<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR740 設定例集 2.6 #149
IPsec NAT-Traversalを利用したリモートアクセス型L2TP+IPsec VPN(クライアントはWindows XP)
Windows XP標準のVPNクライアントから、インターネット経由で本製品のLAN側プライベートネットワークにアクセスさせるリモートアクセス型VPNの設定例です。本設定例では、IPsec NAT-Traversal(NAT-T)を利用して、クライアントがNAT機器の背後にある場合でもVPN接続できるようにします。また、クライアントの仕様にあわせて、L2TPとIPsecトランスポートモードを併用するよう設定します。なお、本製品はPPPoEでISPに接続しており、グローバルアドレス1個を固定的に割り当てられているものと仮定します。
Note
- IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに別売の暗号ボードまたは暗号・圧縮ボードを装着する必要があります。
Note
- 本設定例は、NAT-Traversalを利用したリモートアクセス型VPNの一構成例であり、Windows XPとの接続性を保証するものではありません。
Note
- Windows XP(VPNクライアント)側の詳細な設定方法については、Windows XPのマニュアルなどをご覧ください。
ISPからは次の情報を提供されているものとします。
表 1:ISPから提供された情報
| PPPユーザー名 |
user@isp |
| PPPパスワード |
isppasswd |
| PPPoEサービス名 |
指定なし |
| 使用できるIPアドレス |
10.100.10.1/32 |
| 接続形態 |
端末型(アドレス1個固定) |
ルーター側は、ファイアウォールとダイナミックENATを使用した通常の端末型設定(アドレス1個固定)です。これにL2TPとIPsecの設定を加えて、VPNクライアントからの接続を受け入れられるように設定します。なお、この例ではVPNクライアントのアドレスが不定なため、常にクライアントからルーターに接続する形となります。次に、ルーターの基本設定をまとめます。
表 2:ルーターの基本設定
| WAN側物理インターフェース |
eth1 |
| WAN側IPアドレス |
10.100.10.1/32(ppp0) |
| LAN側IPアドレス |
192.168.10.1/24(eth0) |
| L2TP終端アドレス |
10.100.10.1 ←→ 不定 |
| L2TP発着優先 |
着呼優先(着呼専用) |
| L2TPサーバーモード |
LAC/LNS兼用(BOTH) |
| L2TPサーバーパスワード |
なし |
接続してきたVPNクライアントには、IPアドレスプール「VPNC」(192.168.8.1〜192.168.8.10)から空きアドレスを動的に割り当てます。また、クライアントのPPPユーザー名とパスワードは次のとおりとします。
表 3:VPNクライアント用のPPPユーザー名とパスワード
| 登録ユーザー(パスワード)(1) |
AAA(PasswordA) |
| 登録ユーザー(パスワード)(2) |
BBB(PasswordB) |
ルーター・VPNクライアント間のL2TPトンネルは、IPsecトランスポートモードで暗号化します。そのための設定は次のとおりです。トランスポートモードのESPを使って、L2TPパケットだけを暗号化します。
表 4:IKEフェーズ1(ISAKMP SAのネゴシエーション)
| 認証方式 |
事前共有鍵(pre-shared key) |
| IKE交換モード |
Mainモード |
| 事前共有鍵 |
secret(文字列) |
| Oakleyグループ |
1(デフォルト) |
| ISAKMPメッセージの暗号化方式 |
DES(デフォルト) |
| ISAKMPメッセージの認証方式 |
SHA1(デフォルト) |
| ISAKMP SAの有効期限(時間) |
86400秒(24時間)(デフォルト) |
| ISAKMP SAの有効期限(Kbyte数) |
なし(デフォルト) |
| 起動時のISAKMPネゴシエーション |
行わない |
| NAT-Traversalのネゴシエーション |
行う |
表 5:IKEフェーズ2(IPsec SAのネゴシエーション)
| SAモード |
トランスポートモード |
| セキュリティープロトコル |
ESP(暗号+認証) |
| 暗号化方式 |
DES |
| 認証方式 |
SHA1 |
| IPsec SAの有効期限(時間) |
28800秒(8時間)(デフォルト) |
| IPsec SAの有効期限(Kbyte数) |
なし(デフォルト) |
| IPsecの適用対象IPアドレス |
10.100.10.1:1701/udp ←→ 不定 |
| インターネットとの平文通信 |
行う |
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- WAN側Ethernetインターフェース(eth1)上にPPPインターフェースを作成します。「OVER=eth1-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth1-ANY ↓
- ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth1-ANY USER=user@isp PASSWORD=isppasswd LQR=OFF BAP=OFF ECHO=ON ↓
Note
- ファームウェアバージョン2.6以降、「IDLE=OFF」(デフォルト)に設定されたPPPoEインターフェースでは、PPPoEセッションキープアライブ機能が働くため、リンクダウン時に自動的に再接続を試みます(リンクダウンを検出するため「ECHO=ON」の設定は必要)。そのため、以前のバージョンで使用していた自動再接続のためのインターフェーストリガーは必要なくなりました。ただし、トリガーの設定があっても問題はありません。以前の設定もそのまま使用できます。
