<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR570S 設定例集 2.9 #186

IPsecパススルー機能


IPsecパススルー機能とは、NAT機器配下にあるIPsec端末が、NAT機器の先にあるIPsec端末とIPsec通信ができるようにするための機能です。この例では、接続時にアドレスを1つ割り当てられる端末型の基本的な構成でIPsecパススルー機能を設定します。
ISPからは次の情報を提供されているものとします。

表 1:ISPから提供された情報
PPPユーザー名 user@isp
PPPパスワード isppasswd
PPPoEサービス名 指定なし
IPアドレス グローバルアドレス1個(動的割り当て)
DNSサーバー 接続時に通知される


ルーターには、次のような方針で設定を行います。

以下、ルーターの基本設定についてまとめます。

表 2:ルーターの基本設定
WAN側物理インターフェース eth0
WAN側(ppp0)IPアドレス 接続時にISPから取得する
LAN側(vlan1)IPアドレス 192.168.10.1/24



ルーターの設定

  1. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  2. ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


  3. IPモジュールを有効にします。


  4. IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。


  5. LAN側(vlan1)インターフェースにIPアドレスを設定します。


  6. WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません。


  7. デフォルトルートを設定します。


  8. DNSリレー機能を有効にします。


  9. DNSリレーの中継先を指定します。通常、中継先にはDNSサーバーのアドレスを指定しますが、IPCPによりアドレスを取得するまでは不明であるため、ここではインターフェース名を指定します。


  10. ファイアウォール機能を有効にします。


  11. ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。


  12. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。


    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

  13. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。


  14. ファイアウォールポリシーの適用対象となるインターフェースを指定します。

  15. ppp0に割り当てられたグローバルアドレスをIPsecパススルー機能で使用できるようインターフェースENATを設定します。


  16. PROTOCOLパラメーターに "ESP" を指定したファイアウォール エンハンス NAT ルールを追加しIPsecパススルー機能を使用できるようにします。


    Note - マッチするInitiateセッションが存在しない場合(Public側から通信が開始された場合)、ESPパケットは破棄されます。

  17. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。


メモ


■ 動的にグローバルIPアドレスが割り当てられる構成でIPsecパススルー機能を使用する場合、IPsecパススルー向けのエンハンスNATルールに加え、インターフェースエンハンスNATを設定する必要があります。

■ PublicインターフェースのIPアドレスが固定されている構成、または、インターフェースENATを使用しない構成では、GBLIPを指定する必要があります。


■ IPsecパススルー機能ではESPパケットの送信元/宛先IPアドレスとSPI値を元に組み合わせを推定しています。よって、以下のような場合、登録したSPIの上り/下りのペアが必ず正しいという保障ができません。


一度、間違った組み合わせでFirewall Sessionが作成された場合、該当するFirewall Sessionが削除されるまで誤った宛先にESPパケットを転送します。

■ NAT対象となっているSAのLifetimeとESPのFirewall Session 保持時間は同期していません。そのため、これらの時間の組み合わせにより以下のような事象が発生します。


Note - ESPのFirewall Session保持時間はSET FIREWALL POLICYコマンドのESPTIMEOUTパラメーターで変更可能です。

■ IPsec パススルー機能とIPsec機能の併用は可能です。

■ IPsec パススルー機能とNAT-Traversal機能の併用は可能です。

まとめ

ルーターのコンフィグ [テキスト版]
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=ON
ENABLE IP
ENABLE IP REMOTEASSIGN
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0
ADD IP INT=ppp0 IP=0.0.0.0
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0
ENABLE IP DNSRELAY
SET IP DNSRELAY INT=ppp0
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0
ADD FIREWALL POLICY=net RULE=1 AC=NAT NATTYPE=ENHANCED INT=vlan1 PROTO=ESP





CentreCOM AR570S 設定例集 2.9 #186

(C) 2006-2013 アライドテレシスホールディングス株式会社

PN: 613-000274 Rev.N

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)