<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR570S 設定例集 2.9 #94

RSAデジタル署名を利用したIPsec VPN(手動登録、片側のアドレス不定)


2拠点間をインターネット経由でIPsec接続するVPNの設定例です(自動鍵管理)。ここでは片側がアドレス固定(専用線)、もう一方がアドレス不定(PPPoE接続)となる場合を取り上げます。なお、この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証し、公開鍵証明書の発行要求をオフラインで行います。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネットへの通信も可能となるように設定します。




Note - 本機能はオプション機能ですので、ご使用にはフィーチャー(追加機能)ライセンスが必要です。

表 1
 
ルーターA(アドレス固定)
ルーターB(アドレス不定)
TDMグループ名 isp
回線速度 128Kbps
PPPユーザー名 test@isp.co.jp
PPPパスワード internet
PPPoEサービス名 指定なし
WAN側(ppp0)IPアドレス Unnumbered グローバルアドレス1個(動的割当)
LAN側(eth1)IPアドレス 4.4.4.1/29 192.168.20.1/24
LAN側(vlan1)IPアドレス 192.168.10.1/24 (なし)


表 2:PKI関連のパラメーター
 
ルーターA
ルーターB
RSA鍵ペアの鍵長(ビット) 1024 1024
証明書の識別名(DN) cn=RouterA,o=birds,c=jp cn=RouterB,o=birds,c=jp
証明書の登録方法 手動(PKCS#10) 手動(PKCS#10)
証明書失効リスト(CRL)のロード 行わない 行わない
TFTPサーバーのIPアドレス 192.168.10.5 192.168.20.5


表 3:IKEフェーズ1(ISAKMP SAのネゴシエーション)
ルーター間の認証方式 RSAデジタル署名
IKE交換モード Aggressiveモード
ルーターAのID DN:cn=RouterA,o=birds,c=jp
ルーターBのID DN:cn=RouterB,o=birds,c=jp
Oakleyグループ 1(デフォルト)
ISAKMPメッセージの暗号化方式 DES(デフォルト)
ISAKMPメッセージの認証方式 SHA1(デフォルト)
ISAKMP SAの有効期限(時間) 86400秒(24時間)(デフォルト)
ISAKMP SAの有効期限(KByte数) なし(デフォルト)
起動時のISAKMPネゴシエーション 行わない


表 4:IKEフェーズ2(IPsec SAのネゴシエーション)
SAモード トンネルモード
セキュリティープロトコル ESP(暗号化+認証)
暗号化方式 DES(デフォルト)
認証方式 SHA1(デフォルト)
Oakleyグループ 1(デフォルト)
IPsec SAの有効期限(時間) 28800秒(8時間)(デフォルト)
IPsec SAの有効期限(KByte数) なし(デフォルト)
トンネリング対象IPアドレス 192.168.10.0/24 ←→ 192.168.20.0/24
トンネル終端アドレス 4.4.4.1(A)・不定(B)
インターネットとの平文通信 行う




ルーターAの設定

  1. IPsecはセキュリティーモードでないと動作しないので、同モードで管理設定を行うことのできるSecurity Officerレベルのユーザーをあらかじめ登録しておきます。


    Note - Security Officerのパスワードは厳重に管理してください。

  2. 専用線の設定を行います。


  3. PPPインターフェースを作成します。


  4. IPモジュールを有効にします。


  5. LAN側(vlan1/eth1)インターフェースにIPアドレスを設定します。この例ではWAN側(ppp0)がUnnumberedなので、LAN側を2つのサブネットにわけ、片方(eth1)にグローバルアドレスを、もう一方(vlan1)にプライベートアドレスを割り当てます。


    Note - IPsecを使用する場合、少なくともIPsec終端の一方のIPアドレスは固定されていなければなりません。今回はルーターA側がUnnumbered、ルーターB側が動的割当て(IPアドレス不定)であるため、ルーターA側のIPsecトンネル終端をPrivate側(LAN側)インターフェースであるeth1とし、グローバルアドレスを設定しています。
    Note - 上記などの理由で複数のPrivate側(LAN側)インターフェースにIPアドレスを設定する場合には、IPsecの始点アドレスとして使うグローバルアドレスを先に設定(入力)してください。設定ファイルを直接編集する場合は、グローバルアドレスの設定コマンドを先に記述してください。

