<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR550S 設定例集 2.9 #198

リモートアクセス型L2TP+IPsec VPNとResponder Rekey Extensionによる死活監視(クライアントはWindows XP/Vista/7、iPhone/iPadおよびAndroid(TM)端末)+ダイナミックDNSサービス


Windows XP、Windows Vista、Windows 7標準のVPNクライアント、または、iPhone、iPadや、AndroidTM OSを搭載したスマートフォン(以下、Android端末)標準のVPNクライアントから、インターネット経由で本製品のLAN側プライベートネットワークにアクセスさせるリモートアクセス型VPNの設定例です。Android端末などのISAKMP/IPsec Keep Alive機能を持たない機器との接続のためにResponder Rekey Extension機能を有効にし、IPsec SAの通信の有無を監視して通信がなくなるまでISAKMP SAの保持時間を延長します。さらに、ダイナミックDNSサービスを利用し、VPNクライアントの接続先をホスト名(FQDN)指定して、動的にIPアドレスが割り当てられるサイトに対してVPN接続できるようにします。

また、クライアントの仕様にあわせて、L2TPとIPsecトランスポートモードを併用するよう設定します。なお、本製品はPPPoEでISPに接続しており、グローバルアドレス1個を動的に割り当てられているものと仮定します。

Note - iPhone、iPadはApple Inc.の商標です。iPhoneの商標は、アイホン株式会社のライセンスに基づき使用されています。
Note - AndroidはGoogle Inc.の商標または登録商標です。
Note - 本設定例は、NAT-Traversalを利用したリモートアクセス型VPNの一構成例であり、Windows XP、Windows Vista、Windows 7、iPhone、iPad、Android端末との接続性を保証するものではありません。
Note - Windows XP、Windows Vista、Windows 7、および、iPhone、iPad、Android端末側の詳細な設定方法については、各製品のマニュアルなどをご覧ください。
Note - 検証済みダイナミックDNSサービスは弊社ホームページをご確認ください。
Note - ダイナミックDNSサービスに障害が発生した場合、IPsec VPNの確立が行えない場合があります。信頼性が必要とされるネットワークでは、固定IPアドレス契約の利用をご検討ください。

ISPからは次の情報を提供されているものとします。

表 1:ISPから提供された情報
PPPユーザー名 user@isp
PPPパスワード isppasswd
PPPoEサービス名 指定なし
IPアドレス 動的割り当て
接続形態 端末型(アドレス1個)

ルーター側は、ファイアウォールとダイナミックENATを使用した通常の端末型設定(アドレス1個不定)です。これにL2TPとIPsecの設定を加えて、VPNクライアントからの接続を受け入れられるように設定します。なお、この例ではVPNクライアントのアドレスが不定なため、常にクライアントからルーターに接続する形となります。次に、ルーターの基本設定をまとめます。

表 2:ルーターの基本設定
WAN側物理インターフェース eth0
WAN側IPアドレス 動的割り当て(ppp0)
LAN側IPアドレス 192.168.10.1/24(vlan1)
L2TP終端アドレス 不定(test.dyndns.org) ←→ 不定
L2TP発着優先 着呼優先(着呼専用)
L2TPサーバーモード LAC/LNS兼用(BOTH)
L2TPサーバーパスワード なし

表 3:ダイナミックDNSサーバー情報
サーバーのFQDN members.dyndns.org
使用TCPポート番号 80

ルーターで使用するホスト名やサーバーアクセス時のアカウントは、あらかじめダイナミックDNSサービスにて取得してあるものとします。

表 4:ダイナミックDNSクライアント情報
サーバー接続用ユーザー名 test
サーバー接続用パスワード test
ホストタイプ Dynamic
ホスト名 test.dyndns.org
IPアドレスを登録するインターフェース ppp0

接続してきたVPNクライアントには、IPアドレスプール「VPNC」(192.168.8.1〜192.168.8.10)から空きアドレスを動的に割り当てます。また、クライアントのPPPユーザー名とパスワードは次のとおりとします。

