PPPoEインターネット接続環境における2点間IPsec VPN（両側アドレス固定）

PPPoEでインターネットに接続している2つの拠点をIPsecで結ぶVPN構築例です。この例では、グローバルアドレス8個を固定的に割り当てられているサイトと、グローバルアドレス1個を固定的に割り当てられているサイトの間をIPsec（ESP）のトンネルで接続します。

Note - IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに別売の暗号ボードまたは暗号・圧縮ボードを装着する必要があります。

各拠点は、ISPから次の情報を提供されているものとします。

表 1：ISPから提供された情報

ルーターA ルーターB

PPPユーザー名 user@ispA user@ispB

PPPパスワード isppasswdA isppasswdB

PPPoEサービス名指定なし指定なし

使用できるIPアドレス 4.4.4.0/29 12.34.56.78/32

接続形態 LAN型（アドレス8個固定）端末型（アドレス1個固定）

ルーターA側（LAN型アドレス8個固定）では、LAN側を2つのセグメントに分け、グローバルサブネット（DMZ）にサーバーを、プライベートサブネットにクライアントを配置します。ルーターBは、ダイナミックENATを使用した通常の端末型設定（アドレス1個固定）です。

以下、ルーターA、Bの基本設定についてまとめます。

表 2：ルーターA、Bの基本設定

ルーターA ルーターB

WAN側物理インターフェース eth1 eth1

WAN側IPアドレス（1） Unnumbered（ppp0-0） 12.34.56.78/32（ppp0）

WAN側IPアドレス（2） 4.4.4.1/32（ppp0-1）－

LAN側IPアドレス 192.168.10.1/24（eth0-1） 192.168.20.1/24（eth0）

DMZ側IPアドレス 4.4.4.2/29（eth0-0）－

この構成においてIPsec VPNを構築するときのポイントは次のとおりです。

ルーターAでは、WAN側（ppp0）インターフェースをマルチホーミングし、そのうちの一方（ppp0-1）にグローバルアドレスの1つを設定します。ルーターAが送信するIPsecパケットの始点アドレスにはこのアドレスがセットされます。このような設定をするのは、PPPoEのLAN型接続ではWAN側（ppp0）インターフェースにネットワークアドレス（ホスト部が0のアドレス。始点アドレスとしては使用できないため事実上のUnnumbered）が割り当てられるためです。詳細は章末の「メモ」をご覧ください。
IPsec関連のパケット（IKE、ESP）がファイアウォールで遮断されないようにルールを設定します。
トンネリング対象のパケットにNATが適用されないようルールを設定します。

IPsec関連の設定は次のようになります。

表 3：IKEフェーズ1（ISAKMP SAのネゴシエーション）

ルーター間の認証方式事前共有鍵（pre-shared key）

IKE交換モード Mainモード

事前共有鍵 secret（文字列）

Oakleyグループ 1（デフォルト）

ISAKMPメッセージの暗号化方式 DES（デフォルト）

ISAKMPメッセージの認証方式 SHA1（デフォルト）

ISAKMP SAの有効期限（時間） 86400秒（24時間）（デフォルト）

ISAKMP SAの有効期限（Kbyte数）なし（デフォルト）

起動時のISAKMPネゴシエーション行わない

表 4：IKEフェーズ2（IPsec SAのネゴシエーション）

SAモードトンネルモード

セキュリティープロトコル ESP（暗号化＋認証）

暗号化方式 DES

認証方式 SHA1

IPsec SAの有効期限（時間） 28800秒（8時間）（デフォルト）

IPsec SAの有効期限（Kbyte数）なし（デフォルト）

トンネリング対象IPアドレス 192.168.10.0/24 ←→ 192.168.20.0/24

トンネル終端アドレス 4.4.4.1（A）・12.34.56.78（B）

インターネットとの平文通信行う

ルーターAの設定

セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
WAN側Ethernetインターフェース（eth1）上にPPPインターフェースを作成します。「OVER=eth1-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
Note - PPPoEのLAN型接続におけるWAN側（PPP）インターフェースは、厳密にはUnnumberedではありません。IPsecを使用する本例ではこのことが設定に影響を与えてきます。詳しくは章末の「メモ」をご覧ください。

