<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #114

PPPoEインターネット接続環境におけるL2TP+IPsec LAN間接続(IP/AppleTalk。両側アドレス固定)

PPPoEでインターネットに接続している2つの拠点をL2TPで結ぶVPN構築例です。この例では、グローバルアドレス8個を固定的に割り当てられているサイトと、グローバルアドレス1個を固定的に割り当てられているサイトの間をL2TPのトンネルで接続し、IPとAppleTalkを通します。さらに、L2TPトンネルをトランスポートモードIPsec(ESP)で暗号化し、インターネット上を通るデータの安全性を確保します。


Note - IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに別売の暗号ボード(AR010)または暗号・圧縮ボード(AR011)を装着する必要があります。

各拠点は、ISPから次の情報を提供されているものとします。

表 1:ISPから提供された情報
 
ルーターA
ルーターB
PPPユーザー名 user@ispA user@ispB
PPPパスワード isppasswdA isppasswdB
PPPoEサービス名 指定なし 指定なし
使用できるIPアドレス 4.4.4.0/29 12.34.56.78/32
接続形態 LAN型(アドレス8個固定) 端末型(アドレス1個固定)


ルーターA側(LAN型アドレス8個固定)では、LAN側インターフェースをマルチホーミングして、グローバルサブネットにサーバーを、プライベートサブネットにクライアントを配置します。ルーターBは、ダイナミックENATを使用した通常の端末型設定(アドレス1個固定)です。

以下、ルーターA、Bの基本設定についてまとめます。

表 2:ルーターA、Bの基本設定
 
ルーターA
ルーターB
WAN側物理インターフェース eth1 eth1
WAN側IPアドレス(1) Unnumbered(ppp0-0) 12.34.56.78/32(ppp0)
WAN側IPアドレス(2) 4.4.4.1/32(ppp0-1)
LAN側IPアドレス 192.168.10.1/24(eth0-1) 192.168.20.1/24(eth0)
DMZ側IPアドレス 4.4.4.2/29(eth0-0)



IPネットワーク(インターネット)上に構築するL2TP VPNの設定は次のとおりです。L2TPトンネルは、ルーターAのグローバルアドレス(4.4.4.1)とルーターBのグローバルアドレス(12.34.56.78)の間に張られます。トンネル上に張った仮想PPPコネクション(ppp1−ppp1)はプライベートLAN間を接続するためのもので、IPとAppleTalkのパケットを通します。

ルーターAでは、WAN側(ppp0)インターフェースをマルチホーミングし、そのうちの一方(ppp0-1)にグローバルアドレスの1つを設定していますが、これはISP接続時に割り当てられるIPアドレスがネットワークアドレス(ホスト部が0のアドレス。始点アドレスとしては使用できない)であるためです。詳細は章末の「メモ」をご覧ください。

表 3:L2TP・IP・AppleTalk設定
 
ルーターA
ルーターB
L2TPコール名 remote remote
L2TP終端アドレス 4.4.4.1 12.34.56.78
L2TP発着優先 発呼優先 着呼優先
L2TPサーバーモード LAC/LNS兼用(BOTH) LAC/LNS兼用(BOTH)
L2TPサーバーパスワード l2tpA l2tpB
WAN側(ppp1)IPアドレス Unnumbered Unnumbered
LAN側(eth0)AppleTalkネットワーク番号 10 20
LAN側デフォルトゾーン名 NetA NetB



さらに、L2TPトンネルをIPsecで暗号化します。そのときの設定は次のとおりです。トランスポートモードのESPを使って、ルーター間のL2TPパケット(始点・終点UDPポート1701)だけを暗号化します。

表 4:IKEフェーズ1(ISAKMP SAのネゴシエーション)
ルーター間の認証方式 事前共有鍵(pre-shared key)
IKE交換モード Mainモード
事前共有鍵 secret(文字列)
Oakleyグループ 1(デフォルト)
ISAKMPメッセージの暗号化方式 DES(デフォルト)
ISAKMPメッセージの認証方式 SHA1(デフォルト)
ISAKMP SAの有効期限(時間) 86400秒(24時間)(デフォルト)
ISAKMP SAの有効期限(Kbyte数) なし(デフォルト)
起動時のISAKMPネゴシエーション 行わない