Note
- バージョン2.6よりも前のファームウェアでPPPoEの自動再接続を行うにはインターフェーストリガーの設定が必要です。設定方法については、ご使用中のバージョンに対応したマニュアルをご覧ください。
- IPモジュールを有効にします。
- LAN側(eth0)インターフェースにIPアドレスを設定します。
ADD IP INT=eth0 IP=192.168.10.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにISPから割り当てられたIPアドレスを設定します。
ADD IP INT=ppp0 IP=10.100.10.1 MASK=255.255.255.255 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- 暗号化されたL2TPトンネル経由でPPP接続してくるVPNクライアントを認証するためのユーザー(PPPユーザー)を登録します。
ADD USER=AAA PASSWORD=PasswordA LOGIN=NO ↓
ADD USER=BBB PASSWORD=PasswordB LOGIN=NO ↓
- IPアドレスプール「VPNC」を作成し、接続してきたVPNクライアントに割り当てるアドレスの範囲を指定します。
CREATE IP POOL=VPNC IP=192.168.8.1-192.168.8.10 ↓
- L2TP経由でVPNクライアントがPPP接続してきたときに動的に作成するPPPインターフェースのテンプレート「1」を作成します。接続時の認証にはCHAPを使い、アドレス割り当てにはIPアドレスプール「VPNC」を使うようにします。
CREATE PPP TEMPLATE=1 IPPOOL=VPNC AUTHENTICATION=CHAP BAP=OFF ECHO=30 ↓
- L2TPモジュールを有効にします。
- L2TPサーバーをBOTHモードで起動します。
ENABLE L2TP SERVER=BOTH ↓
- L2TP経由でVPNクライアントが接続してきたときに使用するPPPテンプレートを指定します。ここではクライアントのアドレスが不定なので、どのアドレスからでも接続を受け入れるように設定します。
ADD L2TP IP=0.0.0.0-255.255.255.255 PPPTEMPLATE=1 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- VPNクライアントがL2TP経由で接続してきたときに動的に作成されるPPPインターフェース用のファイアウォール設定を行います。最初に、ダイナミックインターフェーステンプレート「vpnif」を作成します。名前は自由です。
CREATE FIREWALL POLICY=net DYNAMIC=vpnif ↓
- 次に、ダイナミックインターフェーステンプレート「vpnif」の対象ユーザーを指定します。USERパラメーターで指定したユーザーが接続してきたときに動的作成されるPPPインターフェースは、ADD FIREWALL POLICY INTERFACEコマンドで「DYN-templatename」として参照できます(templatenameはテンプレート名)。ここでは対象ユーザーとして「ANY」を指定しています。これは、PPPの認証をパスしたすべてのユーザーが対象であることを示します。
ADD FIREWALL POLICY=net DYNAMIC=vpnif USER=ANY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側インターフェース(eth0)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE ↓
- WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- L2TP経由でユーザーが接続してきたときに動的作成されるPPPインターフェース(vpnif)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=DYN-vpnif TYPE=PRIVATE ↓
- LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0 GBLINT=ppp0 ↓
- VPNクライアントがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=DYN-vpnif GBLINT=ppp0 ↓
- VPNクライアントから受信したIKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)がファイアウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=500 GBLIP=10.100.10.1 PORT=500 IP=10.100.10.1 ↓
ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=4500 GBLIP=10.100.10.1 PORT=4500 IP=10.100.10.1 ↓
- 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットがUDPで終点IPアドレスが10.100.10.1、終点ポートが1701番(L2TPパケット)ならば許可する」の意味になります。
ADD FIREWALL POLICY=net RULE=3 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=1701 GBLIP=10.100.10.1 PORT=1701 IP=10.100.10.1 ENCAP=IPSEC ↓
