<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR260S V2 設定例集 3.3.3 #9
CUGサービス(端末型)における3点間IPsec VPN(インターネットアクセス・支社間通信は本社経由)
本社(ルーターA:AR550S)と支社(ルーターB、C:AR260S V2)をCUG(Closed Users Group)サービス(NTT東日本のフレッツ・グループアクセス(ライト)およびNTT西日本のフレッツ・グループ(ベーシックメニュー))の「端末型払い出し」に接続します。本社〜拠点間にIPsec(ESP)トンネルを構築して拠点間通信を実現しつつ、本社(ルーターA)経由でインターネットアクセスも行います。
インターネットサービスプロバイダー(以下 ISP)からは、次の情報が提供されているものとします。
表 1
| |
ルーターA |
| PPPユーザー名 |
user1@example |
| PPPパスワード |
password |
| サービス名 |
指定なし |
| IPアドレス |
グローバルアドレス1個(動的割り当て) |
| DNSサーバー |
接続時に通知される |
CUGサービスからは、次の情報が提供されているものとします。
表 2
| |
ルーターA |
ルーターB |
ルーターC |
| ユーザーID(PPPユーザー名) |
router1 |
router2 |
router3 |
| パスワード(PPPパスワード) |
password |
password |
password |
| サービス名 |
指定なし |
指定なし |
指定なし |
| IPアドレス |
172.16.0.1/32 |
172.16.0.2/32 |
172.16.0.3/32 |
ルーターB、Cは、それぞれ以下のように設定するものとします。
表 3
| |
ルーターB |
ルーターC |
| WAN側IPアドレス |
自動取得(172.16.0.2/32を取得) |
自動取得(172.16.0.3/32を取得) |
| LAN側IPアドレス |
192.168.20.1/24 |
192.168.30.1/24 |
| VPN接続設定 |
| ローカルセキュアグループ〜リモートセキュアグループ |
192.168.20.0/24 〜 すべて |
192.168.30.0/24 〜 すべて |
| ローカルゲートウェイ |
pppoe0 |
pppoe0 |
| リモートゲートウェイ |
172.16.0.1 |
172.16.0.1 |
| IKE設定 |
| 交換モード |
メイン |
メイン |
| 事前共有鍵 |
secret_ab |
secret_ac |
| 暗号化認証アルゴリズム |
3DES & SHA1-DH2 |
3DES & SHA1-DH2 |
| IPsec設定 |
| 暗号化認証アルゴリズム |
ESP 3DES HMAC SHA1 |
ESP 3DES HMAC SHA1 |
| PFSグループ |
なし |
なし |
本構成における設定のポイントは、次の通りです。
- ルーターAは PPPoEマルチセッションでISPとCUGサービスに同時接続します。
- ルーターB〜A間、C〜A間のIPsecポリシーにて、リモートセキュアグループを「すべて」とすることでインターネット宛パケットもカプセリング対象になるようにします。
Note
- ルーターB、Cの設定手順は同一です。ルーターCの設定内容につきましては、文中の「ルーターCは〜」をご参照ください
- セキュリティーモードで各種設定を行うことができるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードも「secoff」とします。
add user=secoff password=secoff priv=sec ↓
- ISPへ接続するため、eth0インターフェース上にppp0を作成します。
cre ppp=0 over=eth0-any ↓
- ISPから通知されたユーザー名、パスワードを設定します。ISDN回線向けの機能であるBAPは無効化し、LCP ECHOによるPPPセッション監視を有効化します。
set ppp=0 over=eth0-any user=user1@example password=password iprequest=on lqr=off bap=off echo=on ↓
- CUGサービスに接続するため、eth0インターフェース上にppp1を作成します。
cre ppp=1 over=eth0-any ↓
- CUGサービスから提供されたユーザー名、パスワードを設定します。ISDN回線向けの機能であるBAPは無効化し、LCP ECHOによるPPPセッション監視を有効化します。
set ppp=1 over=eth0-any user=router1 password=password lqr=off bap=off echo=on ↓
- IPルーティングを行うためIPモジュールを有効化します。また、IPインターフェースがIPアドレスを自動取得できるよう、リモートアサインも有効化します。
- IPインターフェースvlan1にIPアドレス192.168.10.1/24を設定します。
add ip int=vlan1 ip=192.168.10.1 mask=255.255.255.0 ↓
- ISPに接続するppp0はIPアドレスを自動取得するので、IPアドレスに0.0.0.0を設定します。
add ip int=ppp0 ip=0.0.0.0 ↓
- CUGサービスへ接続するppp1には、CUGサービスから提供された172.16.0.1/32 を設定します。
add ip int=ppp1 ip=172.16.0.1 mask=255.255.255.255 ↓
- デフォルトルートをppp0に設定します。
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0 ↓
