<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR550S 設定例集 2.9 #183

PPPoE接続環境における2点間IPsec VPN(両側アドレス固定、SSG550対向)


PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー(以下 ISP)から固定IPアドレスが割り当てられるルーター(ルーターA:ARルーター)と固定IPアドレスが割り当てられているルーター(ルーターB:SSG550)をIPsec(ESP)トンネルで接続します。

ここでは、次のようなネットワーク構成を例に解説します。

ISPからは、次の情報が提供されているものとします。

表 1:ISPの情報
 
ルーターA
ルーターB
PPPユーザー名 user2@example user1@example
PPPパスワード password password
IPアドレス 200.100.20.1/32(固定) 10.10.10.1/32(固定)
DNSサーバー 接続時に通知される 接続時に通知される

ルーターA/Bは以下のように設定するものとします。

表 2:ルーターA/Bの設定
 
ルーターA
ルーターB
WAN側IPアドレス 200.100.20.1/32 10.10.10.1/32
LAN側IPアドレス 192.168.20.1/24 192.168.10.1/24
VPN接続設定
ローカルセキュアグループ 192.168.20.0/24 192.168.10.0/24
リモートセキュアグループ 192.168.10.0/24 192.168.20.0/24
ローカルゲートウェイ ppp0 ethernet0/2(pppoe)
リモートゲートウェイ 10.10.10.1 200.100.20.1
キープアライブ 無効
IKE設定
交換モード メイン
事前共有鍵 secret
暗号化認証アルゴリズム 3DES & SHA1-DH2
ローカルID/リモートID なし/なし なし/なし
有効期限 1時間 1時間
IPsec設定
暗号化認証アルゴリズム ESP 3DES HMAC SHA1
PFSグループ なし


本構成における設定のポイントは、次の通りです。

ルーターA(ARルーター)の設定

  1. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。

    Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。

  2. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の 「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  3. ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


  4. IPモジュールを有効にします。


  5. LAN側(vlan1)インターフェースにIPアドレスを設定します。


  6. WAN側(ppp0)インターフェースにISPから割り当てられたIPアドレスを設定します。


  7. デフォルトルートを設定します。


  8. ファイアウォール機能を有効にします。


  9. ファイアウォールの動作を規定するファイアウォールポリシーを作成します。


  10. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。

    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

  11. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。


  12. ファイアウォールポリシーの適用対象となるインターフェースを指定します。
    LAN側インターフェース(vlan1)をPRIVATE(内部)に設定します。


    WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。


  13. LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。


  14. 相手ルーターから受信したIKEパケット(UDP500番)がファイアウォールを通過できるように設定します。


  15. ルーターB宛のパケット(192.168.20.0/24→192.168.10.0/24)をNATの対象から除外するよう設定します。


  16. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.20.1〜192.168.20.254、つまり、自拠点宛ならばNATの対象外とする」の意味になります。


  17. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターBと同じに設定)。


    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。

    Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。

  18. ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した 事前共有鍵(鍵番号「1」)を、PEERにはルーターBのIPアドレスを指定します。


  19. ルーターBの設定に合わせ、暗号化方式「3DESOUTER」、認証方式「SHA」、ISAKMP SAの有効期限「3600」秒(1時間)、鍵交換時に用いるDiffie-Hellman(Oakley)グループ「2」(1024ビットMODP)に設定します。


    Note - ルーターBとのIPsec通信を監視し通信障害を検知したい場合は、DPDMODE=BOTHパラメーターを追加してIPsec DPD機能を有効にしてください。

  20. IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「3DESOUTER」、認証方式「SHA」に設定します。


  21. SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定し、IPsec SAの有効期限を「3600」秒(1時間)に設定します。


  22. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。

    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

  23. ルーターBとのIPsec通信に使用するIPsecポリシー「vpn」をPPPインターフェース「0」に対して作成します。
    鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。


  24. IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。


  25. インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。

    Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。

  26. IPsecモジュールを有効にします。


  27. ISAKMPモジュールを有効にします。


  28. Security Officerレベルのユーザーでログインしなおします。


  29. 動作モードをセキュリティーモードに切り替えます。

    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。

  30. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

ルーターB(SSG550)の設定

  1. あらかじめ192.168.1.0/24のサブネット内のIPアドレスを設定したコンピューターを接続して「http://192.168.1.1」をWebブラウザーで開くと、「Rapid Deployment Wizard」メニュー画面が表示されます。
    この設定例ではWizardを使用しませんので、[No, skip the Wizard and go straight to the WebUI management session instead.]を選択して[Next >>]をクリックします。

  2. LOGIN画面が表示されます。ユーザー名とパスワードを入力して[Login]をクリックします。
    初期状態でのユーザー名、パスワードは「netscreen」「netscreen」です。

  3. Main画面が表示されます。

  4. まず、LAN インターフェースの設定を行います。
    画面左のメニューから[Network]-[Interfaces]を選択し、インターフェースリスト画面が表示されたら、「ethernet0/0」の「Edit」をクリックします。