表 5:VPNクライアント用のPPPユーザー名とパスワード
 
ユーザー名
パスワード
登録ユーザー(その1) AAA PasswordA
登録ユーザー(その2) BBB PasswordB
登録ユーザー(その3) CCC PasswordC
登録ユーザー(その4) DDD PasswordD

ルーター・VPNクライアント間のL2TPトンネルは、IPsecトランスポートモードで暗号化します。そのための設定は次のとおりです。トランスポートモードのESPを使って、L2TPパケットだけを暗号化します。Responder Rekey Extension機能を使用し、VPNクライアントの死活監視を行います。

表 6:IKEフェーズ1(ISAKMP SAのネゴシエーション)
認証方式 事前共有鍵(pre-shared key)
IKE交換モード Mainモード
事前共有鍵 secret(文字列)
Oakleyグループ 2
ISAKMPメッセージの暗号化方式 3DES
ISAKMPメッセージの認証方式 SHA1(デフォルト)
ISAKMP SAの有効期限(時間) 600秒(10分)
Responder Rekey Extension機能 有効
起動時のISAKMPネゴシエーション 行わない
NAT-Traversalのネゴシエーション 行う

表 7:IKEフェーズ2(IPsec SAのネゴシエーション)
SAモード トランスポートモード
セキュリティープロトコル ESP(暗号+認証)
暗号化方式 3DES、AES128またはAES256
認証方式 SHA1
IPsec SAの有効期限(時間) 28800秒(8時間)(デフォルト)
IPsec SAの有効期限(KByte数) なし(デフォルト)
IPsecの適用対象IPアドレス 不定:1701/udp ←→ 不定
インターネットとの平文通信 行う


ルーターの設定


  1. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。

    Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。

  2. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  3. ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


  4. IPモジュールを有効にします。


  5. LAN側(vlan1)インターフェースにIPアドレスを設定します。


  6. IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。


  7. WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません。


  8. デフォルトルートを設定します。


  9. 暗号化されたL2TPトンネル経由でPPP接続してくるVPNクライアントを認証するためのユーザー(PPPユーザー)を登録します。


  10. IPアドレスプール「VPNC」を作成し、接続してきたVPNクライアントに割り当てるアドレスの範囲を指定します。


  11. L2TP経由でVPNクライアントがPPP接続してきたときに動的に作成するPPPインターフェースのテンプレート「1」を作成します。接続時の認証にはCHAPを使い、CHAPの再認証はOFFにし、VJ圧縮を有効にします。また、アドレス割り当てにはIPアドレスプール「VPNC」を使うようにします。


  12. L2TPモジュールを有効にします。


  13. L2TPサーバーをBOTHモードで起動します。


  14. L2TP経由でVPNクライアントが接続してきたときに使用するPPPテンプレートを指定します。ここではクライアントのアドレスが不定なので、どのアドレスからでも接続を受け入れるように設定します。


  15. ダイナミックDNSクライアントの機能を有効にします。


  16. ダイナミックDNSサーバーに登録するホスト名を設定します。


  17. ダイナミックDNSサーバーへアクセスするためのアカウント情報を設定します。


  18. 登録したいIPアドレスのインターフェースをppp0に指定します。


  19. ファイアウォール機能を有効にします。


  20. ファイアウォールの動作を規定するファイアウォールポリシーを作成します。


  21. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。

    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

  22. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。


  23. VPNクライアントがL2TP経由で接続してきたときに動的に作成されるPPPインターフェース用のファイアウォール設定を行います。最初に、ダイナミックインターフェーステンプレート「vpnif」を作成します。名前は自由です。


  24. 次に、ダイナミックインターフェーステンプレート「vpnif」の対象ユーザーを指定します。USERパラメーターで指定したユーザーが接続してきたときに動的作成されるPPPインターフェースは、ADD FIREWALL POLICY INTERFACEコマンドで「DYN-templatename」として参照できます(templatenameはテンプレート名)。ここでは対象ユーザーとして「ANY」を指定しています。これは、PPPの認証をパスしたすべてのユーザーが対象であることを示します。


