
    
    ena fire ↓
    
    
15. ファイアウォールの動作を規定するポリシー net を作成します。
    ICMPはUnreachable、Echo/Echo reply(ping)のみ透過するよう設定し、identプロキシ機能は無効化します。（メールサーバー等からのident要求に対してTCP RSTを返します）
    
    
    cre fire poli=net ↓
ena fire poli=net icmp_f=unreach,ping ↓
dis fire poli=net identproxy ↓

    
    
16. ファイアウォールポリシー net に、IPインターフェースを追加します。
    ppp0をpublic、ppp1/vlan1をprivateとして設定し、ppp0側から開始される通信は遮断しつつppp1/vlan1側から開始される通信は透過します。
    
    
    add fire poli=net int=vlan1 type=private ↓
add fire poli=net int=ppp0 type=public ↓
add fire poli=net int=ppp1 type=private ↓

    
    
17. インターネットアクセスを実現するため、vlan1〜ppp0間とppp1〜ppp0間にダイナミックENATを設定します。
    
    
    add fire poli=net nat=enhanced int=vlan1 gblint=ppp0 ↓
add fire poli=net nat=enhanced int=ppp1 gblint=ppp0 ↓

    
    
18. DHCPサーバー機能を有効化します。
    
    
    ena dhcp ↓
    
    
19. DHCPポリシー base を作成します。オプションとして サブネット：255.255.255.0、ゲートウェイ：192.168.10.1、DNSサーバーアドレス：192.168.10.1を配布するよう設定します。
    
    
    cre dhcp poli=base lease=7200 ↓
add dhcp poli=base subnet=255.255.255.0 ↓
add dhcp poli=base router=192.168.10.1 dnss=192.168.10.1 ↓

    
    
20. DHCPレンジ lan を作成します。192.168.10.10から254までの245個を配布するよう設定します。
    
    
    cre dhcp range=lan poli=base ip=192.168.10.10 num=245 ↓
    
    
21. 暗号化に使用する事前共有鍵を設定します。
    
    
    create enco key=1 type=gene value="secret-ab" ↓
create enco key=2 type=gene value="secret-ac" ↓

    
    

    Note - create enco keyコマンドはコンフィグファイルには保存されず、装置内に別途保存されます。

    
    
22. ルーター間で鍵交換を行うためのISAKMPポリシーを定義します。暗号化プロトコルには3DESを指定してます。
    
    
    cre isakmp poli="ike_ab" peer=172.16.0.2 key=1 sendn=true encalg=3desouter hashalg=sha group=2 ↓
cre isakmp poli="ike_ac" peer=172.16.0.3 key=2 sendn=true encalg=3desouter hashalg=sha group=2 ↓

    
    

    Note - 3DESではなくDESを使用する場合は、encalg パラメーターの値を des に変更します。

    
    
23. ルーターA〜B間、A〜C間でハートビートを設定します。
    
    set isakmp poli="ike_ab" heartbeat=both ↓
set isakmp poli="ike_ac" heartbeat=both ↓

    
    
24. IPsec SAを生成するための SAスペックとバンドルSAスペックを定義します。暗号化プロトコルには3DESを指定しています。
    
    
    cre ipsec sas=1 keyman=isakmp prot=esp encalg=3desouter hashalg=sha ↓
cre ipsec bundle=1 keyman=isakmp string="1" ↓

    
    

    Note - 3DESではなくDESを使用する場合は、encalg パラメーターの値を des に変更します。

    
    
25. ISAKMPパケットを透過するためのIPsecポリシー isa を定義します。
    
    
    cre ipsec poli="isa" int=ppp1 ac=permit lport=500 rport=500 transport=udp ↓
    
    
26. ルーターBのLANとVPNを行うため、ルーターB向けのIPsecポリシー「vpn_ab」を定義します。ladを0.0.0.0とすることで 送信元IPにかかわらず、宛先IPアドレスのみを条件にポリシーが適用されます。
    
    
    cre ipsec poli="vpn_ab" int=ppp1 ac=ipsec keyman=isakmp bundle=1 peer=172.16.0.2 ↓
set ipsec poli="vpn_ab" lad=0.0.0.0 rad=192.168.20.0 rma=255.255.255.0 ↓

    
    
27. ルーターCのLANとVPNを行うため、ルーターC向けのIPsecポリシー「vpn_ac」を定義します。ladを0.0.0.0とすることで 送信元IPにかかわらず、宛先IPアドレスのみを条件にポリシーが適用されます。
    
    
    cre ipsec poli="vpn_ac" int=ppp1 ac=ipsec keyman=isakmp bundle=1 peer=172.16.0.3 ↓
set ipsec poli="vpn_ac" lad=0.0.0.0 rad=192.168.30.0 rma=255.255.255.0 ↓