  6. WAN側(ppp0)インターフェースをUnnumberedに設定します。


  7. デフォルトルートを設定します。


  8. UTC(協定世界時)との時差を設定します。これは、PKIで使用される時刻がUTCに基づいているためです。ここでは日本標準時(JST)に設定します。


  9. ファイアウォール機能を有効にします。


  10. ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。


  11. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。


    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

  12. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。


  13. ファイアウォールポリシーの適用対象となるインターフェースを指定します。


  14. LAN側プライベートセグメント(vlan1)に接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ルーターのeth1に設定したインターフェースアドレスを共用します。


  15. 上記の設定のみでは対向ルーターからのISAKMPパケットがファイアウォールを通過できないので、該当するパケットを通す設定を行います。


  16. ローカルLAN(vlan1)からリモートLAN(eth1)へのパケットにはNATをかけないよう設定します。


  17. 上記の設定のみでは対向ルーターからのIPsecパケットまで遮断されるので、これらのパケットを通過させるためのルールを追加します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します(このパラメーターは主にIPsecトンネル終端のIPアドレスが固定されていない場合などに使います)。よって、以下のコマンドは、「取り出したパケットの終点が192.168.10.1〜192.168.10.254、つまり、ローカル側LANならばNATの対象外とする」の意味になります。


  18. ここからPKIの設定を行います。最初に、システム内の証明書データベースにCA証明書を登録します。CA証明書は、他のルーターの証明書の内容が正当であることを確認するために必要です。最初にTFTPサーバーからCA証明書ファイルをダウンロードし、ついでADD PKI CERTIFICATEコマンドでファイルからデータベースにインポートします。


    Note - このコマンドはコンソールから直接入力したときだけ有効で、内蔵エディター(EDITコマンド)などで設定ファイルに記述した場合は無効になります。

  19. 次にルーターA自身のデジタル証明書の準備をします。最初に、証明書の発行を要求するときに必要な識別名(DN)を設定します。これは、公開鍵の所有者を示すSubjectフィールドで使われるもので、ルーターAを一意に識別する名前となります。識別名は複数の属性から構成されますが、認証局によって各種制限があるため、認証局の管理者とご相談の上決定してください。なお、cn、o、cなどの属性名は小文字で記述する必要がありますのでご注意ください。


  20. ルーターA自身のRSA公開鍵ペアを作成します。


    Note - RSA鍵の作成には時間がかかります。コンソールに「RSA Key generation process completed.」と表示されるまで待ってから、次の手順に進んでください。

    Note - このコマンドはコンソールから直接入力したときだけ有効で、内蔵エディター(EDITコマンド)などで設定ファイルに記述した場合は無効になります。

  21. 作成した公開鍵に対する証明書の発行を要求するファイルを作成します。ここでは、PKCS#10形式のPEMフォーマットを指定していますが、その他の証明書要求形式が必要な場合はCREATE PKI ENROLLMENTREQUESTコマンドの説明を参考に、パラメーターを調整してください。必要な形式については認証局の管理者にご確認ください。このコマンドを実行すると、ENROLLMENTREQUESTパラメーターに指定した文字列に拡張子「.csr」を付けた名前のファイルが作成されます。


    Note - このコマンドはコンソールから直接入力したときだけ有効で、内蔵エディター(EDITコマンド)などで設定ファイルに記述した場合は無効になります。

  22. 作成された証明書要求ファイルmyreq.csrをTFTPサーバーにアップロードします。


  23. アップロードした証明書要求ファイルを、手動で認証局アプリケーションに渡してください。証明書が発行され、証明書ファイルが作成されます。

  24. 認証局が発行した証明書ファイルをルーターのファイルシステムにダウンロードします。ここではTFTPを使います。このとき、証明書ファイルの拡張子は.cerである必要があります。必要に応じてリネームしてください。


  25. ルーターA自身の証明書ファイルを証明書データベースに登録します。


  26. PKIの設定はここまでです。IPsecの設定に進む前に、SHOW PKI CERTIFICATEコマンドを実行し、CA証明書とルーター自身の証明書がデータベースに正しく登録されているかどうかを確認してください。State欄が「TRUSTED」になっていれば正常です。