  5. インターフェース設定画面が表示されます。
    以下のようにLAN側インターフェースの設定を変更し、[OK]をクリックします。

    [IP Address/Netmask] 192.168.10.1/24
    [Manage IP] 初期設定を削除し、空欄に変更

    Note - OKを押すと機器のIPアドレスが変更されるため、設定画面は更新されません。

  6. コンピューターのIPアドレス設定を「192.168.10.0/24」内のIPアドレスに変更した後、「http://192.168.10.1」をWebブラウザーで開き、再度Main画面を表示させます。
    Note - ルーターBのDHCPサーバー機能は無効になっていますので、コンピューターの設定はご自身で変更してください。

  7. 次に、WANインターフェースの設定を行います。
    画面左のメニューから[Network]-[Interface]を選択し、インターフェースリスト画面が表示されたら、「ethernet0/2」の「Edit」をクリックします。


  8. インターフェース編集画面が表示されます。
    以下のようにWAN側インターフェースの設定を変更したら、[OK]をクリックします。

    [IP Address/Netmask] 10.10.10.1/32
    [Manageable] 無効(チェックなし)
    [Manage IP] 初期設定を削除し、空欄に変更


  9. 画面左のメニューから[Network]-[PPP]-[PPPoE Profile]を選択し、PPPoEリストが表示されたら画面右上の[New]をクリックします。


  10. PPPoE Profile編集画面が表示されます。
    以下のようにPPPoEの設定を変更したら、[OK]をクリックします。

    [PPPoE Instance] ISP-B(任意の名前)
    [Bound to Interface] ethernet0/2
    [Username] user1@example
    [Password] password
    [Auto-Connect]を選択し、[Auto-Connect右の入力ボックス]に「10」を入力
    [Static IP] 有効(チェックあり)
    [Automatic Update of DHCP Servers' DNS Parameters] 無効(チェックなし)
    [PPP lcp Echo Retries] 5
    [PPP lcp Echo Timeout] 30


  11. 次に、IPsecで使用するトンネルインターフェース用のゾーンを作成します。
    画面左のメニューから[Network]-[Zones]を選択して、ゾーンリスト画面が表示されたら画面右上の[New]をクリックします。


  12. ゾーン設定編集画面が表示されます。
    以下のようにゾーンの設定を変更したら、[OK]をクリックします。

    [Zone Name] VPN-ZONE
    [Zone Type] Layer 3


  13. 次に、IPsecで使用するトンネルインターフェースを作成します。
    画面左のメニューから[Network]-[Interfaces]を選択し、インターフェースリスト画面が表示されたら、画面右上のリストから[Tunnel IF]を選択して[New]をクリックします。


  14. インターフェース設定画面が表示されます。
    以下のようにトンネルインターフェースの設定を変更したら、[OK]をクリックします。

    [Zone (VR)] VPN-ZONE (trust-vr)
    [Unnumbered] を選択し、[Interface]で「ethernet0/2 (trust-vr)」を選択


  15. 次に、ルーターAと通信するためのIPsec Phase 1 Proposal設定を作成します。
    画面左のメニューから[VPNs]-[Autokey Advanced]-[P1 Proposal]を選択して、P1 Proposalリスト画面が表示されたら、画面右上の[New]をクリックします。


  16. P1 Proposal設定画面が表示されます。
    以下のようにPhase1 Proposalの設定を変更したら、[OK]をクリックします。

    [Name] ar-p1
    [Lifetime] 1 Hours


  17. 次に、ルーターAと通信するためのIPsec Phase 2 Proposal設定を作成します。
    画面左のメニューから[VPNs]-[Autokey Advanced]-[P2 Proposal]を選択して、P2 Proposalリスト画面が表示されたら、画面右上の [New]をクリックします。


  18. P2 Proposal設定画面が表示されます。
    以下のようにPhase2 Proposalの設定を変更したら、[OK]をクリックします。

    [Name] ar-p2
    [Perfect Forward Secrecy] NO-PFS
    [Encapsulation] Encryption
    [Encapsulation Algorithm] 3DES-CBC
    [Authentication Algorithm] SHA-1
    [Lifetime] 1 Hours


  19. 次に、IPsecの接続先の設定を作成します。
    画面左のメニューから[VPNs]-[Autokey Advanced]-[Gateway]を選択して、Gatewayリスト画面が表示されたら、画面右上の[New]をクリックします。


  20. Gateway設定画面が表示されます。
    以下のように設定を変更したら、さらに詳細設定を行うために[Advanced]をクリックします。

    [Gateway Name] ar-gw
    [Remote Gateway]-[Static IP Address] を選択し、[IP Address/Hostname]に「200.100.20.1」を入力


  21. 詳細設定が表示されます。
    以下のように設定を変更したら、画面下部の[Return]をクリックします。

    [Preshared Key] secret
    [Outgoing Interface] ethernet0/2
    [Security Level]で「Custom」を選択し、[Phase 1 Proposal]で「ar-p1」のみを選択、他の3つは「None」
    [Mode (Initiator)] Main (ID Protection)