    
    
28. インターネット向け通信を平文で透過するためのIPsecポリシー「inet」を定義します。
    
    
    cre ipsec poli="inet" int=ppp0 ac=permit ↓
    
    
29. IPsecモジュール、ISAKMPモジュールを有効化します。
    
    
    ena ipsec ↓
ena isakmp ↓

    
    
30. Security Officerレベルのユーザーで再ログインを行います。loginコマンドを実行するとパスワード入力を求められますので、1で設定したパスワードを入力します。
    
    
    login secoff ↓
    
    
31. セキュリティーモードへ移行します。
    
    
    enable system security_mode ↓
    
    
32. 設定内容を router.cfg という名前で保存し、起動時に読み込まれるよう設定します。
    
    
    create config=router.cfg ↓
set config=router.cfg ↓

    
    ルーターAの設定は以上です。
    
    

ルーターB、ルーターC（AR260S V2）の設定

1. IPアドレスを自動取得するよう設定したPCを接続し、Webブラウザーを起動します。
   Webブラウザーから「http://192.168.1.1/」を開くとユーザー名、パスワードを求められますのでユーザー名「manager」、パスワード「friend」を入力すると、次の画面が表示されます。
   
   

   

   
   次に、左側のメニューから[LAN]-[IP]を選択します。
   [IPアドレス]を192.168.20.1 (ルーターCは192.168.30.1)に変更して[適用]を押します。
   
   

   

   
   [適用]を押した後、IPアドレスを再取得するためにPCを再起動します。PCが起動完了したら、再度Webブラウザーを起動して「http://192.168.20.1/」（ルーターCは http://192.168.30.1/）を開きます。
   
   
2. 左側のメニューから[LAN]-[DHCP]を選択し、[開始IPアドレス]を192.168.20.223から192.168.20.10（ルーターCは192.168.30.10）に変更します。
   [プライマリーDNSサーバー]を192.168.10.1に変更して[適用]を押します。
   
   

   

   
   
3. 左側のメニューから[WAN]-[WAN]を選択します。
   [WAN設定]の[接続モード]に PPPoE を選択し、[デフォルトゲートウェイ]を pppoe0 とします。
   
   pppoe0の[ユーザー名][パスワード]に、CUGサービスから提供された内容を入力します。[MSSクランプ]を「手動設定」にします。[クランプ値]を40から120に変更して[適用]を押します。
   

   

   
   その他のパラメーターは、初期状態のままでかまいません。
   
   
4. 左側のメニューから[ファイアウォール/NAT]-[アクセス制御]を選択します。
   [pppoe0(WAN)] タブを開き、[アクセスリスト設定]に次の設定を行います。
   
   

   表 4
   

   [方向]	Inbound
   [動作]	通過
   [優先度]	1
   [送信元]-[タイプ]	すべて
   [宛先]-[タイプ]	サブネット
   [ネットワークアドレス]	192.168.20.0（ルーターCの場合192.168.30.0）
   [サブネットマスク]	255.255.255.0
   [送信元ポート]	すべて
   [宛先ポート]	すべて
   [プロトコル]	すべて
   [ログ]	無効

   
   設定が完了したら、[追加]を押します。
   
   

   

   
   
5. 左側のメニューから[VPN]-[VPN接続]を選択し、[VPN接続設定]を次の内容で設定します。
   
   

   表 5
   

   [簡易設定/詳細設定]	簡易設定
   [ポリシー名]	vpn
   [キープアライブ]	有効
   [種別]	ハートビート
   [仮想トンネルインターフェース]	無効
   [ローカルセキュアグループ]-[種類]	サブネット
   [ネットワークアドレス]	192.168.20.0（ルーターCの場合は192.168.30.0）
   [サブネットマスク]	255.255.255.0
   [リモートセキュアグループ]-[種類]	すべて
   [ローカルゲートウェイ]	pppoe0
   [リモートゲートウェイ]-[種類]	IPアドレス
   [IPアドレス]	172.16.0.1

   
   

   

   
   次に、[IKE設定]の設定を行います。
   
   

   表 6
   

   [IKE交換モード]	メイン
   [事前共有鍵]	secret-ab（ルーターCの場合secret-ac）

   
   設定が完了したら、[追加]を押します。
   
   