- 対向ルーターのIPアドレスと、対向拠点サブネット向けのルートをppp1に設定します。
add ip rou=172.16.0.2 mask=255.255.255.255 int=ppp1 next=0.0.0.0 ↓
add ip rou=172.16.0.3 mask=255.255.255.255 int=ppp1 next=0.0.0.0 ↓
add ip rou=192.168.20.0 mask=255.255.255.0 int=ppp1 next=0.0.0.0 ↓
add ip rou=192.168.30.0 mask=255.255.255.0 int=ppp1 next=0.0.0.0 ↓
- ppp0がISPに接続した際、通知されたDNSサーバーアドレスを使用するように設定します。
Note
- ISPからDNSサーバーアドレスが指定されている場合は、次のように設定します。
add ip dns primary=プライマリーDNSサーバー secondary=セカンダリーDNSサーバー
- DNSリレーを有効化します。
- ファイアウォールを有効化します。
- ファイアウォールの動作を規定するポリシー「net」を作成します。
ICMPはUnreachable、Echo/Echo reply(ping)のみ透過するよう設定し、identプロキシー機能は無効化します。(メールサーバー等からのident要求に対してTCP RSTを返します)
cre fire poli=net ↓
ena fire poli=net icmp_f=unreach,ping ↓
dis fire poli=net identproxy ↓
- ファイアウォールポリシー「net」に、IPインターフェースを追加します。
ppp0をpublic、ppp1/vlan1をprivateとして設定し、ppp0側から開始される通信は遮断しつつppp1/vlan1側から開始される通信は透過します。
add fire poli=net int=vlan1 type=private ↓
add fire poli=net int=ppp0 type=public ↓
add fire poli=net int=ppp1 type=private ↓
- インターネットアクセスを実現するため、vlan1〜ppp0間とppp1〜ppp0間にダイナミックENATを設定します。
add fire poli=net nat=enhanced int=vlan1 gblint=ppp0 ↓
add fire poli=net nat=enhanced int=ppp1 gblint=ppp0 ↓
- DHCPサーバー機能を有効化します。
- DHCPポリシー「base」を作成します。オプションとして サブネット:255.255.255.0、ゲートウェイ:192.168.10.1、DNSサーバーアドレス:192.168.10.1を配布するよう設定します。
cre dhcp poli=base lease=7200 ↓
add dhcp poli=base subnet=255.255.255.0 ↓
add dhcp poli=base router=192.168.10.1 dnss=192.168.10.1 ↓
- DHCPレンジ lan を作成します。192.168.10.10から254までの245個を配布するよう設定します。
cre dhcp range=lan poli=base ip=192.168.10.10 num=245 probe=ARP ↓
- 暗号化に使用する事前共有鍵を設定します。
create enco key=1 type=gene value="secret-ab" ↓
create enco key=2 type=gene value="secret-ac" ↓
Note
- create enco keyコマンドはコンフィグファイルには保存されず、装置内に別途保存されます。
- ルーター間で鍵交換を行うためのISAKMPポリシーを定義します。暗号化プロトコルには3DESを指定してます。
cre isakmp poli="ike_ab" peer=172.16.0.2 key=1 sendn=true encalg=3desouter hashalg=sha group=2 ↓
cre isakmp poli="ike_ac" peer=172.16.0.3 key=2 sendn=true encalg=3desouter hashalg=sha group=2 ↓
Note
- 3DESではなくDESを使用する場合は、encalg パラメーターの値を des に変更します。
- ルーターA〜B間、A〜C間でハートビートを設定します。
set isakmp poli="ike_ab" heartbeat=both ↓
set isakmp poli="ike_ac" heartbeat=both ↓
- IPsec SAを生成するための SAスペックとバンドルSAスペックを定義します。暗号化プロトコルには3DESを指定しています。
cre ipsec sas=1 keyman=isakmp prot=esp encalg=3desouter hashalg=sha ↓
cre ipsec bundle=1 keyman=isakmp string="1" ↓
Note
- 3DESではなくDESを使用する場合は、encalg パラメーターの値を des に変更します。
- ISAKMPパケットを透過するためのIPsecポリシー「isa」を定義します。
cre ipsec poli="isa" int=ppp1 ac=permit lport=500 rport=500 transport=udp ↓
- ルーターBのLANとVPNを行うため、ルーターB向けのIPsecポリシー「vpn_ab」を定義します。ladを0.0.0.0とすることで 送信元IPにかかわらず、宛先IPアドレスのみを条件にポリシーが適用されます。