Note - ファームウェアバージョン2.6以降、「IDLE=OFF」（デフォルト）に設定されたPPPoEインターフェースでは、PPPoEセッションキープアライブ機能が働くため、リンクダウン時に自動的に再接続を試みます（リンクダウンを検出するため「ECHO=ON」の設定は必要）。そのため、以前のバージョンで使用していた自動再接続のためのインターフェーストリガーは必要なくなりました。ただし、トリガーの設定があっても問題はありません。以前の設定もそのまま使用できます。

Note - バージョン2.6よりも前のファームウェアでPPPoEの自動再接続を行うにはインターフェーストリガーの設定が必要です。設定方法については、ご使用中のバージョンに対応したマニュアルをご覧ください。
IPモジュールを有効にします。
IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。
DMZ側（eth0-0）インターフェースにISPから割り当てられたグローバルアドレスのうちの1つ（4.4.4.2）を設定します。アドレスを8個や16個といった単位で割り当てられる場合は、ネットマスクが変則的になるので注意してください。
LAN側（eth0-1）インターフェースにプライベートIPアドレスを割り当て、クライアント用のサブネットとします。
WAN側（ppp0）インターフェースをマルチホーミングし、ppp0-0をUnnumberedに設定します。
WAN側（ppp0-1）インターフェースにISPから割り当てられたグローバルアドレスの先頭アドレス（4.4.4.1）を32ビットマスクで割り当てます。デフォルトルートをこのインターフェースに向けることで、IPsecパケットの始点アドレスとしてこのアドレスが使われるようにします。
デフォルトルートをppp0-1に向けて設定します。これは、ルーターAが送信するIPsecパケットの始点アドレスとして、ppp0-1のアドレスが使われるようにするためです（通常、本製品自身がパケットを送信するときは、送出インターフェースのアドレスを始点アドレスとして使います）。
ファイアウォール機能を有効にします。
ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
Note - デフォルト設定では、ICMPはファイアウォールを通過できません。
ルーターのidentプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側（eth0-1）インターフェースをPRIVATE（内部）に設定します。
- DMZ側（eth0-0）インターフェースをPRIVATE（内部）に設定します。
- WAN側（ppp0-0）インターフェースをPUBLIC（外部）に設定します。
- WAN側（ppp0-1）インターフェースをPUBLIC（外部）に設定します。
LAN側（eth0-1）ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスにはppp0-1に割り当てた4.4.4.1を共用します。
外部からのパケットをすべて拒否するファイアウォールの基本ルールに対し、DMZのサーバーへパケットを通すための設定を行います。
- Webサーバー（4.4.4.3のTCP80番）へのパケットは通過させます。
- SMTPサーバー（4.4.4.4のTCP25番）へのパケットは通過させます。
- DNSサーバー（4.4.4.4のTCP、UDP53番）へのパケットは通過させます。
相手ルーターから受信したIKEパケット（UDP500番）がファイアウォールを通過できるように設定します。
ローカルLANからリモートLANへのパケットにはNATをかけないように設定します。
基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.10.1～192.168.10.254、つまり、ローカル側LANならばNATの対象外とする」の意味になります。
ISAKMP用の事前共有鍵（pre-shared key）を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します（ルーターBと同じに設定）。
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）等で設定スクリプトファイル（.CFG）にこのコマンドを記述しても無効になりますのでご注意ください。
ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵（鍵番号「1」）を、PEERには対向ルーターのIPアドレスを指定します。また、HEARTBEATMODEにBOTHを指定して、ISAKMPハートビートを使用します。
IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード（デフォルト）、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット（ISAKMP）に設定します。
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
実際のIPsec通信に使用するIPsecポリシー「vpn」を、PPPインターフェース「0-1」に対して作成します。

鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。
IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0-1」に対して作成します。
Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
IPsecモジュールを有効にします。
ISAKMPモジュールを有効にします。
Security Officerレベルのユーザーでログインしなおします。
動作モードをセキュリティーモードに切り替えます。
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）の設定を行っておいてください（本章末尾のメモを参照）。
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