  25. ファイアウォールポリシーの適用対象となるインターフェースを指定します。
    LAN側インターフェース(vlan1)をPRIVATE(内部)に設定します。

    WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。

    L2TP経由でユーザーが接続してきたときに動的作成されるPPPインターフェース(vpnif)をPRIVATE(内部)に設定します。


  26. LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。


  27. VPNクライアントがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。


  28. VPNクライアントから受信したIKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)がファイアウォールを通過できるように設定します。ISPとの接続が確立するまで、IPアドレスは確定しないため、GBLIP、IPには「0.0.0.0」を設定します。


  29. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットがUDPで終点ポートが1701番(L2TPパケット)ならば許可する」の意味になります。


  30. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(VPNクライアントにも同じ値を設定)。

    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。

  31. VPNクライアントからのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。
    ISAKMPメッセージの暗号化には「3DES」、認証には「SHA」アルゴリズム、Oakleyグループは「2」を使用し、VPNクライアントとの認証には前の手順で作成した事前共有鍵(鍵番号「1」)を使います。さらに、クライアントのIPアドレスが不定なためPEERにANYを指定し、NAT-Traversalを有効にしています。


  32. ISAKMP SAの有効期限を600秒(10分)に設定しResponder Rekey Extension機能を有効にします。

    Note - ISAKMP SAの有効期限がIPsec SAの有効期限より短くなければ、Responder Rekey Extension機能は動作しません。

  33. IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式 「AES256bit」、認証方式「SHA」に設定します。この例ではL2TPによってトンネリングを行うため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。UDP1701番ポートを使って送受信されるL2TPパケットだけを暗号化する形になります。


  34. 同様にIPsec通信の仕様を定義するSAスペック「2」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式 「AES128bit」、認証方式「SHA」に設定します。


  35. 同様にIPsec通信の仕様を定義するSAスペック「3」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式 「3DES」、認証方式「SHA」に設定します。


  36. SAスペック「1」、「2」、「3」からなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。


  37. IKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)を素通しさせるIPsecポリシー「isa」「nat」を作成します。

    Note - NAT-Traversalを使用する場合は、必ずIKEとNAT-Tのパケットが通過できるような設定を行ってください。
    Note - 「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

  38. L2TPパケットを暗号化するIPsecポリシー「L2」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を指定します。VPNクライアントのIPアドレスが不定なため、PEERにはISAKMPの認証をパスした相手という意味の「DYNAMIC」を、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LPORTとTRANSPORTで対象となるパケットの条件(ここではL2TPパケット)を指定します。


  39. インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。

    Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。

  40. IPsecモジュールを有効にします。


  41. ISAKMPモジュールを有効にします。


  42. Security Officerレベルのユーザーでログインしなおします。


  43. 動作モードをセキュリティーモードに切り替えます。

    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。

  44. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。


メモ

■ 参考として、VPNクライアント(Windows XP)の設定手順について簡単に述べます。
ここでは、すでにクライアントPC側でインターネットアクセスの設定が完了しており、IPを使ってルーターに到達可能な状態にあると仮定しています。
本例ではNAT-Tを使用するため、ルーターまでの経路上にNAT機器が存在していてもかまいません。
なお、クライアント側の詳細な設定方法については、Windows XPのマニュアルなどをご覧ください。
Note - 本設定例は、NAT-Traversalを利用したリモートアクセス型IPsec VPNの一構成例であり、Windows XPとの接続性を保証するものではありません。
Note - 以下に述べる手順は一例です。サービスパックや修正プログラムの適用状況、環境設定の仕方などによっては、以下の手順で接続できない可能性もあります(本例はサービスパック2(SP2)を適用した環境にもとづいています)。詳しくは、Windows XPのマニュアルなどをご参照ください。