cre ipsec poli="vpn_ab" int=ppp1 ac=ipsec keyman=isakmp bundle=1 peer=172.16.0.2 ↓
set ipsec poli="vpn_ab" lad=0.0.0.0 rad=192.168.20.0 rma=255.255.255.0 ↓
- ルーターCのLANとVPNを行うため、ルーターC向けのIPsecポリシー「vpn_ac」を定義します。ladを0.0.0.0とすることで 送信元IPにかかわらず、宛先IPアドレスのみを条件にポリシーが適用されます。
cre ipsec poli="vpn_ac" int=ppp1 ac=ipsec keyman=isakmp bundle=1 peer=172.16.0.3 ↓
set ipsec poli="vpn_ac" lad=0.0.0.0 rad=192.168.30.0 rma=255.255.255.0 ↓
- インターネット向け通信を平文で透過するためのIPsecポリシー「inet」を定義します。
cre ipsec poli="inet" int=ppp0 ac=permit ↓
- IPsecモジュール、ISAKMPモジュールを有効化します。
- Security Officerレベルのユーザーで再ログインを行います。loginコマンドを実行するとパスワード入力を求められますので、1で設定したパスワードを入力します。
- セキュリティーモードへ移行します。
enable system security_mode ↓
- 設定内容を router.cfg という名前で保存し、起動時に読み込まれるよう設定します。
create config=router.cfg ↓
set config=router.cfg ↓
ルーターAの設定は以上です。
| ルーターB、ルーターC(AR260S V2)の設定 |
- IPアドレスを自動取得するよう設定したPCを接続し、Webブラウザーを起動します。
Webブラウザーから「http://192.168.1.1/」を開くとユーザー名、パスワードの入力を求められますのでユーザー名「manager」、パスワード「friend」を入力すると、次の画面が表示されます。
次に、左側のメニューから[LAN]-[IP]を選択します。
[IPアドレス]を192.168.20.1 (ルーターCは192.168.30.1)に変更して[適用]を押します。
[適用]を押した後、IPアドレスを再取得するためにPCを再起動します。PCが起動完了したら、再度Webブラウザーを起動して「http://192.168.20.1/」(ルーターCは http://192.168.30.1/)を開きます。
- 左側のメニューから[LAN]-[DHCP]を選択し、[始点IPアドレス]を192.168.20.10(ルーターCは192.168.30.10)に、[終点IPアドレス]を192.168.20.41(ルーターBは192.168.30.41)に変更します。
[プライマリーDNSサーバー]を172.16.0.1に変更して[適用]を押します。
- 左側のメニューから[WAN]-[WAN]を選択します。
[WAN設定]の[接続モード]に PPPoE を選択し、[デフォルトゲートウェイ]を pppoe0 とします。
pppoe0の[ユーザー名][パスワード]に、CUGサービスから提供された内容を入力します。[MSSクランプ]を「手動設定」にします。[クランプ値]を40から120に変更して[適用]を押します。
その他のパラメーターは、初期状態のままでかまいません。
- 左側のメニューから[ファイアウォール/NAT]-[アクセス制御]を選択します。
[pppoe0(WAN)] タブを開き、[アクセスリスト設定]に次の設定を行います。
表 4
| [方向] |
Inbound |
| [動作] |
通過 |
| [優先度] |
1 |
| [送信元]-[タイプ] |
すべて |
| [宛先]-[タイプ] |
サブネット |
| [ネットワークアドレス] |
192.168.20.0(ルーターCの場合192.168.30.0) |
| [サブネットマスク] |
255.255.255.0 |
| [送信元ポート] |
すべて |
| [宛先ポート] |
すべて |
| [プロトコル] |
すべて |
| [ログ] |
無効 |
設定が完了したら、[追加]を押します。
- 左側のメニューから[VPN]-[VPN接続]を選択し、[VPN接続設定]を次の内容で設定します。
表 5
| [簡易設定/詳細設定] |
簡易設定 |
| [ポリシー名] |
vpn |
| [キープアライブ] |
有効 |
| [種別] |
ハートビート |
| [仮想トンネルインターフェース] |
無効 |
| [ローカルセキュアグループ]-[種類] |
サブネット |
| [ネットワークアドレス] |
192.168.20.0(ルーターCの場合は192.168.30.0) |
| [サブネットマスク] |
255.255.255.0 |
| [リモートセキュアグループ]-[種類] |
すべて |
| [ローカルゲートウェイ] |
pppoe0 |
| [リモートゲートウェイ]-[種類] |
IPアドレス |
| [IPアドレス] |
172.16.0.1 |
次に、[IKE設定]の設定を行います。
表 6
| [IKE交換モード] |
メイン |
| [事前共有鍵] |
secret-ab(ルーターCの場合secret-ac) |
設定が完了したら、[追加]を押します。
- 画面左上の[設定保存]を押します。
設定保存ボタン下の「設定が保存されていません」という表示が消えれば設定完了です。
設定は以上です。
Note
- 本設定例では以下のIKEとIPsec設定を設定します。暗号化方式などを変更する必要がある場合は、<手順5>の[VPN接続設定]で[詳細設定]を選択してください。
表 7
| IKE設定 |
| 暗号化認証アルゴリズム |
3DES & SHA1-DH2 |
| IPsec設定 |