ルーターBの設定

セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
WAN側Ethernetインターフェース（eth1）上にPPPインターフェースを作成します。「OVER=eth1-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
Note - ファームウェアバージョン2.6以降、「IDLE=OFF」（デフォルト）に設定されたPPPoEインターフェースでは、PPPoEセッションキープアライブ機能が働くため、リンクダウン時に自動的に再接続を試みます（リンクダウンを検出するため「ECHO=ON」の設定は必要）。そのため、以前のバージョンで使用していた自動再接続のためのインターフェーストリガーは必要なくなりました。ただし、トリガーの設定があっても問題はありません。以前の設定もそのまま使用できます。

Note - バージョン2.6よりも前のファームウェアでPPPoEの自動再接続を行うにはインターフェーストリガーの設定が必要です。設定方法については、ご使用中のバージョンに対応したマニュアルをご覧ください。
IPモジュールを有効にします。
LAN側（eth0）インターフェースにIPアドレスを設定します。
WAN側（ppp0）インターフェースにISPから割り当てられたIPアドレスを設定します。
デフォルトルートを設定します。
ファイアウォール機能を有効にします。
ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
Note - デフォルト設定では、ICMPはファイアウォールを通過できません。
ルーターのidentプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側インターフェース（eth0）をPRIVATE（内部）に設定します。
- WAN側インターフェース（ppp0）をPUBLIC（外部）に設定します。
LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
相手ルーターから受信したIKEパケット（UDP500番）がファイアウォールを通過できるように設定します。
ローカルLANからリモートLANへのパケットにはNATをかけないように設定します。
基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.20.1～192.168.20.254、つまり、ローカル側LANならばNATの対象外とする」の意味になります。
ISAKMP用の事前共有鍵（pre-shared key）を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します（ルーターAと同じに設定）。
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）等で設定スクリプトファイル（.CFG）にこのコマンドを記述しても無効になりますのでご注意ください。
ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵（鍵番号「1」）を、PEERには対向ルーターのIPアドレスを指定します。また、HEARTBEATMODEにBOTHを指定して、ISAKMPハートビートを使用します。
IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード（デフォルト）、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット（ISAKMP）に設定します。
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
実際のIPsec通信に使用するIPsecポリシー「vpn」を、PPPインターフェース「0」に対して作成します。

鍵管理方式には「ISAKMP」を、PEERにはルーターAのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。
IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
IPsecモジュールを有効にします。
ISAKMPモジュールを有効にします。
Security Officerレベルのユーザーでログインしなおします。
動作モードをセキュリティーモードに切り替えます。
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）の設定を行っておいてください（本章末尾のメモを参照）。
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

メモ

■ PPPoEのLAN型接続では、IPCPネゴシエーションによって、WAN側（PPP）インターフェースにネットワークアドレス（ホスト部が0のアドレス）が割り当てられます。ネットワークアドレスはホストアドレスとしては使用できないため事実上Unnumberedと同じですが、厳密に言うと専用線接続などで使用するUnnumberedとは異なります。

ルーター自身がWAN側インターフェースからIPパケットを送出する場合を考えます。純粋なUnnumberedでは、送出インターフェースにアドレスが設定されていないため、他のインターフェースのアドレスを使用します。しかし、PPPoE LAN型の場合は、まがりなりにもWAN側インターフェースにアドレスが設定されているため、パケットの始点アドレスとして本来使用できないネットワークアドレスが使用されてしまいます。

通常は、ルーター自身がパケットを送信することがないため、このことを意識する必要はありません。しかし、IPsecを使用するときなどは、始点アドレスに有効なアドレスが使われるよう注意が必要です。これには、WAN側インターフェースをマルチホーミングし、一方に有効なアドレスを設定した上で、デフォルトルートをそちらに向ける必要があります。ここでは、ISPから4.4.4.0/29のアドレスを割り当てられているものと仮定します。


