2点間IPsec VPN（自動鍵。両側アドレス固定。インターネットアクセスあり）

インターネット上に暗号化されたトンネルを張り、2つの拠点をIP接続するIPsec VPNの設定例です（自動鍵管理）。両側のルーターにグローバルアドレスが固定的に設定されている場合の基本設定です。この例では、ファイアウォールとダイナミックENATの設定を行い、拠点間のVPN通信だけでなくインターネットへもアクセスできるようにしています。

IPsecとファイアウォールを併用する場合は、次の点がポイントになります。

IPsec関連のパケット（IKE、ESP）がファイアウォールで遮断されないようにルールを設定する。
トンネリング対象のパケットにNATが適用されないようルールを設定する。

ここでは、次のようなネットワーク構成を例に解説します。ルーターA、Bともに専用線でインターネットに接続しています。WAN側アドレスはどちらもUnnumberedです。

Note - IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに別売の暗号ボードまたは暗号・圧縮ボードを装着する必要があります。

表 1

ルーターA ルーターB

TDMグループ名 ISPA ISPB

回線速度 128Kbps 128Kbps

WAN側物理インターフェース bri0 bri0

WAN側（ppp0）IPアドレス Unnumbered Unnumbered

LAN側（eth0-0）IPアドレス(1) 200.100.10.1/28 200.100.20.1/28

LAN側（eth0-1）IPアドレス(2) 192.168.10.1/24 192.168.20.1/24

表 2：IKEフェーズ1（ISAKMP SAのネゴシエーション）

ルーター間の認証方式事前共有鍵（pre-shared key）

IKE交換モード Mainモード

事前共有鍵 secret（文字列）

Oakleyグループ 1（デフォルト）

ISAKMPメッセージの暗号化方式 DES（デフォルト）

ISAKMPメッセージの認証方式 SHA1（デフォルト）

ISAKMP SAの有効期限（時間） 86400秒（24時間）（デフォルト）

ISAKMP SAの有効期限（Kbyte数）なし（デフォルト）

起動時のISAKMPネゴシエーション行う

表 3：IKEフェーズ2（IPsec SAのネゴシエーション）

SAモードトンネルモード

セキュリティープロトコル ESP（暗号＋認証）

暗号化方式 DES

認証方式 SHA1

IPsec SAの有効期限（時間） 28800秒（8時間）（デフォルト）

IPsec SAの有効期限（Kbyte数）なし（デフォルト）

トンネリング対象IPアドレス 192.168.10.0/24 ←→ 192.168.20.0/24

トンネル終端アドレス 200.100.10.1（A）・200.100.20.1（B）

インターネットとの平文通信行う

ルーターAの設定

セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
BRIインターフェース「0」の全スロット（1～2）を、常時起動のTDM（専用線）モードに設定します。
bri0のスロット1～2（128Kbps）に対して、TDMグループ「ISPA」を作成します。
PPPインターフェース「0」をTDMグループ「ISPA」上に作成します。
IPモジュールを有効にします。
LAN側（eth0）インターフェースにIPアドレスを設定します。
WAN側（ppp0）インターフェースにIPアドレス「0.0.0.0」を割り当て、Unnumberedを使用するよう設定します。
デフォルトルートを設定します。
ファイアウォール機能を有効にします。
ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
Note - デフォルト設定では、ICMPはファイアウォールを通過できません。
ルーターのidentプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側グローバルセグメント（eth0-0）をPUBLIC（外部）に設定します。
- LAN側プライベートセグメント（eth0-1）をPRIVATE（内部）に設定します。
- WAN側インターフェース（ppp0）をPUBLIC（外部）に設定します。
エンハンストNATの設定を行います。プライベート側（eth0-1）IPアドレスを、グローバルアドレス200.100.10.1に変換するよう設定します。
IKEのパケットがファイアウォールを通過できるようにします。
ルーターBとのプライベートLAN間通信（192.168.10.0/24－192.168.20.0/24）をNATの対象から除外するよう設定します。
ルーターAのプライベート側インターフェース宛のパケットのうち、IPsecが適用されているパケットのみを通過させる設定を行います。
ISAKMP用の事前共有鍵（pre-shared key）を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します（ルーターBと同じに設定）。
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）等で設定スクリプトファイル（.CFG）にこのコマンドを記述しても無効になりますのでご注意ください。
ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵（鍵番号「1」）を、PEERには対向ルーターのIPアドレスを指定します。また、お互いに専用線接続のため、「PRENEGOTIATE=TRUE」を指定して、ルーター起動時にIKEのネゴシエーションを行っておきます。
IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード（デフォルト）、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット（ISAKMP）に設定します。
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
実際のIPsec通信に使用するIPsecポリシー「vpn」を、PPPインターフェース「0」に対して作成します。

鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。また、IPsecパケットの始点アドレスとして、eth0-0のアドレスを使うよう指定します。
IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
IPsecモジュールを有効にします。
ISAKMPモジュールを有効にします。
Security Officerレベルのユーザーでログインしなおします。
動作モードをセキュリティーモードに切り替えます。
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）の設定を行っておいてください（本章末尾のメモを参照）。
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

ルーターBの設定

セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
BRIインターフェース「0」の全スロット（1～2）を、常時起動のTDM（専用線）モードに設定します。
bri0のスロット1～2（128Kbps）に対して、TDMグループ「ISPB」を作成します。
PPPインターフェース「0」をTDMグループ「ISPB」上に作成します。
IPモジュールを有効にします。
LAN側（eth0）インターフェースにIPアドレスを設定します。
WAN側（ppp0）インターフェースにIPアドレス「0.0.0.0」を割り当て、Unnumberedを使用するよう設定します。
デフォルトルートを設定します。
ファイアウォール機能を有効にします。
ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
Note - デフォルト設定では、ICMPはファイアウォールを通過できません。
ルーターのidentプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側グローバルセグメント（eth0-0）をPUBLIC（外部）に設定します。
- LAN側プライベートセグメント（eth0-1）をPRIVATE（内部）に設定します。
- WAN側インターフェース（ppp0）をPUBLIC（外部）に設定します。
エンハンストNATの設定を行います。プライベート側（eth0-1）IPアドレスを、グローバルアドレス200.100.20.1に変換するよう設定します。
IKEのパケットがファイアウォールを通過できるようにします。
ルーターAとのプライベートLAN間通信（192.168.20.0/24－192.168.10.0/24）をNATの対象から除外するよう設定します。
ルーターBのプライベート側インターフェース宛のパケットのうち、IPsecが適用されているパケットのみを通過させる設定を行います。
ISAKMP用の事前共有鍵（pre-shared key）を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します（ルーターAと同じに設定）。
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）等で設定スクリプトファイル（.CFG）にこのコマンドを記述しても無効になりますのでご注意ください。
ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵（鍵番号「1」）を、PEERには対向ルーターのIPアドレスを指定します。また、お互いに専用線接続のため、「PRENEGOTIATE=TRUE」を指定して、ルーター起動時にIKEのネゴシエーションを行っておきます。
IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード（デフォルト）、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット（ISAKMP）に設定します。
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
実際のIPsec通信に使用するIPsecポリシー「vpn」を、PPPインターフェース「0」に対して作成します。

鍵管理方式には「ISAKMP」を、PEERには、ルーターAのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。また、IPsecパケットの始点アドレスとして、eth0-0のアドレスを使うよう指定します。
IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
IPsecモジュールを有効にします。
ISAKMPモジュールを有効にします。
Security Officerレベルのユーザーでログインしなおします。
動作モードをセキュリティーモードに切り替えます。
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）の設定を行っておいてください（本章末尾のメモを参照）。
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

メモ

■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。

たとえば、ネットワーク192.168.10.0/24、192.168.20.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。


ENABLE USER RSO ↓

ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓

ADD USER RSO IP=192.168.20.0 MASK=255.255.255.0 ↓

■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。

■ セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10～600（秒）を指定します。デフォルトは60秒です。