| 暗号化認証アルゴリズム |
ESP 3DES HMAC SHA1 |
| PFSグループ |
なし |
ルーターA(AR550S)のコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
add user=secoff password=secoff priv=sec ↓
cre ppp=0 over=eth0-any ↓
set ppp=0 over=eth0-any user=user1@example password=password iprequest=on lqr=off bap=off echo=on ↓
cre ppp=1 over=eth0-any ↓
set ppp=1 over=eth0-any user=router1 password=password lqr=off bap=off echo=on ↓
ena ip ↓
ena ip remote ↓
add ip int=vlan1 ip=192.168.10.1 mask=255.255.255.0 ↓
add ip int=ppp0 ip=0.0.0.0 ↓
add ip int=ppp1 ip=172.16.0.1 mask=255.255.255.255 ↓
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0 ↓
add ip rou=172.16.0.2 mask=255.255.255.255 int=ppp1 next=0.0.0.0 ↓
add ip rou=172.16.0.3 mask=255.255.255.255 int=ppp1 next=0.0.0.0 ↓
add ip rou=192.168.20.0 mask=255.255.255.0 int=ppp1 next=0.0.0.0 ↓
add ip rou=192.168.30.0 mask=255.255.255.0 int=ppp1 next=0.0.0.0 ↓
add ip dns int=ppp0 ↓
ena ip dnsrelay ↓
ena fire ↓
cre fire poli=net ↓
ena fire poli=net icmp_f=unreach,ping ↓
dis fire poli=net identproxy ↓
add fire poli=net int=vlan1 type=private ↓
add fire poli=net int=ppp0 type=public ↓
add fire poli=net int=ppp1 type=private ↓
add fire poli=net nat=enhanced int=vlan1 gblint=ppp0 ↓
add fire poli=net nat=enhanced int=ppp1 gblint=ppp0 ↓
ena dhcp ↓
cre dhcp poli=base lease=7200 ↓
add dhcp poli=base subnet=255.255.255.0 ↓
add dhcp poli=base router=192.168.10.1 dnss=192.168.10.1 ↓
cre dhcp range=lan poli=base ip=192.168.10.10 num=245 probe=ARP ↓
# create enco key=1 type=gene value="secret-ab" ↓
# create enco key=2 type=gene value="secret-ac" ↓
cre isakmp poli="ike_ab" peer=172.16.0.2 key=1 sendn=true encalg=3desouter hashalg=sha group=2 ↓
cre isakmp poli="ike_ac" peer=172.16.0.3 key=2 sendn=true encalg=3desouter hashalg=sha group=2 ↓
set isakmp poli="ike_ab" heartbeat=both ↓
set isakmp poli="ike_ac" heartbeat=both ↓
cre ipsec sas=1 keyman=isakmp prot=esp encalg=3desouter hashalg=sha ↓
cre ipsec bundle=1 keyman=isakmp string="1" ↓
cre ipsec poli="isa" int=ppp1 ac=permit lport=500 rport=500 transport=udp ↓
cre ipsec poli="vpn_ab" int=ppp1 ac=ipsec keyman=isakmp bundle=1 peer=172.16.0.2 ↓
set ipsec poli="vpn_ab" lad=0.0.0.0 rad=192.168.20.0 rma=255.255.255.0 ↓
cre ipsec poli="vpn_ac" int=ppp1 ac=ipsec keyman=isakmp bundle=1 peer=172.16.0.3 ↓
set ipsec poli="vpn_ac" lad=0.0.0.0 rad=192.168.30.0 rma=255.255.255.0 ↓
cre ipsec poli="inet" int=ppp0 ac=permit ↓
ena ipsec ↓
ena isakmp ↓
# login secoff ↓
# enable system security_mode ↓
|
CentreCOM AR260S V2 設定例集 3.3.3 #9
(C) 2008-2013 アライドテレシスホールディングス株式会社
PN: 613-000902 Rev.H
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))