<前頁 次頁> << >> 目次 (回線別 (詳細)機能別 (詳細)番号順 (詳細)

CentreCOM AR450S 設定例集 2.9 #105

L2TP+IPsecによるリモートアクセス型VPN(LNS)

L2TPによるリモートアクセス型VPNの設定です。この例では、LAC・LNS間のL2TPトンネルをトランスポートモードIPsec(ESP)で暗号化し、インターネット上を流れるデータの安全性を確保しています。ここでは、トンネル経由でリモートユーザーからのPPP接続を受け入れるLNS(L2TP Network Server)の基本設定を示します。

ISPからは次の情報を提供されているものとします。

表 1:ISPから提供された情報
PPPユーザー名 user@isp
PPPパスワード isppasswd
PPPoEサービス名 指定なし
IPアドレス 200.100.10.1/32(固定)


ルーターAの基本設定は次のとおりです。

表 2:ルーターAの基本設定
WAN側物理インターフェース eth0
WAN側(ppp0)IPアドレス 200.100.10.1/32(固定)
LAN側(vlan1)IPアドレス 192.168.10.1/24


L2TP関連の設定項目は次のとおりです。ルーターAはLNSとして動作し、ルーターB(LAC)経由でリモートユーザー(ルーターCまたはPC)からのダイヤルアップPPP接続を受け入れます。PPPユーザーには、IPアドレスプールから空きアドレスを割り当てます。

表 3:ルーターA(LNS)のL2TP設定
L2TPサーバーモード LNS
L2TPサーバーパスワード l2tpA
LAC(ルーターB)のアドレス 200.100.10.20
IPアドレスプール POOL(192.168.10.20〜192.168.10.30)
登録ユーザー(パスワード)(1) AAA(PasswordA)
登録ユーザー(パスワード)(2) BBB(PasswordB)


本設定例ではさらに、ルーターA・B間のL2TPトンネルをIPsecで暗号化します。IPsec関連の設定は次のとおりです。トランスポートモードのESPを使って、ルーター間のL2TPパケット(始点・終点UDPポート1701)だけを暗号化します。

表 4:IKEフェーズ1(ISAKMP SAのネゴシエーション)
ルーター間の認証方式 事前共有鍵(pre-shared key)
IKE交換モード Mainモード
事前共有鍵 secret(文字列)
Oakleyグループ 1(デフォルト)
ISAKMPメッセージの暗号化方式 DES(デフォルト)
ISAKMPメッセージの認証方式 SHA1(デフォルト)
ISAKMP SAの有効期限(時間) 86400秒(24時間)(デフォルト)
ISAKMP SAの有効期限(Kbyte数) なし(デフォルト)
起動時のISAKMPネゴシエーション 行わない


表 5:IKEフェーズ2(IPsec SAのネゴシエーション)
SAモード トランスポートモード
セキュリティープロトコル ESP(暗号+認証)
暗号化方式 DES
認証方式 SHA1
IPsec SAの有効期限(時間) 28800秒(8時間)(デフォルト)
IPsec SAの有効期限(Kbyte数) なし(デフォルト)
IPsecの適用対象IPアドレス 200.100.10.1:1701/udp ←→ 200.100.20.1:1701/udp
インターネットとの平文通信 行わない



ルーターA(LNS)の設定

  1. セキュリティーモードで各種設定を行なうことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。


    Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。

  2. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  3. ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


  4. IPモジュールを有効にします。


  5. LAN側(vlan1)インターフェースにIPアドレスを設定します。


  6. WAN側(ppp0)インターフェースにISPから割り当てられたIPアドレスを設定します。


  7. デフォルトルートを設定します。


  8. L2TPトンネル経由で接続してくるリモートユーザー(ルーターCとPC)のための設定を行います。最初に、リモートユーザーをユーザー認証データベースに登録します。


  9. トンネル経由でユーザーが接続してきた時に動的に作成するPPPインターフェースのテンプレート「1」を作成します。接続時の認証はCHAP、PAPのどちらでも行えるようにし、アドレス割り当てにはIPアドレスプール「POOL」を使うようにします。


  10. IPアドレスプール「POOL」を作成し、ユーザーに割り当てるアドレスの範囲を指定します。


  11. ここから、L2TPの設定を行います。最初にL2TPモジュールを有効にします。


  12. L2TPサーバーをLNSモードで起動します。


  13. LAC(ルーターB)からのトンネル接続要求時に相手を認証するためのパスワード「l2tpA」を設定します。


  14. LAC(ルーターB)「200.100.20.1」からの接続時に動的作成するPPPインターフェースの雛形として、PPPテンプレート「1」を使うよう指定します。


  15. ここからがIPsecの設定になります。最初にISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターBと同じに設定)。


    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。

  16. ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERには対向ルーターのIPアドレスを指定します。


  17. IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。この例ではすでにL2TPのトンネルが存在するため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。相手ルーターのUDP1701番ポート宛てに送受信されるL2TPパケットだけを暗号化する形になります。


  18. SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。


  19. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。


    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

  20. L2TPパケットを暗号化するIPsecポリシー「L2」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスを、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LAD、LPORT、RAD、LPORTで対象となるパケットの条件を指定します。


  21. IPsecモジュールを有効にします。


  22. ISAKMPモジュールを有効にします。


  23. Security Officerレベルのユーザーでログインしなおします。


  24. 動作モードをセキュリティーモードに切り替えます。


    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。

  25. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。


メモ

■ セキュリティーモードに移行すると、Telnet経由でルーターにログインすることができなくなります。セキュリティーモードでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。

たとえば、ネットワーク192.168.10.0/24上のすべてのホストからTelnetログインを許可する場合は、次のようにします。

まとめ

ルーターA(LNS)のコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 OVER=eth0-ANY USER=user@isp PASSWORD=isppasswd LQR=OFF BAP=OFF ECHO=ON
ENABLE IP
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0
ADD IP INT=ppp0 IP=200.100.10.1 MASK=255.255.255.255
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0
ADD USER=AAA PASSWORD=PasswordA LOGIN=NO
ADD USER=BBB PASSWORD=PasswordB LOGIN=NO
CREATE PPP TEMPLATE=1 IPPOOL=POOL AUTHENTICATION=EITHER
CREATE IP POOL=POOL IP=192.168.10.20-192.168.10.30
ENABLE L2TP
ENABLE L2TP SERVER=LNS
ADD L2TP PASSWORD=l2tpA
ADD L2TP IP=200.100.20.1 PPPTEMPLATE=1
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
CREATE ISAKMP POLICY="i" PEER=200.100.20.1 KEY=1 SENDN=TRUE
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1"
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY="L2" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.20.1
SET IPSEC POLICY="L2" LAD=200.100.10.1 LPORT=1701 RAD=200.100.20.1 RPORT=1701 TRANSPORT=UDP
ENABLE IPSEC
ENABLE ISAKMP
# LOGIN secoff
# ENABLE SYSTEM SECURITY_MODE




CentreCOM AR450S 設定例集 2.9 #105

(C) 2003 - 2009 アライドテレシスホールディングス株式会社

PN: J613-M3069-04 Rev.L

<前頁 次頁> << >> 目次 (回線別 (詳細)機能別 (詳細)番号順 (詳細)