  1. 「コントロールパネル」の「ネットワーク接続」を開き、「新しい接続ウィザード」をダブルクリックします。

  2. 「新しい接続ウィザード」ダイアログが開くので「次へ」をクリックします。


  3. 「職場のネットワークへ接続する」を選択して「次へ」をクリックします。


  4. 「仮想プライベート ネットワーク接続」を選択して「次へ」をクリックします。


  5. 「会社名」に任意の名前を入力して「次へ」をクリックします。ここでは例として「OfficeAR」と入力しています。


  6. 「ホスト名またはIPアドレス」に接続先IPsecルーターのIPアドレスを入力して「次へ」をクリックします。本例では、ルーターのWAN側のホスト名である「test.dyndns.org」になります。


  7. 「完了」をクリックします。


  8. 「XXXX へ接続」ダイアログが開くので「プロパティ」をクリックします(XXXX は手順5で入力した「会社名」)。


  9. 「セキュリティ」タブを開き、「IPsec設定」をクリックします。


  10. 「IPsec設定」ダイアログが開くので、「認証に事前共有キーを使う」にチェックを入れ、「キー」にルーター上で設定した事前共有鍵の文字列を入力して「OK」をクリックします。

    Note - 本設定例において、事前共有鍵は全クライアント共通となります。


  11. 「ネットワーク」タブを開き、「VPNの種類」から「L2TP IPsec VPN」を選択して、「OK」をクリックします。

    Note - VPNクライアント側でTCP/IP以外のプロトコルを利用するよう設定している場合、VPN接続時に「XXXは使用できませんがそのまま接続しますか」(XXXはプロトコル名)といったメッセージが表示される場合があります。これは、接続先のルーターが該当プロトコルをサポートしていないという意味であり、そのまま接続すればTCP/IPの通信は可能です。このようなメッセージが出ないようにするには、「ネットワーク」タブの「この接続は次の項目を使用します」で該当プロトコルのチェックをはずしてください。


  12. 以上で設定は完了です。

    「XXXX へ接続」ダイアログに戻ったら、「ユーザー名」と「パスワード」にルーター上で設定したPPPユーザー名とパスワードを入力して、「接続」をクリックすると、接続が開始されます。


■ 参考として、VPNクライアント(Windows Vista)の設定手順について簡単に述べます。
ここでは、すでにクライアントPC側でインターネットアクセスの設定が完了しており、IPを使ってルーターに到達可能な状態にあると仮定しています。
本例ではNAT-Tを使用するため、ルーターまでの経路上にNAT機器が存在していてもかまいません。
なお、クライアント側の詳細な設定方法については、Windows Vistaのマニュアルなどをご覧ください。
Note - 本設定例は、NAT-Traversalを利用したリモートアクセス型IPsec VPNの一構成例であり、Windows Vistaとの接続性を保証するものではありません。
Note - 以下に述べる手順は一例です。サービスパックや修正プログラムの適用状況、環境設定の仕方などによっては、以下の手順で接続できない可能性もあります(本例はWindows Vista Business Editionのサービスパック1(SP1)を適用した環境にもとづいています)。詳しくは、Windows Vistaのマニュアルなどをご参照ください。

  1. 「コントロールパネル」の「ネットワークと共有センター」を開き、「接続またはネットワークのセットアップ」をクリックします。


  2. 「接続またはネットワークのセットアップ」ダイアログが開くので「職場に接続します」を選択して「次へ」をクリックします。


  3. 「インターネット接続(VPN)を使用します(I)」を選択します。


  4. 「インターネット接続は後でセットアップします(I)」を選択します。

    Note - PCから直接インターネットに接続する場合は「インターネット接続をセットアップします(S)」を選択し、ご使用環境に適した設定を行ってください。

  5. 「インターネットアドレス(I)」に接続先IPsecルーターのIPアドレスと「接続先の名前(E)」を入力し「次へ」をクリックします。本例では、「インターネットアドレス(I)」はルーターのWAN側のホスト名である「test.dyndns.org」になります。接続先名は例として「OfficeAR」と入力しています。