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(VPNクライアントにも同じ値を設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
- VPNクライアントからのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。
ISAKMPメッセージの暗号化には「DES」(デフォルト)、認証には「SHA」アルゴリズム(デフォルト)、Oakleyグループは「1」(デフォルト)を使用し、VPNクライアントとの認証には前の手順で作成した事前共有鍵(鍵番号「1」)を使います。さらに、クライアントのIPアドレスが不定なためPEERにANYを指定し、NAT-Traversalを有効にしています。
CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE NATTRAVERSAL=TRUE ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。この例ではL2TPによってトンネリングを行うため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。UDP1701番ポートを使って送受信されるL2TPパケットだけを暗号化する形になります。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- IKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)を素通しさせるIPsecポリシー「isa」「nat」を作成します。
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY=nat INT=ppp0 ACTION=PERMIT LPORT=4500 TRANSPORT=UDP ↓
Note
- NAT-Traversalを使用する場合は、必ずIKEとNAT-Tのパケットが通過できるような設定を行ってください。
Note
- 「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- L2TPパケットを暗号化するIPsecポリシー「L2」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を指定します。VPNクライアントのIPアドレスが不定なため、PEERにはISAKMPの認証をパスした相手という意味の「DYNAMIC」を、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LPORTとTRANSPORTで対象となるパケットの条件(ここではL2TPパケット)を指定します。
CREATE IPSEC POLICY=L2 INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓
SET IPSEC POLICY=L2 LPORT=1701 TRANSPORT=UDP ↓
- インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
Note
- インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。
いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
■ 参考まで、VPNクライアント(Windows XP)の設定手順について簡単に述べます。ここでは、すでにクライアントPC側でインターネットアクセスの設定が完了しており、IPを使ってルーターに到達可能な状態にあると仮定しています。本例ではNAT-Tを使用するため、ルーターまでの経路上にNAT機器が存在していてもかまいません。なお、クライアント側の詳細な設定方法については、Windows XPのマニュアルなどをご覧ください。
Note
- 本設定例は、NAT-Traversalを利用したリモートアクセス型IPsec VPNの一構成例であり、Windows XPとの接続性を保証するものではありません。
Note
- 以下に述べる手順は一例です。サービスパックや修正プログラムの適用状況、環境設定の仕方などによっては、以下の手順で接続できない可能性もあります(本例はサービスパック2(SP2)を適用した環境にもとづいています)。詳しくは、Windows XPのマニュアルなどをご参照ください。
- 「コントロールパネル」の「ネットワーク接続」を開き、「新しい接続ウィザード」をダブルクリックします。
- 「新しい接続ウィザード」ダイアログが開くので「次へ」をクリックします。
- 「職場のネットワークへ接続する」を選択して「次へ」をクリックします。
- 「仮想プライベート ネットワーク接続」を選択して「次へ」をクリックします。
- 「会社名」に任意の名前を入力して「次へ」をクリックします。ここでは例として「OfficeAR」と入力しています。
- 「ホスト名またはIPアドレス」に接続先IPsecルーターのIPアドレスを入力して「次へ」をクリックします。本例では、ルーターのWAN側IPアドレスである「10.100.10.1」になります。
- 「完了」をクリックします。
- 「XXXX へ接続」ダイアログが開くので「プロパティ」をクリックします(XXXX は手順5で入力した「会社名」)。
- 「セキュリティ」タブを開き、「IPsec設定」をクリックします。
- 「IPsec設定」ダイアログが開くので、「認証に事前共有キーを使う」にチェックを入れ、「キー」にルーター上で設定した事前共有鍵の文字列を入力して「OK」をクリックします。