表 5:IKEフェーズ2(IPsec SAのネゴシエーション)
SAモード トランスポートモード
セキュリティープロトコル ESP(暗号+認証)
暗号化方式 DES
認証方式 SHA1
IPComp 使わない
IPsec SAの有効期限(時間) 28800秒(8時間)(デフォルト)
IPsec SAの有効期限(Kbyte数) なし(デフォルト)
IPsecの適用対象IPアドレス 4.4.4.1:1701/udp ←→ 12.34.56.78:1701/udp
インターネットとの平文通信 行なう




Note - 本設定例では、PPPインターフェースのリンクアップ・ダウンによって、トリガーの状態が動的に変化します。そのため、以下の設定コマンドはルーターのWAN側インターフェース(eth1)にケーブルを接続していない状態(PPPインターフェースがリンクアップしない状態)で入力してください。詳細については章末の「メモ」をご覧ください。


ルーターAの設定

  1. IPsecはセキュリティーモードでないと動作しないので、同モードで管理設定を行うことのできるSecurity Officerレベルのユーザーをあらかじめ登録しておきます。


    Note - Security Officerのパスワードは厳重に管理してください。

  2. WAN側Ethernetインターフェース(eth1)上にPPPインターフェースを作成します。「OVER=eth1-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「any」を設定します。


  3. ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


    Note - PPPoEのLAN型接続におけるWAN側(PPP)インターフェースは、厳密にはUnnumberedではありません。L2TPを使用する本例ではこのことが設定に影響を与えてきます。詳しくは章末の「メモ」をご覧ください。

  4. IPモジュールを有効にします。


  5. IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。


  6. LAN側(eth0-0)インターフェースにISPから割り当てられたグローバルアドレスのうちの1つ(4.4.4.2)を設定し、擬似的なDMZとして使用します。アドレスを8個や16個といった単位で割り当てられる場合は、ネットマスクが変則的になるので注意してください。


  7. LAN側(eth0-1)インターフェースにプライベートIPアドレスを割り当て、クライアント用のサブネットとします。


  8. WAN側(ppp0)インターフェースをマルチホーミングし、ppp0-0をUnnumberedに設定します。


  9. WAN側(ppp0-1)インターフェースにISPから割り当てられたグローバルアドレスの先頭アドレス(4.4.4.1)を32ビットマスクで割り当てます。デフォルトルートをこのインターフェースに向けることで、L2TPパケットの始点アドレスとしてこのアドレスが使われるようにします。


  10. デフォルトルートをppp0-1に向けて設定します。これは、ルーターAが送信するL2TPパケットの始点アドレスとして、ppp0-1のアドレスが使われるようにするためです(通常、本製品自身がパケットを送信するときは、送出インターフェースのアドレスを始点アドレスとして使います)。


  11. PPPoEセッションを自動再接続するためのトリガースクリプトを作成します。


    Note - ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド(内蔵フルスクリーンエディター)等を使って設定スクリプトファイル(.CFG)にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。

  12. トリガー機能を有効にします。


  13. PPPoEセッションを自動再接続するためのトリガーを作成します。


  14. L2TPモジュールを有効にします。


  15. L2TPサーバーの動作モードをBOTHにします。


  16. 他のL2TPサーバーから接続要求を受けた際の認証用パスワードを設定します。


  17. L2TPコール「remote」を作成し、L2TPの接続先情報を登録します。IPには相手ルーターのIPアドレスを指定します。TYPEは呼の種類を示すもので、LAN間接続の場合はVIRTUALを指定します。REMOTEには、このL2TPコールに応じて相手側が起動するL2TPコール名を指定します。PRECEDENCEはL2TPの通信が同時に開始された場合に発呼・着呼のどちらを優先するかを指定します。PASSWORDには、接続先で認証を受けるためのパスワードを指定します。


  18. L2TPコールを仮想的な物理回線と見なし、その上にPPPインターフェースを作成します。OVERパラメーターにL2TPコールを指定するときは、コール名の前に「TNL-」を付けます。また、ここでは「IDLE=ON」を指定して、必要なときだけ接続するよう設定します。


  19. L2TP仮想回線上のPPPインターフェース「1」をUnnumberedに設定します。このインターフェースは、両拠点のプライベートLAN同士を接続する仮想インターフェースです。


  20. 経路情報を設定します。ルーターBのLAN側(192.168.20.0/24)宛てのパケットは、L2TP上のPPPインターフェース「1」を通じて送り出します。