  6. 「ユーザー名(U)」、「パスワード(P)」にルーター上で設定したPPPユーザー名とパスワードを入力し「作成」をクリックします。


  7. 「閉じる」をクリックします。


  8. 「コントロールパネル」の「ネットワークと共有センター」を開き、「ネットワークに接続」をクリックします。


  9. 「ネットワークに接続」ダイアログが立ち上がりますので、手順5の接続名で指定した接続を選択します。


  10. 「XXXX へ接続」ダイアログが開くので「プロパティ」をクリックします(XXXX は手順5で入力した「接続先の名前」)。


  11. 「ネットワーク」タブを開き、「IPsec設定」をクリックします。


  12. 「IPsec設定」ダイアログが開くので、「認証に事前共有キーを使う(P)」にチェックを入れ、「キー」にルーター上で設定した事前共有鍵の文字列を入力して「OK」をクリックします。

    Note - 本設定例において、事前共有鍵は全クライアント共通となります。

  13. 「VPNの種類」から「L2TP IPsec VPN」を選択して、「OK」をクリックします。


  14. 以上で設定は完了です。
    「XXXX へ接続」ダイアログに戻ったら、「ユーザー名」と「パスワード」にルーター上で設定したPPPユーザー名とパスワードを入力して、「接続」をクリックすると、接続が開始されます。


■ 参考として、VPNクライアント(Windows 7)の設定手順について簡単に述べます。
ここでは、すでにクライアントPC側でインターネットアクセスの設定が完了しており、IPを使ってルーターに到達可能な状態にあると仮定しています。
本例ではNAT-Tを使用するため、ルーターまでの経路上にNAT機器が存在していてもかまいません。
なお、クライアント側の詳細な設定方法については、Windows 7のマニュアルなどをご覧ください。
Note - 本設定例は、NAT-Traversalを利用したリモートアクセス型IPsec VPNの一構成例であり、Windows 7との接続性を保証するものではありません。
Note - 以下に述べる手順は一例です。サービスパックや修正プログラムの適用状況、環境設定の仕方などによっては、以下の手順で接続できない可能性もあります。詳しくは、Windows 7のマニュアルなどをご参照ください。

  1. 「コントロールパネル」の「ネットワークと共有センター」を開き、「新しい接続またはネットワークのセットアップ」をクリックします。


  2. 「接続またはネットワークのセットアップ」ダイアログが開くので「職場に接続します」を選択して「次へ」をクリックします。


  3. 「インターネット接続(VPN)を使用します(I)」を選択します。


  4. 「インターネット接続は後でセットアップします(I)」を選択します。


    Note - PCから直接インターネットに接続する場合は「インターネット接続をセットアップします(S)」を選択し、ご使用環境に適した設定を行ってください。

  5. 「インターネットアドレス(I)」に接続先IPsecルーターのIPアドレスと「接続先の名前(E)」を入力し「次へ」をクリックします。本例では、「インターネットアドレス(I)」はルーターのWAN側のホスト名である「test.dyndns.org」になります。接続先名は例として「OfficeAR」と入力しています。


  6. 「ユーザー名(U)」、「パスワード(P)」にルーター上で設定したPPPユーザー名とパスワードを入力し「作成」をクリックします。


  7. 「閉じる」をクリックします。


  8. 「コントロールパネル」の「ネットワークと共有センター」を開き、「アクティブなネットワークの表示」の「接続または切断」をクリックします。


  9. 「現在の接続先」ダイアログが立ち上がりますので、手順5の接続名で指定した接続を選択しダブルクリックします。


  10. 「XXXX へ接続」ダイアログが開くので「プロパティ」をクリックします(XXXX は手順5で入力した「接続先の名前」)。


  11. 「セキュリティ」タブを開き、「詳細設定(S)」をクリックします。


  12. 「詳細プロパティ」ダイアログが開くので、「L2TP」タグの「認証に事前共有キーを使う(P)」にチェックを入れ、「キー」にルーター上で設定した事前共有鍵の文字列を入力して「OK」をクリックします。