  27. ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。この例では相手のアドレスが不定であるため、「PEER」に「ANY」を指定し、「REMOTEID」で相手ルーターの証明書の識別名(DN)を指定しています。認証方式(AUTHTYPE)としてはRSAデジタル署名(RSASIG)を、LOCALRSAKEYに自分の鍵ペアの番号を指定します。なお、認証方式にRSAデジタル署名を使うときは、この例のように片側のアドレスが不定でもAggressiveモードを使う必要はありません。


  28. IPsec通信の基本仕様を定義するSAスペック「1」を作成します。セキュリティープロトコル、暗号、ハッシュの両アルゴリズムを指定します。


  29. SAスペックをとりまとめるSAバンドルスペック「1」を作成します。ESPとAHを併用する場合などは、複数のSAスペックを作成して、本コマンドのSTRINGパラメーターで「1 and 2」のように指定します。この例ではSAスペックが1つだけなので、単に「1」と指定します。


  30. ISAKMPパケットを通過させるためのIPsecポリシー「isa」を作成します。ISAKMP使用時は必ず最初にこのポリシーを作成してください。


  31. IPsec通信の範囲を指定するIPsecポリシーを作成します。ここで指定した条件に一致するパケットに対して、BUNDLEパラメーターで指定したSAバンドルスペックに基づくIPsec処理が行われます。INTERFACEパラメーターで指定したインターフェースを通過するときに、IPsecの暗号化、復号化処理が行われます。相手のIPアドレスが不定なので、ISAKMPの認証をパスしたものだけを指定する意味で、PEERにはDYNAMICを指定します。


  32. インターネットとの通信を素通しさせるIPsecポリシー「inet」を作成します。


  33. IPsecを有効化します。


  34. ISAKMPを有効化します。


  35. Security Officerレベルのユーザーでログインしなおします。


  36. セキュリティーモードに移行します。


    Note - セキュリティーモードに移行したあとで、再度ノーマルモードに戻すと、暗号鍵などの情報は失われます。

  37. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。



ルーターBの設定

  1. IPsecはセキュリティーモードでないと動作しないので、同モードで管理設定を行うことのできるSecurity Officerレベルのユーザーをあらかじめ登録しておきます。


    Note - Security Officerのパスワードは厳重に管理してください。

  2. eth0インターフェース上にISP1と接続するためのppp0インターフェースを作成します。ここではISPから提供されたユーザー名とパスワードを設定し、またLQRはオフにして、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。ISDN向けの機能であるBAPはオフにします。


  3. IPモジュールを有効にします。


  4. IPCPネゴシエーションでISPから取得したIPアドレスを使用するよう設定します。


  5. LAN側(vlan1)インターフェースにIPアドレスを設定します。


  6. WAN側(ppp0)インターフェースにIPアドレス0.0.0.0を設定します。これは、ISPとの接続が完了するまでアドレスが確定しないことを示します。


  7. デフォルトルートを設定します。


  8. UTC(協定世界時)との時差を設定します。これは、PKIで使用される時刻がUTCに基づいているためです。ここでは日本標準時(JST)に設定します。


  9. ファイアウォール機能を有効にします。


  10. ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。


  11. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。


    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

  12. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。


  13. ファイアウォールポリシーの適用対象となるインターフェースを指定します。


  14. LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。


  15. ローカルLANからリモートLANへのパケットにはNATをかけないよう設定します。


  16. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します(このパラメーターは主にIPsecトンネル終端のIPアドレスが固定されていない場合などに使います)。よって、以下のコマンドは、「取り出したパケットの終点が192.168.20.1〜192.168.20.254、つまり、ローカル側LANならばNATの対象外とする」の意味になります。


  17. ここからPKIの設定を行います。最初に、システム内の証明書データベースにCA証明書を登録します。CA証明書は、他のルーターの証明書の内容が正当であることを確認するために必要です。最初にTFTPサーバーからCA証明書ファイルをダウンロードし、ついでADD PKI CERTIFICATEコマンドでファイルからデータベースにインポートします。


  18. 次にルーターB自身のデジタル証明書の準備をします。最初に、証明書の発行を要求するときに必要な識別名(DN)を設定します。これは、公開鍵の所有者を示すSubjectフィールドで使われるもので、ルーターBを一意に識別する名前となります。識別名は複数の属性から構成されますが、認証局によって各種制限があるため、認証局の管理者とご相談の上決定してください。なお、cn、o、cなどの属性名は小文字で記述する必要がありますのでご注意ください。