    Note - ルーターAとのIPsec通信を監視し通信障害を検知したい場合は、以下の設定を追加で変更してください。
    [Peer Status Detection]で「DPD」を選択
    [Interval] 20
    [Always Send]を選択


  22. 手順20.の画面に戻るので、[OK]をクリックします。


  23. 次に、IPsecトンネルの設定を行います。
    画面左のメニューから[VPNs]-[Autokey IKE]を選択して以下の画面が表示されたら、画面右上の [New]をクリックします。


  24. VPN設定編集画面が表示されます。
    以下のように設定を変更したら、さらに詳細設定を行うために[Advanced]をクリックします。

    [VPN Name] ar-vpn
    [Remote Gateway]−[Predefined] 「ar-gw」を選択


  25. 詳細設定が表示されます。
    以下のように設定を変更したら、画面下部の[Return]をクリックします。

    [Security Level]で「Custom」を選択し、[Phase 2 Proposal]で「ar-p2」のみを選択、他の3つは「None」
    [Bind-to]-[Tunnel Interface] tunnel.1


  26. 手順24.の画面に戻るので、[OK]をクリックします。


  27. IPsecトンネルリスト画面に戻ると、先ほど作成した「ar-vpn」が表示されるので「Proxy ID」をクリックします。


  28. Proxy ID設定編集画面が表示されます。
    以下のように設定を変更したら、[New]をクリックして追加します。

    [Local IP/Netmask] 192.168.10.0/24
    [Remote IP/Netmask] 192.168.20.0/24
    [Service] ANY


  29. Proxy IDが追加されたら「Cancel」をクリックします。

  30. 次に、ルーティングについての設定を行います。
    画面左のメニューから[Network]-[Routing]-[Destination]を選択して、Routing Entries画面が表示されたら、画面右上の リストから[trust-vr]を選択して[New]をクリックします。


  31. Routing設定画面が表示されます。
    以下のように設定を変更したら、[OK]をクリックします。

    [IP Address/Netmask] 192.168.20.0/24
    [Next Hop]で「Gateway」を選択し、[Interface]で「tunnel.1」を選択


  32. 次に、ファイアウォールポリシーの設定を行います。
    画面左のメニューから[Policy]-[Policies]を選択して、ポリシーリスト画面を表示します。
    まず、LAN→IPsecトンネル方向の設定を行うため、以下のようにFrom/ToのZoneを選択して[New]をクリックします。

    [From] Trust
    [To] VPN-ZONE


  33. Policy設定編集画面が表示されるので、[OK]をクリックします。
    ここでは「すべて許可」のルールを作成するので、特に設定を変更する必要はありません。


  34. ポリシーリスト画面が再度表示されるので、引き続きIPsec→LAN方向のファイアウォールポリシーの設定を行います。
    以下のようにFrom/ToのZoneを選択して[New]をクリックします。

    [From] VPN-ZONE
    [To] Trust


  35. Policy設定編集画面が表示されるので、[OK]をクリックします。
    ここでも「すべて許可」のルールを作成するので、特に設定を変更する必要はありません。


  36. ポリシーリスト画面が再度表示されるので、引き続きIPsec→LAN方向のファイアウォールポリシーの設定を行います。
    以下のようにFrom/ToのZoneを選択して[New]をクリックします。

    [From] Trust
    [To] Untrust


  37. Policy設定編集画面が表示されるので、[OK]をクリックします。
    ここでも「すべて許可」のルールを作成するので、特に設定を変更する必要はありません。


  38. ポリシーリスト画面が再度表示されます(手順32.〜37.で設定したポリシーが再度表示されます)。
    なお、設定情報は、これまでの操作を行なった際に自動的に更新されていますので、保存操作は不要です。


メモ

■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。
たとえば、ネットワーク192.168.10.0/24、192.168.20.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。


■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。

■ セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10〜3600(秒)を指定します。デフォルトは60秒です。

まとめ

ルーターA(ARルーター)のコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 OVER=eth0-ANY USER=user2@example PASSWORD=password LQR=OFF BAP=OFF ECHO=ON
ENABLE IP
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0
ADD IP INT=ppp0 IP=200.100.20.1 MASK=255.255.255.255
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=PPP0 PROT=UDP PORT=500 IP=200.100.20.1 GBLIP=200.100.20.1 GBLPORT=500
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.20.1-192.168.20.254
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
CREATE ISAKMP POLICY="i" PEER=10.10.10.1 KEY=1 SENDN=TRUE
SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA EXPIRYS=3600 GROUP=2
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" EXPIRYS=3600
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.10.10.1
SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT
ENABLE IPSEC
ENABLE ISAKMP
# LOGIN secoff
# ENABLE SYSTEM SECURITY_MODE





CentreCOM AR550S 設定例集 2.9 #183

(C) 2005-2014 アライドテレシスホールディングス株式会社

PN: J613-M0710-04 Rev.P

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)