    Note - 本設定例において、事前共有鍵は全クライアント共通となります。

  13. 「VPNの種類」から「IPsecを利用したレイヤー2 トンネリング プロトコル (L2TP/IPsec)」を選択して、「OK」をクリックします。


  14. 以上で設定は完了です。
    「XXXX へ接続」ダイアログに戻ったら、「ユーザー名」と「パスワード」にルーター上で設定したPPPユーザー名とパスワードを入力して、「接続」をクリックすると、接続が開始されます。

    なお、接続時に「ネットワークにコンピューターを登録中...」と表示され接続完了までに時間がかかる場合は、手順10の「プロパティ」から「ネットワーク」タブの「この接続は次の項目を使用します」のリスト内にある「インターネット プロトコル バージョン 6 (TCP/IPv6)」のチェックをはずしてください。

■ 参考として、VPNクライアント(iPhone)の設定手順について簡単に述べます。なお、クライアント側の詳細な設定方法については、iPhoneのマニュアルなどをご覧ください。
Note - 本設定例は、リモートアクセス型IPsec VPNの一構成例であり、iPhoneとの接続性を保証するものではありません。
Note - VPNクライアントとしてiPadを使用する場合でも設定手順は同様です。
Note - 以下に述べる手順は一例です。OSのバージョンや、サービスパックや修正プログラムの適用状況、環境設定の仕方などによっては、以下の手順で接続できない可能性もあります(本例はiOS 4.1を使用した環境にもとづいています)。詳しくは、iPhoneのマニュアルなどをご参照ください。
  1. ホーム画面より「設定」をタップします。


  2. 設定メニューより「一般」をタップします。


  3. 一般メニューより「ネットワーク」をタップします。


  4. ネットワークメニューより「VPN」をタップします。


  5. VPNメニューより「VPN構成を追加...」をタップします。


  6. L2TPを選択し、各項目を以下のように設定します。

    表 8:iPhoneのVPN設定項目
    説明 AR_VPN(任意の名称)
    サーバー test.dyndns.org(ダイナミックDNSサービスで取得したドメイン)
    アカウント AAA
    RSA SecurID オフ
    パスワード PasswordA
    シークレット secret
    すべての信号を送信 オン


  7. 「プロキシ」グループから「オフ」を選択し、画面右上の「保存」をタップします。


  8. VPN構成「AR_VPN」が登録されます。


  9. 「VPN」を選択し、VPNをオンにします。


  10. 「状況」に接続中と表示されれば接続に成功です。


■ 参考として、VPNクライアント(Android端末)の設定手順について、Sony Ericsson Xperia(TM) SO-01Bを例に簡単に述べます。なお、クライアント側の詳細な設定方法については、Xperia(TM)のマニュアルなどをご覧ください。
Note - Xperia(TM)は、Sony Ericsson Mobile Communications ABの登録商標です。
Note - 本設定例は、リモートアクセス型IPsec VPNの一構成例であり、Xperia(TM)との接続性を保証するものではありません。
Note - 以下に述べる手順は一例です。OSのバージョンや、サービスパックや修正プログラムの適用状況、環境設定の仕方などによっては、以下の手順で接続できない可能性もあります(本例はAndroid 2.1 Update1を使用した環境にもとづいています)。詳しくは、Xperia(TM)のマニュアルなどをご参照ください。
  1. メニューボタンを押し設定メニューから「設定」をタップします。


  2. 「設定」メニューより「無線とネットワーク」をタップします。


  3. 「ワイヤレスとネットワークの設定」メニューより「VPN設定」をタップします。


  4. 「VPN設定」メニューより「VPNの追加」をタップします。


  5. 「VPNの追加」メニューより「L2TP/IPSec PSK VPNを追加」をタップします。

    Note - 認証ストレージのパスワードの入力を求められる場合があります。

  6. 「L2TP/IPSec PSK VPNを追加」メニューにて、各項目を以下のように設定します。

    表 9:Xperia(TM) SO-01BのVPN設定項目
    VPN名 AR-VPN(任意の名称)
    VPNサーバーの設定 test.dyndns.org(ダイナミックDNSサービスで取得したドメイン)
    IPSec事前共通鍵の設定 secret
    L2TPセキュリティ保護を有効にする 無効
    DNS検索ドメイン (空白)