  21. AppleTalkモジュールを有効にします。


  22. LAN側(eth0)インターフェースにAppleTalkポートを作成します。「SEED=10」はシードルーターとして機能させるためのパラメーターで、LAN側のAppleTalkネットワーク番号を10としています。


  23. LAN側ネットワークのデフォルトゾーン名を設定します。ここではNetAという名前にしています。


  24. L2TP仮想回線上のPPPインターフェース(ppp1)にAppleTalkポートを作成します。「DEMAND=ON」はルーティング情報(RTMP)の交換を行わないようにするための指定です。


  25. スタティックルートを設定します。この例ではRTMPを使っていないため必須です。


  26. ファイアウォール機能を有効にします。


  27. ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。


  28. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。


    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

  29. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。


  30. ファイアウォールポリシーの適用対象となるインターフェースを指定します。


  31. LAN側(eth0-1)ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスにはppp0-1に割り当てた4.4.4.1を共用します。


  32. 外部からのパケットをすべて拒否するファイアウォールの基本ルールに対し、DMZのサーバーへパケットを通すための設定を行います。


  33. 相手ルーターから受信したIKEパケット(UDP500番)がファイアウォールを通過できるように設定します。


  34. ローカルLANからリモートLANへのパケットにはNATをかけないように設定します。


  35. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケット(L2TPパケット)を取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットがUDPで終点IPアドレスが4.4.4.1、終点ポートが1701番ならばNATの対象外とする」の意味になります。


  36. ここからがIPsecの設定になります。最初にISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターBと同じに設定)。


    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。

  37. ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERには対向ルーターのIPアドレスを指定します。


  38. IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。この例ではすでにL2TPのトンネルが存在するため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。相手ルーターのUDP1701番ポート宛てに送受信されるL2TPパケットだけを暗号化する形になります。


  39. SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。


  40. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。


    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

  41. L2TPパケットを暗号化するIPsecポリシー「L2」をPPPインターフェース「0-1」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスを、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LAD、LPORT、RAD、LPORTで対象となるパケットの条件を指定します。


  42. インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0-1」に対して作成します。


    Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。

  43. IPsecモジュールを有効にします。


  44. ISAKMPモジュールを有効にします。


  45. Security Officerレベルのユーザーでログインしなおします。


  46. 動作モードをセキュリティーモードに切り替えます。


    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。

  47. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。


    Note - WAN側のケーブルを抜いた状態でここまでの設定を行った場合は、ファイル保存後にケーブルを接続してください。


ルーターBの設定

  1. IPsecはセキュリティーモードでないと動作しないので、同モードで管理設定を行うことのできるSecurity Officerレベルのユーザーをあらかじめ登録しておきます。


    Note - Security Officerのパスワードは厳重に管理してください。

  2. WAN側Ethernetインターフェース(eth1)上にPPPインターフェースを作成します。「OVER=eth1-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「any」を設定します。


  3. ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


  4. IPモジュールを有効にします。


  5. LAN側(eth0)インターフェースにIPアドレスを設定します。


  6. WAN側(ppp0)インターフェースにISPから割り当てられたIPアドレスを設定します。


  7. デフォルトルートを設定します。


  8. PPPoEセッションを自動再接続するためのトリガースクリプトを作成します。


    Note - ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド(内蔵フルスクリーンエディター)等を使って設定スクリプトファイル(.CFG)にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。

  9. トリガー機能を有効にします。


  10. PPPoEセッションを自動再接続するためのトリガーを作成します。


  11. L2TPモジュールを有効にします。


  12. L2TPサーバーの動作モードをBOTHにします。


  13. 他のL2TPサーバーから接続要求を受けた際の認証用パスワードを設定します。


  14. L2TPコール「remote」を作成し、L2TPの接続先情報を登録します。IPには相手ルーターのIPアドレスを指定します。TYPEは呼の種類を示すもので、LAN間接続の場合はVIRTUALを指定します。REMOTEには、このL2TPコールに応じて相手側が起動するL2TPコール名を指定します。PRECEDENCEはL2TPの通信が同時に開始された場合に発呼・着呼のどちらを優先するかを指定します。PASSWORDには、接続先で認証を受けるためのパスワードを指定します。