  19. ルーターB自身のRSA公開鍵ペアを作成します。


    Note - RSA鍵の作成には時間がかかります。コンソールに「RSA Key generation process completed.」と表示されるまで待ってから、次の手順に進んでください。

    Note - このコマンドはコンソールから直接入力したときだけ有効で、内蔵エディター(EDITコマンド)などで設定ファイルに記述した場合は無効になります。

  20. 作成した公開鍵に対する証明書の発行を要求するファイルを作成します。ここでは、PKCS#10形式のPEMフォーマットを指定していますが、その他の証明書要求形式が必要な場合はCREATE PKI ENROLLMENTREQUESTコマンドの説明を参考に、パラメーターを調整してください。必要な形式については認証局の管理者にご確認ください。このコマンドを実行すると、ENROLLMENTREQUESTパラメーターに指定した文字列に拡張子「.csr」を付けた名前のファイルが作成されます。


    Note - このコマンドはコンソールから直接入力したときだけ有効で、内蔵エディター(EDITコマンド)などで設定ファイルに記述した場合は無効になります。

  21. 作成された証明書要求ファイルmyreq.csrをTFTPサーバーにアップロードします。


  22. アップロードした証明書要求ファイルを、手動で認証局アプリケーションに渡してください。証明書が発行され、証明書ファイルが作成されます。

  23. 認証局が発行した証明書ファイルをルーターのファイルシステムにダウンロードします。ここではTFTPを使います。このとき、証明書ファイルの拡張子は.cerである必要があります。必要に応じてリネームしてください。


  24. ルーターB自身の証明書ファイルを証明書データベースに登録します。


  25. PKIの設定はここまでです。IPsecの設定に進む前に、SHOW PKI CERTIFICATEコマンドを実行し、CA証明書とルーター自身の証明書がデータベースに正しく登録されているかどうかを確認してください。State欄が「TRUSTED」になっていれば正常です。



  26. ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。ISAKMPは鍵とSAのネゴシエーションを自動的に行うためのプロトコルです。PEERには相手ルーターのグローバルアドレスを指定します。また、認証方式(AUTHTYPE)としてRSAデジタル署名(RSASIG)を指定し、LOCALRSAKEYに自分の鍵ペアの番号を指定します。また、自分のIPアドレスが不定なので、LOCALIDで自分のDNを指定します。


  27. IPsec通信の基本仕様を定義するSAスペック「1」を作成します。鍵管理方式、セキュリティープロトコル、暗号、ハッシュの両アルゴリズムを指定します。


  28. SAスペックをとりまとめるSAバンドルスペック「1」を作成します。ESPとAHを併用する場合などは、複数のSAスペックを作成して、本コマンドのSTRINGパラメーターで「1 and 2」のように指定します。この例ではSAスペックが1つだけなので、単に「1」と指定します。


  29. ISAKMPパケットを通過させるためのIPsecポリシー「isa」を作成します。ISAKMP使用時は必ず最初にこのポリシーを作成してください。


  30. IPsec通信の範囲を指定するIPsecポリシーを作成します。ここで指定した条件に一致するパケットに対して、BUNDLEパラメーターで指定したSAバンドルスペックに基づくIPsec処理が行われます。INTERFACEパラメーターで指定したインターフェースを通過するときに、IPsecの暗号化、復号化処理が行われます。