Note
- 本設定例において、事前共有鍵は全クライアント共通となります。
- 「ネットワーク」タブを開き、「VPNの種類」から「L2TP IPsec VPN」を選択して、「OK」をクリックします。
Note
- VPNクライアント側でTCP/IP以外のプロトコルを利用するよう設定している場合、VPN接続時に「XXXは使用できませんがそのまま接続しますか」(XXXはプロトコル名)といったメッセージが表示される場合があります。これは、接続先のルーターが該当プロトコルをサポートしていないという意味であり、そのまま接続すればTCP/IPの通信は可能です。このようなメッセージが出ないようにするには、「ネットワーク」タブの「この接続は次の項目を使用します」で該当プロトコルのチェックをはずしてください。
- 以上で設定は完了です。
「XXXX へ接続」ダイアログに戻ったら、「ユーザー名」と「パスワード」にルーター上で設定したPPPユーザー名とパスワードを入力して、「接続」をクリックすると、接続が開始されます。
■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。
たとえば、ネットワーク192.168.10.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。
ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓
■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。
■ セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10〜600(秒)を指定します。デフォルトは60秒です。
SET USER SECUREDELAY=300 ↓
ルーターのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
CREATE PPP=0 OVER=eth1-ANY ↓
SET PPP=0 OVER=eth1-ANY USER=user@isp PASSWORD=isppasswd LQR=OFF BAP=OFF ECHO=ON ↓
ENABLE IP ↓
ADD IP INT=eth0 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=10.100.10.1 MASK=255.255.255.255 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ADD USER=AAA PASSWORD=PasswordA LOGIN=NO ↓
ADD USER=BBB PASSWORD=PasswordB LOGIN=NO ↓
CREATE IP POOL=VPNC IP=192.168.8.1-192.168.8.10 ↓
CREATE PPP TEMPLATE=1 IPPOOL=VPNC AUTHENTICATION=CHAP BAP=OFF ECHO=30 ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=BOTH ↓
ADD L2TP IP=0.0.0.0-255.255.255.255 PPPTEMPLATE=1 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
CREATE FIREWALL POLICY=net DYNAMIC=vpnif ↓
ADD FIREWALL POLICY=net DYNAMIC=vpnif USER=ANY ↓
ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net INT=DYN-vpnif TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=DYN-vpnif GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=500 GBLIP=10.100.10.1 PORT=500 IP=10.100.10.1 ↓
ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=4500 GBLIP=10.100.10.1 PORT=4500 IP=10.100.10.1 ↓
ADD FIREWALL POLICY=net RULE=3 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=1701 GBLIP=10.100.10.1 PORT=1701 IP=10.100.10.1 ENCAP=IPSEC ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE NATTRAVERSAL=TRUE ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY=nat INT=ppp0 ACTION=PERMIT LPORT=4500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY=L2 INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓
SET IPSEC POLICY=L2 LPORT=1701 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
CentreCOM AR740 設定例集 2.6 #149
(C) 1997 - 2008 アライドテレシスホールディングス株式会社
PN: 613-000216 Rev.C
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))