  15. L2TPコールを仮想的な物理回線と見なし、その上にPPPインターフェースを作成します。OVERパラメーターにL2TPコールを指定するときは、コール名の前に「TNL-」を付けます。また、ここでは「IDLE=ON」を指定して、必要なときだけ接続するよう設定します。


  16. L2TP仮想回線上のPPPインターフェース「1」をUnnumberedに設定します。このインターフェースは、両拠点のプライベートLAN同士を接続する仮想インターフェースです。


  17. 経路情報を設定します。ルーターAのLAN側(192.168.10.0/24)宛てのパケットは、L2TP上のPPPインターフェース「1」を通じて送り出します。


  18. AppleTalkモジュールを有効にします。


  19. LAN側(eth0)インターフェースにAppleTalkポートを作成します。「SEED=20」はシードルーターとして機能させるためのパラメーターで、LAN側のAppleTalkネットワーク番号を20としています。


  20. LAN側ネットワークのデフォルトゾーン名を設定します。ここではNetBという名前にしています。


  21. L2TP仮想回線上のPPPインターフェース(ppp1)にAppleTalkポートを作成します。「DEMAND=ON」はルーティング情報(RTMP)の交換を行わないようにするための指定です。


  22. スタティックルートを設定します。この例ではRTMPを使っていないため必須です。


  23. ファイアウォール機能を有効にします。


  24. ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。


  25. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。


    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

  26. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。


  27. ファイアウォールポリシーの適用対象となるインターフェースを指定します。


  28. LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。


  29. 相手ルーターから受信したIKEパケット(UDP500番)がファイアウォールを通過できるように設定します。


  30. ローカルLANからリモートLANへのパケットにはNATをかけないように設定します。


  31. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケット(L2TPパケット)を取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットがUDPで終点IPアドレスが12.34.56.78、終点ポートが1701番ならばNATの対象外とする」の意味になります。


  32. ここからがIPsecの設定になります。最初にISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターAと同じに設定)。


    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。

  33. ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERには対向ルーターのIPアドレスを指定します。


  34. IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。この例ではすでにL2TPのトンネルが存在するため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。相手ルーターのUDP1701番ポート宛てに送受信されるL2TPパケットだけを暗号化する形になります。


  35. SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。


  36. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。


    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

  37. L2TPパケットを暗号化するIPsecポリシー「L2」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターAのIPアドレスを、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LAD、LPORT、RAD、LPORTで対象となるパケットの条件を指定します。


  38. インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。


    Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。

  39. IPsecモジュールを有効にします。


  40. ISAKMPモジュールを有効にします。


  41. Security Officerレベルのユーザーでログインしなおします。


  42. 動作モードをセキュリティーモードに切り替えます。


    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。

  43. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。


    Note - WAN側のケーブルを抜いた状態でここまでの設定を行った場合は、ファイル保存後にケーブルを接続してください。


メモ

■ 本構成例では、PPPリンクのアップ・ダウンによってトリガー「1」の状態(有効・無効)が動的に変化します。そのため、WAN側インターフェースにケーブルを接続したまま設定を行うと、コマンド入力時と設定保存時でトリガー「1」の状態が変わってしまうことがあります。その場合、PPP の自動再接続機能が働かなくなりますので、必ず次のいずれかの方法で設定を行ってください。


設定が正しく保存されているかどうかを確認するには、SHOW FILEコマンドかSHOW SCRIPTコマンドで設定ファイルを表示し、トリガー「1」の設定内容を確認してください。正しく保存されている場合、トリガー「1」の設定は次のようになります。


手順が正しくなかった場合は、次のように「state=disabled」というパラメーターが付きます。この設定では、ルーター起動直後に再接続機能が働きません。


この場合は、EDITコマンドで設定ファイルを開き、「state=disabled」を削除して上書き保存してください。


■ PPPoEのLAN型接続では、IPCPネゴシエーションによって、WAN側(PPP)インターフェースにネットワークアドレス(ホスト部が0のアドレス)が割り当てられます。ネットワークアドレスはホストアドレスとしては使用できないため事実上Unnumberedと同じですが、厳密に言うと専用線接続などで使用するUnnumberedとは異なります。