ADD IP INT=ppp0-0 IP=0.0.0.0 ↓

ADD IP INT=ppp0-1 IP=4.4.4.1 MASK=255.255.255.255 ↓

ADD IP INT=eth0-0 IP=4.4.4.2 MASK=255.255.255.248 ↓

ADD IP INT=eth0-1 IP=192.168.10.1 MASK=255.255.255.0 ↓

ADD IP ROUTE=0.0.0.0 INT=ppp0-1 NEXT=0.0.0.0 ↓

これにより、LAN側からWAN側へのパケットはppp0-1にルーティングされ、始点アドレスとして4.4.4.1が使用されるようになります。

■ ファイアウォールで遮断されたパケットのログをとるには、次のコマンドを実行します。

ENABLE FIREWALL POLICY=net LOG=DENY ↓

記録されたログを見るには、次のコマンドを実行します。ここでは、「TYPE=FIRE」により、ファイアウォールが出力したログメッセージだけを表示させています。

SHOW LOG TYPE=FIRE ↓

■ インターネット側からのPING（ICMP Echo Requestパケット）を拒否するには、次のようなIPフィルターをWAN側インターフェースに設定します。この例では、「LOG=HEADER」により、フィルターで拒否したパケットをログに記録しています。


ADD IP FILTER=0 SO=0.0.0.0 PROTO=ICMP ICMPTYPE=ECHO LOG=HEADER ACTION=EXCLUDE ↓

ADD IP FILTER=0 SO=0.0.0.0 ACTION=INCLUDE ↓

SET IP INT=ppp0 FILTER=0 ↓

記録されたログを見るには、次のコマンドを実行します。ここでは、「TYPE=IPFIL」により、IPフィルターが出力したログメッセージだけを表示させています。

SHOW LOG TYPE=IPFIL ↓

■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。

たとえば、ネットワーク192.168.10.0/24、192.168.20.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。


ENABLE USER RSO ↓

ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓

ADD USER RSO IP=192.168.20.0 MASK=255.255.255.0 ↓

■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。

■ セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10～600（秒）を指定します。デフォルトは60秒です。

SET USER SECUREDELAY=300 ↓

まとめ

ルーターAのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ CREATE PPP=0 OVER=eth1-ANY ↓ SET PPP=0 OVER=eth1-ANY BAP=OFF IPREQUEST=ON USER=user@ispA PASSWORD=isppasswdA LQR=OFF ECHO=ON ↓ ENABLE IP ↓ ENABLE IP REMOTEASSIGN ↓ ADD IP INT=eth0-0 IP=4.4.4.2 MASK=255.255.255.248 ↓ ADD IP INT=eth0-1 IP=192.168.10.1 MASK=255.255.255.0 ↓ ADD IP INT=ppp0-0 IP=0.0.0.0 ↓ ADD IP INT=ppp0-1 IP=4.4.4.1 MASK=255.255.255.255 ↓ ADD IP ROUTE=0.0.0.0 INT=ppp0-1 NEXTHOP=0.0.0.0 ↓ ENABLE FIREWALL ↓ CREATE FIREWALL POLICY=net ↓ ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓ DISABLE FIREWALL POLICY=net IDENTPROXY ↓ ADD FIREWALL POLICY=net INT=eth0-1 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=eth0-0 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=ppp0-0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net INT=ppp0-1 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0-1 GBLINT=ppp0-1 GBLIP=4.4.4.1 ↓ ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0-1 PROTO=TCP IP=4.4.4.3 PORT=80 ↓ ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=ppp0-1 PROTO=TCP IP=4.4.4.4 PORT=25 ↓ ADD FIREWALL POLICY=net RULE=3 AC=ALLOW INT=ppp0-1 PROTO=TCP IP=4.4.4.4 PORT=53 ↓ ADD FIREWALL POLICY=net RULE=4 AC=ALLOW INT=ppp0-1 PROTO=UDP IP=4.4.4.4 PORT=53 ↓ ADD FIREWALL POLICY=net RULE=5 AC=ALLOW INT=ppp0-1 PROT=UDP GBLPO=500 GBLIP=4.4.4.1 PO=500 IP=4.4.4.1 ↓ ADD FIREWALL POLICY=net RULE=6 AC=NONAT INT=eth0-1 PROT=ALL IP=192.168.10.1-192.168.10.254 ↓ SET FIREWALL POLICY=net RULE=6 REMOTEIP=192.168.20.1-192.168.20.254 ↓ ADD FIREWALL POLICY=net RULE=7 AC=NONAT INT=ppp0-1 PROT=ALL IP=192.168.10.1-192.168.10.254 ENCAP=IPSEC ↓ # CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓ CREATE ISAKMP POLICY="i" PEER=12.34.56.78 KEY=1 HEARTBEATMODE=BOTH SENDN=TRUE ↓ CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓ CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓ CREATE IPSEC POLICY="isa" INT=ppp0-1 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY="vpn" INT=ppp0-1 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=12.34.56.78 ↓ SET IPSEC POLICY="vpn" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓ CREATE IPSEC POLICY="inet" INT=ppp0-1 ACTION=PERMIT ↓ ENABLE IPSEC ↓ ENABLE ISAKMP ↓ # LOGIN secoff ↓ # ENABLE SYSTEM SECURITY_MODE ↓

ルーターBのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ CREATE PPP=0 OVER=eth1-ANY ↓ SET PPP=0 OVER=eth1-ANY USER=user@ispB PASSWORD=isppasswdB LQR=OFF BAP=OFF ECHO=ON ↓ ENABLE IP ↓ ADD IP INT=eth0 IP=192.168.20.1 MASK=255.255.255.0 ↓ ADD IP INT=ppp0 IP=12.34.56.78 MASK=255.255.255.255 ↓ ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓ ENABLE FIREWALL ↓ CREATE FIREWALL POLICY=net ↓ ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓ DISABLE FIREWALL POLICY=net IDENTPROXY ↓ ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0 GBLINT=ppp0 ↓ ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPO=500 GBLIP=12.34.56.78 PO=500 IP=12.34.56.78 ↓ ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=eth0 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓ SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254 ↓ ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓ # CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓ CREATE ISAKMP POLICY="i" PEER=4.4.4.1 KEY=1 HEARTBEATMODE=BOTH SENDN=TRUE ↓ CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓ CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓ CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=4.4.4.1 ↓ SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓ CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓ ENABLE IPSEC ↓ ENABLE ISAKMP ↓ # LOGIN secoff ↓ # ENABLE SYSTEM SECURITY_MODE ↓

CentreCOM AR740 設定例集 2.6 #110

PN: 613-000216 Rev.C

＜前頁次頁＞＜＜＞＞ ↑ 目次（番号順 (詳細)・回線別 (詳細)・機能別 (詳細)）

	ルーターA	ルーターB
PPPユーザー名	user@ispA	user@ispB
PPPパスワード	isppasswdA	isppasswdB
PPPoEサービス名	指定なし	指定なし
使用できるIPアドレス	4.4.4.0/29	12.34.56.78/32
接続形態	LAN型（アドレス8個固定）	端末型（アドレス1個固定）

	ルーターA	ルーターB
WAN側物理インターフェース	eth1	eth1
WAN側IPアドレス（1）	Unnumbered（ppp0-0）	12.34.56.78/32（ppp0）
WAN側IPアドレス（2）	4.4.4.1/32（ppp0-1）	－
LAN側IPアドレス	192.168.10.1/24（eth0-1）	192.168.20.1/24（eth0）
DMZ側IPアドレス	4.4.4.2/29（eth0-0）	－

ルーター間の認証方式	事前共有鍵（pre-shared key）
IKE交換モード	Mainモード
事前共有鍵	secret（文字列）
Oakleyグループ	1（デフォルト）
ISAKMPメッセージの暗号化方式	DES（デフォルト）
ISAKMPメッセージの認証方式	SHA1（デフォルト）
ISAKMP SAの有効期限（時間）	86400秒（24時間）（デフォルト）
ISAKMP SAの有効期限（Kbyte数）	なし（デフォルト）
起動時のISAKMPネゴシエーション	行わない

SAモード	トンネルモード
セキュリティープロトコル	ESP（暗号化＋認証）
暗号化方式	DES
認証方式	SHA1
IPsec SAの有効期限（時間）	28800秒（8時間）（デフォルト）
IPsec SAの有効期限（Kbyte数）	なし（デフォルト）
トンネリング対象IPアドレス	192.168.10.0/24 ←→ 192.168.20.0/24
トンネル終端アドレス	4.4.4.1（A）・12.34.56.78（B）
インターネットとの平文通信	行う