SET USER SECUREDELAY=300 ↓

まとめ

ルーターAのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓ CREATE TDM GROUP=ISPA INT=bri0 SLOTS=1-2 ↓ CREATE PPP=0 OVER=TDM-ISPA LQR=OFF ↓ ENABLE IP ↓ ADD IP INT=eth0-0 IP=200.100.10.1 MASK=255.255.255.240 ↓ ADD IP INT=eth0-1 IP=192.168.10.1 MASK=255.255.255.0 ↓ ADD IP INT=ppp0 IP=0.0.0.0 MASK=0.0.0.0 ↓ ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓ ENABLE FIREWALL ↓ CREATE FIREWALL POLICY=net ↓ ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓ DISABLE FIREWALL POLICY=net IDENTPROXY ↓ ADD FIREWALL POLICY=net INT=eth0-0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net INT=eth0-1 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net NAT=ENHANCED INTERFACE=eth0-1 GBLINT=ppp0 GBLIP=200.100.10.1 ↓ ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PORT=500 IP=200.100.10.1 GBLIP=200.100.10.1 GBLPORT=500 ↓ ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=eth0-1 PROT=ALL IP=192.168.10.1-192.168.10.254 ↓ SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.20.1-192.168.20.254 ↓ ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.10.1-192.168.10.254 ENCAP=IPSEC ↓ # CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓ CREATE ISAKMP POLICY="i" PEER=200.100.20.1 KEY=1 SENDN=TRUE PRENEGOTIATE=TRUE SRCINT=eth0-0 ↓ CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓ CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓ CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.20.1 SRCINT=eth0-0 ↓ SET IPSEC POLICY="vpn" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓ CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓ ENABLE IPSEC ↓ ENABLE ISAKMP ↓ # LOGIN secoff ↓ # ENABLE SYSTEM SECURITY_MODE ↓

ルーターBのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓ CREATE TDM GROUP=ISPB INT=bri0 SLOTS=1-2 ↓ CREATE PPP=0 OVER=TDM-ISPB LQR=OFF ↓ ENABLE IP ↓ ADD IP INT=eth0-0 IP=200.100.20.1 MASK=255.255.255.240 ↓ ADD IP INT=eth0-1 IP=192.168.20.1 MASK=255.255.255.0 ↓ ADD IP INT=ppp0 IP=0.0.0.0 MASK=0.0.0.0 ↓ ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓ ENABLE FIREWALL ↓ CREATE FIREWALL POLICY=net ↓ ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓ DISABLE FIREWALL POLICY=net IDENTPROXY ↓ ADD FIREWALL POLICY=net INT=eth0-0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net INT=eth0-1 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net NAT=ENHANCED INTERFACE=eth0-1 GBLINT=ppp0 GBLIP=200.100.20.1 ↓ ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PORT=500 IP=200.100.20.1 GBLIP=200.100.20.1 GBLPORT=500 ↓ ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=eth0-1 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓ SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254 ↓ ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓ # CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓ CREATE ISAKMP POLICY="i" PEER=200.100.10.1 KEY=1 SENDN=TRUE PRENEGOTIATE=TRUE SRCINT=eth0-0 ↓ CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓ CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓ CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.10.1 SRCINT=eth0-0 ↓ SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓ CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓ ENABLE IPSEC ↓ ENABLE ISAKMP ↓ # LOGIN secoff ↓ # ENABLE SYSTEM SECURITY_MODE ↓

CentreCOM AR740 設定例集 2.6 #87

PN: 613-000216 Rev.C

＜前頁次頁＞＜＜＞＞ ↑ 目次（番号順 (詳細)・回線別 (詳細)・機能別 (詳細)）

	ルーターA	ルーターB
TDMグループ名	ISPA	ISPB
回線速度	128Kbps	128Kbps
WAN側物理インターフェース	bri0	bri0
WAN側（ppp0）IPアドレス	Unnumbered	Unnumbered
LAN側（eth0-0）IPアドレス(1)	200.100.10.1/28	200.100.20.1/28
LAN側（eth0-1）IPアドレス(2)	192.168.10.1/24	192.168.20.1/24

ルーター間の認証方式	事前共有鍵（pre-shared key）
IKE交換モード	Mainモード
事前共有鍵	secret（文字列）
Oakleyグループ	1（デフォルト）
ISAKMPメッセージの暗号化方式	DES（デフォルト）
ISAKMPメッセージの認証方式	SHA1（デフォルト）
ISAKMP SAの有効期限（時間）	86400秒（24時間）（デフォルト）
ISAKMP SAの有効期限（Kbyte数）	なし（デフォルト）
起動時のISAKMPネゴシエーション	行う

SAモード	トンネルモード
セキュリティープロトコル	ESP（暗号＋認証）
暗号化方式	DES
認証方式	SHA1
IPsec SAの有効期限（時間）	28800秒（8時間）（デフォルト）
IPsec SAの有効期限（Kbyte数）	なし（デフォルト）
トンネリング対象IPアドレス	192.168.10.0/24 ←→ 192.168.20.0/24
トンネル終端アドレス	200.100.10.1（A）・200.100.20.1（B）
インターネットとの平文通信	行う