ルーター自身がWAN側インターフェースからIPパケットを送出する場合を考えます。純粋なUnnumberedでは、送出インターフェースにアドレスが設定されていないため、他のインターフェースのアドレスを使用します。しかし、PPPoE LAN型の場合は、まがりなりにもWAN側インターフェースにアドレスが設定されているため、パケットの始点アドレスとして本来使用できないネットワークアドレスが使用されてしまいます。

通常は、ルーター自身がパケットを送信することがないため、このことを意識する必要はありません。しかし、IPsecを使用するときなどは、始点アドレスに有効なアドレスが使われるよう注意が必要です。これには、WAN側インターフェースをマルチホーミングし、一方に有効なアドレスを設定した上で、デフォルトルートをそちらに向ける必要があります。ここでは、ISPから4.4.4.0/29のアドレスを割り当てられているものと仮定します。


これにより、LAN側からWAN側へのパケットはppp0-1にルーティングされ、始点アドレスとして4.4.4.1が使用されるようになります。


■ ファイアウォールで遮断されたパケットのログをとるには、次のコマンドを実行します。


記録されたログを見るには、次のコマンドを実行します。ここでは、「TYPE=FIRE」により、ファイアウォールが出力したログメッセージだけを表示させています。



■ インターネット側からのPING(ICMP Echo Requestパケット)を拒否するには、次のようなIPフィルターをWAN側インターフェースに設定します。この例では、「LOG=HEADER」により、フィルターで拒否したパケットをログに記録しています。


記録されたログを見るには、次のコマンドを実行します。ここでは、「TYPE=IPFIL」により、IPフィルターが出力したログメッセージだけを表示させています。



■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。

たとえば、ネットワーク192.168.10.0/24、192.168.20.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。



■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。


■ セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10〜600(秒)を指定します。デフォルトは60秒です。

まとめ

ルーターAのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER
CREATE PPP=0 OVER=eth1-any
SET PPP=0 OVER=eth1-any BAP=OFF IPREQUEST=ON USER=user@ispA PASSWORD=isppasswdA LQR=OFF ECHO=ON
ENABLE IP
ENABLE IP REMOTEASSIGN
ADD IP INT=eth0-0 IP=4.4.4.2 MASK=255.255.255.248
ADD IP INT=eth0-1 IP=192.168.10.1 MASK=255.255.255.0
ADD IP INT=ppp0-0 IP=0.0.0.0
ADD IP INT=ppp0-1 IP=4.4.4.1 MASK=255.255.255.255
ADD IP ROUTE=0.0.0.0 INT=ppp0-1 NEXTHOP=0.0.0.0
ENABLE TRIGGER
CREATE TRIGGER=1 PERIODIC=3 SCRIPT=reset.scp
CREATE TRIGGER=2 INTERFACE=ppp0 EVENT=UP CP=IPCP SCRIPT=up.scp
CREATE TRIGGER=3 INTERFACE=ppp0 EVENT=DOWN CP=IPCP SCRIPT=down.scp
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
SET L2TP PASSWORD=l2tpA
ADD L2TP CALL=remote IP=12.34.56.78 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=OUT PASSWORD=l2tpB
CREATE PPP=1 OVER=TNL-remote IDLE=ON BAP=OFF LQR=OFF
ADD IP INT=ppp1 IP=0.0.0.0
ADD IP ROUTE=192.168.20.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0
ENABLE APPLETALK
ADD APPLETALK PORT INT=eth0 SEED=10
ADD APPLETALK ZONE=NetA PORT=1 DEFAULT
ADD APPLETALK PORT INT=ppp1 DEMAND=ON
ADD APPLETALK ROUTE=20 PORT=2 HOPS=2
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INT=eth0-1 TYPE=PRIVATE
ADD FIREWALL POLICY=net INT=eth0-0 TYPE=PRIVATE
ADD FIREWALL POLICY=net INT=ppp0-0 TYPE=PUBLIC
ADD FIREWALL POLICY=net INT=ppp0-1 TYPE=PUBLIC
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE
ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0-1 GBLINT=ppp0-1 GBLIP=4.4.4.1
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0-0 PROTO=TCP IP=4.4.4.3 PORT=80
ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=ppp0-0 PROTO=TCP IP=4.4.4.4 PORT=25
ADD FIREWALL POLICY=net RULE=3 AC=ALLOW INT=ppp0-0 PROTO=TCP IP=4.4.4.4 PORT=53
ADD FIREWALL POLICY=net RULE=4 AC=ALLOW INT=ppp0-0 PROTO=UDP IP=4.4.4.4 PORT=53
ADD FIREWALL POLICY=net RULE=5 AC=ALLOW INT=ppp0-1 PROT=UDP GBLPO=500 GBLIP=4.4.4.1 PO=500 IP=4.4.4.1
ADD FIREWALL POLICY=net RULE=6 AC=NONAT INT=eth0-1 PROT=ALL IP=192.168.10.1-192.168.10.254
SET FIREWALL POLICY=net RULE=6 REMOTEIP=192.168.20.1-192.168.20.254
ADD FIREWALL POLICY=net RULE=7 AC=NONAT INT=ppp0-1 PROT=UDP PORT=1701 IP=4.4.4.1 ENCAP=IPSEC
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
CREATE ISAKMP POLICY="i" PEER=12.34.56.78 KEY=1 SENDN=TRUE
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1"
CREATE IPSEC POLICY="isa" INT=ppp0-1 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY="L2" INT=ppp0-1 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=12.34.56.78
SET IPSEC POLICY="L2" LAD=4.4.4.1 LPORT=1701 RAD=12.34.56.78 RPORT=1701 TRANSPORT=UDP
CREATE IPSEC POLICY="inet" INT=ppp0-1 ACTION=PERMIT
ENABLE IPSEC
ENABLE ISAKMP
# LOGIN secoff
# ENABLE SYSTEM SECURITY_MODE