  31. インターネットとの通信を素通しさせるIPsecポリシー「inet」を作成します。


  32. IPsecを有効化します。


  33. ISAKMPを有効化します。


  34. Security Officerレベルのユーザーでログインしなおします。


  35. セキュリティーモードに移行します。


    Note - セキュリティーモードに移行したあとで、再度ノーマルモードに戻すと、暗号鍵などの情報は失われます。

  36. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

まとめ

ルーターAのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2
CREATE TDM GROUP=isp INT=bri0 SLOTS=1-2
CREATE PPP=0 OVER=TDM-isp LQR=OFF
ENABLE IP
ADD IP INT=eth1 IP=4.4.4.1 MASK=255.255.255.248
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0
ADD IP INT=ppp0 IP=0.0.0.0
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0
SET NTP UTCOFFSET=JST
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INT=eth1 TYPE=PUBLIC
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 GBLIP=4.4.4.1
ADD FIREWALL POLICY=net RULE=1 ACTION=ALLOW INT=ppp0 PROT=UDP GBLPORT=500 GBLIP=4.4.4.1 PORT=500 IP=4.4.4.1
ADD FIREWALL POLICY=net RULE=2 ACTION=NONAT INT=vlan1 PROT=ALL IP=192.168.10.1-192.168.10.254
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.20.1-192.168.20.254
ADD FIREWALL POLICY=net RULE=3 ACTION=NONAT INT=ppp0 PROT=ALL IP=192.168.10.1-192.168.10.254 ENCAP=IPSEC
# LOAD FILE=ca.cer SERVER=192.168.10.5
ADD PKI CERTIFICATE=cacer LOCATION=ca.cer TYPE=CA TRUSTED=TRUE
SET SYSTEM DISTINGUISHEDNAME="cn=RouterA,o=birds,c=jp"
# CREATE ENCO KEY=1 TYPE=RSA LENGTH=1024
# CREATE PKI ENROLLMENTREQUEST=myreq PROTOCOL=MANUAL KEYPAIR=1 TYPE=PKCS10 FORMAT=PEM
# UPLOAD FILE=myreq.csr SERVER=192.168.10.5
# LOAD FILE=routera.cer SERVER=192.168.10.5
ADD PKI CERTIFICATE=mycer LOCATION=routera.cer TYPE=SELF
# SHOW PKI CERTIFICATE
CREATE ISAKMP POLICY=i PEER=ANY MODE=AGGRESSIVE AUTHTYPE=RSASIG LOCALRSAKEY=1 SENDN=TRUE REMOTEID="cn=RouterB,o=birds,c=jp"
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROT=ESP ENCALG=DES HASHALG=SHA
CREATE IPSEC BUNDLESPEC=1 KEYMAN=ISAKMP STRING="1"
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC
SET IPSEC POLICY=vpn LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0
CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT
ENABLE IPSEC
ENABLE ISAKMP
# LOGIN secoff
# ENABLE SYSTEM SECURITY_MODE


ルーターBのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 IPREQUEST=ON USERNAME="test@isp.co.jp" PASSWORD="internet"
SET PPP=0 OVER=eth0-ANY LQR=OFF ECHO=ON BAP=OFF
ENABLE IP
ENABLE IP REMOTEASSIGN
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0
ADD IP INT=ppp0 IP=0.0.0.0
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0
SET NTP UTCOFFSET=JST
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0
ADD FIREWALL POLICY=net RULE=2 ACTION=NONAT INT=vlan1 PROT=ALL IP=192.168.20.1-192.168.20.254
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254
ADD FIREWALL POLICY=net RULE=3 ACTION=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC
# LOAD FILE=ca.cer SERVER=192.168.20.5
ADD PKI CERTIFICATE=cacer LOCATION=ca.cer TYPE=CA TRUSTED=TRUE
SET SYSTEM DISTINGUISHEDNAME="cn=RouterB,o=birds,c=jp"
# CREATE ENCO KEY=1 TYPE=RSA LENGTH=1024
# CREATE PKI ENROLLMENTREQUEST=myreq PROTOCOL=MANUAL KEYPAIR=1 TYPE=PKCS10 FORMAT=PEM
# UPLOAD FILE=myreq.csr SERVER=192.168.20.5
# LOAD FILE=routerb.cer SERVER=192.168.20.5
ADD PKI CERTIFICATE=mycer LOCATION=routerb.cer TYPE=SELF
# SHOW PKI CERTIFICATE
CREATE ISAKMP POLICY=i PEER=4.4.4.1 MODE=AGGRESSIVE AUTHTYPE=RSASIG LOCALRSAKEY=1 SENDN=TRUE LOCALID="cn=RouterB,o=birds,c=jp"
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROT=ESP ENCALG=DES HASHALG=SHA
CREATE IPSEC BUNDLESPEC=1 KEYMAN=ISAKMP STRING="1"
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=4.4.4.1
SET IPSEC POLICY=vpn LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0
CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT
ENABLE IPSEC
ENABLE ISAKMP
# LOGIN secoff
# ENABLE SYSTEM SECURITY_MODE





CentreCOM AR570S 設定例集 2.9 #94

(C) 2006-2013 アライドテレシスホールディングス株式会社

PN: 613-000274 Rev.N

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)