  7. 「VPN」メニューに登録された「AR-VPN」をタップします。


  8. VPNクライアント用のPPPユーザー名とパスワードを入力します。


  9. 「AR-VPN」の下に「接続されています」と表示されれば接続に成功です。


■ 複数の端末で同一のVPNクライアント用PPPユーザー名を使用する場合、以下の設定を追加します。


■ DPDを使用する場合、以下の設定を追加します。

Note - この設定でDPDを有効にしても本製品上では先にResponder Rekey Extension機能にて通信断を検知します。

■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。
たとえば、ネットワーク192.168.10.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。


■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。

SECUREDELAYパラメーターには、10〜3600(秒)を指定します。デフォルトは60秒です。

■ 本製品の配下にDNSサーバーが設置されている場合など、VPNクライアントへDNSサーバーアドレスを通知したい場合は、以下の設定を追加します。


まとめ

ルーターのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 OVER=eth0-ANY USER=user@isp PASSWORD=isppasswd IPREQUEST=ON LQR=OFF BAP=OFF ECHO=ON
ENABLE IP
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0
ENABLE IP REMOTEASSIGN
ADD IP INT=ppp0 IP=0.0.0.0
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0
ADD USER=AAA PASSWORD=PasswordA LOGIN=NO
ADD USER=BBB PASSWORD=PasswordB LOGIN=NO
ADD USER=CCC PASSWORD=PasswordC LOGIN=NO
ADD USER=DDD PASSWORD=PasswordD LOGIN=NO
CREATE IP POOL=VPNC IP=192.168.8.1-192.168.8.10
CREATE PPP TEMPLATE=1 IPPOOL=VPNC AUTHENTICATION=CHAP BAP=OFF ECHO=30 RECHALLENGE=OFF VJC=ON
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
ADD L2TP IP=0.0.0.0-255.255.255.255 PPPTEMPLATE=1
ENABLE DDNS
SET DDNS DYNAMICHOST=test.dyndns.org
SET DDNS USER=test PASSWORD=test
SET DDNS PRIMARYINT=ppp0
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE
DISABLE FIREWALL POLICY=net IDENTPROXY
CREATE FIREWALL POLICY=net DYNAMIC=vpnif
ADD FIREWALL POLICY=net DYNAMIC=vpnif USER=ANY
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net INT=DYN-vpnif TYPE=PRIVATE
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0
ADD FIREWALL POLICY=net NAT=ENHANCED INT=DYN-vpnif GBLINT=ppp0
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=500 GBLIP=0.0.0.0 PORT=500 IP=0.0.0.0
ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=4500 GBLIP=0.0.0.0 PORT=4500 IP=0.0.0.0
ADD FIREWALL POLICY=net RULE=3 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=1701 GBLIP=0.0.0.0 PORT=1701 IP=0.0.0.0 ENCAP=IPSEC
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE NATTRAVERSAL=TRUE
SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA GROUP=2
SET ISAKMP POLICY="i" EXPIRYSECOND=600 REKEY=true
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES256 HASHALG=SHA MODE=TRANSPORT
CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES128 HASHALG=SHA MODE=TRANSPORT
CREATE IPSEC SASPEC=3 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA MODE=TRANSPORT
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1 or 2 or 3"
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY=nat INT=ppp0 ACTION=PERMIT LPORT=4500 TRANSPORT=UDP
CREATE IPSEC POLICY=L2 INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC
SET IPSEC POLICY=L2 LPORT=1701 TRANSPORT=UDP
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT
ENABLE IPSEC
ENABLE ISAKMP
# LOGIN secoff
# ENABLE SYSTEM SECURITY_MODE





CentreCOM AR550S 設定例集 2.9 #198

(C) 2005-2014 アライドテレシスホールディングス株式会社

PN: J613-M0710-04 Rev.P

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)