スクリプト「reset.scp」 [テキスト版]
RESET PPP=0


スクリプト「up.scp」 [テキスト版]
DISABLE TRIGGER=1


スクリプト「down.scp」 [テキスト版]
ENABLE TRIGGER=1


ルーターBのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER
CREATE PPP=0 OVER=eth1-any
SET PPP=0 OVER=eth1-any USER=user@ispB PASSWORD=isppasswdB LQR=OFF BAP=OFF ECHO=ON
ENABLE IP
ADD IP INT=eth0 IP=192.168.20.1 MASK=255.255.255.0
ADD IP INT=ppp0 IP=12.34.56.78 MASK=255.255.255.255
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0
ENABLE TRIGGER
CREATE TRIGGER=1 PERIODIC=3 SCRIPT=reset.scp
CREATE TRIGGER=2 INTERFACE=ppp0 EVENT=UP CP=IPCP SCRIPT=up.scp
CREATE TRIGGER=3 INTERFACE=ppp0 EVENT=DOWN CP=IPCP SCRIPT=down.scp
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
SET L2TP PASSWORD=l2tpB
ADD L2TP CALL=remote IP=4.4.4.1 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=IN PASSWORD=l2tpA
CREATE PPP=1 OVER=TNL-remote IDLE=ON BAP=OFF LQR=OFF
ADD IP INT=ppp1 IP=0.0.0.0
ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0
ENABLE APPLETALK
ADD APPLETALK PORT INT=eth0 SEED=20
ADD APPLETALK ZONE=NetB PORT=1 DEFAULT
ADD APPLETALK PORT INT=ppp1 DEMAND=ON
ADD APPLETALK ROUTE=10 PORT=2 HOPS=2
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE
ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0 GBLINT=ppp0
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPO=500 GBLIP=12.34.56.78 PO=500 IP=12.34.56.78
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=eth0 PROT=ALL IP=192.168.20.1-192.168.20.254
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=UDP PORT=1701 IP=12.34.56.78 ENCAP=IPSEC
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
CREATE ISAKMP POLICY="i" PEER=4.4.4.1 KEY=1 SENDN=TRUE
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1"
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY="L2" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=4.4.4.1
SET IPSEC POLICY="L2" LAD=12.34.56.78 LPORT=1701 RAD=4.4.4.1 RPORT=1701 TRANSPORT=UDP
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT
ENABLE IPSEC
ENABLE ISAKMP
# LOGIN secoff
# ENABLE SYSTEM SECURITY_MODE


スクリプト「reset.scp」 [テキスト版]
RESET PPP=0


スクリプト「up.scp」 [テキスト版]
DISABLE TRIGGER=1


スクリプト「down.scp」 [テキスト版]
ENABLE TRIGGER=1




CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #114

Copyright (C) 1997-2003 アライドテレシス株式会社

PN: J613-M0507-00 Rev.G

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)