   

   
   
6. 画面左上の[設定保存]を押します。
   設定保存ボタン下の「設定が保存されていません」という表示が消えれば設定完了です。
   設定は以上です。
   
   

   Note - 本設定例では以下のIKEとIPsec設定を設定します。暗号化方式などを変更する必要がある場合は、＜手順5＞の[VPN接続設定]で[詳細設定]を選択してください。

   
   

   表 7
   

   IKE設定
   暗号化認証アルゴリズム	3DES & SHA1-DH2
   IPsec設定
   暗号化認証アルゴリズム	ESP 3DES HMAC SHA1
   PFSグループ	なし

まとめ

ルーターA（AR550S）のコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

add user=secoff password=secoff priv=sec ↓ cre ppp=0 over=eth0-any ↓ set ppp=0 over=eth0-any user=user1@example password=password iprequest=on lqr=off bap=off echo=on ↓ cre ppp=1 over=eth0-any ↓ set ppp=1 over=eth0-any user=router1 password=password lqr=off bap=off echo=on ↓ ena ip ↓ ena ip remote ↓ add ip int=vlan1 ip=192.168.10.1 mask=255.255.255.0 ↓ add ip int=ppp0 ip=0.0.0.0 ↓ add ip int=ppp1 ip=172.16.0.1 mask=255.255.255.255 ↓ add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0 ↓ add ip rou=172.16.0.2 mask=255.255.255.255 int=ppp1 next=0.0.0.0 ↓ add ip rou=172.16.0.3 mask=255.255.255.255 int=ppp1 next=0.0.0.0 ↓ add ip rou=192.168.20.0 mask=255.255.255.0 int=ppp1 next=0.0.0.0 ↓ add ip rou=192.168.30.0 mask=255.255.255.0 int=ppp1 next=0.0.0.0 ↓ add ip dns int=ppp0 ↓ add ip dns primary=プライマリーDNSサーバー secondary=セカンダリーDNSサーバー ↓ ena ip dnsrelay ↓ ena fire ↓ cre fire poli=net ↓ ena fire poli=net icmp_f=unreach,ping ↓ dis fire poli=net identproxy ↓ add fire poli=net int=vlan1 type=private ↓ add fire poli=net int=ppp0 type=public ↓ add fire poli=net int=ppp1 type=private ↓ add fire poli=net nat=enhanced int=vlan1 gblint=ppp0 ↓ add fire poli=net nat=enhanced int=ppp1 gblint=ppp0 ↓ ena dhcp ↓ cre dhcp poli=base lease=7200 ↓ add dhcp poli=base subnet=255.255.255.0 ↓ add dhcp poli=base router=192.168.10.1 dnss=192.168.10.1 ↓ cre dhcp range=lan poli=base ip=192.168.10.10 num=245 ↓ # create enco key=1 type=gene value="secret-ab" ↓ # create enco key=2 type=gene value="secret-ac" ↓ cre isakmp poli="ike_ab" peer=172.16.0.2 key=1 sendn=true encalg=3desouter hashalg=sha group=2 ↓ cre isakmp poli="ike_ac" peer=172.16.0.3 key=2 sendn=true encalg=3desouter hashalg=sha group=2 ↓ set isakmp poli="ike_ab" heartbeat=both ↓ set isakmp poli="ike_ac" heartbeat=both ↓ cre ipsec sas=1 keyman=isakmp prot=esp encalg=3desouter hashalg=sha ↓ cre ipsec bundle=1 keyman=isakmp string="1" ↓ cre ipsec poli="isa" int=ppp1 ac=permit lport=500 rport=500 transport=udp ↓ cre ipsec poli="vpn_ab" int=ppp1 ac=ipsec keyman=isakmp bundle=1 peer=172.16.0.2 ↓ set ipsec poli="vpn_ab" lad=0.0.0.0 rad=192.168.20.0 rma=255.255.255.0 ↓ cre ipsec poli="vpn_ac" int=ppp1 ac=ipsec keyman=isakmp bundle=1 peer=172.16.0.3 ↓ set ipsec poli="vpn_ac" lad=0.0.0.0 rad=192.168.30.0 rma=255.255.255.0 ↓ cre ipsec poli="inet" int=ppp0 ac=permit ↓ ena ipsec ↓ ena isakmp ↓ # login secoff ↓ # enable system security_mode ↓

(C) 2008 アライドテレシスホールディングス株式会社

PN: 613-000902 Rev.A

＜前頁 次頁＞ ＜＜ ＞＞ ↑ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）