<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #88
2点間IPsec VPN(自動鍵。片側アドレス不定。インターネットアクセスあり)
インターネット上に暗号化されたトンネルを張り、2つの拠点をIP接続するIPsec VPNの設定例です(自動鍵管理)。ダイヤルアップ接続など、片側の拠点のIPアドレスが不定な場合の基本設定です。この例では、ファイアウォールとダイナミックENATの設定を行い、拠点間のVPN通信だけでなくインターネットへもアクセスできるようにしています。
IPsecとファイアウォールを併用する場合は、次の点がポイントになります。
- IPsec関連のパケット(IKE、ESP)がファイアウォールで遮断されないようにルールを設定する。
- トンネリング対象のパケットにNATが適用されないようルールを設定する。
ここでは、次のようなネットワーク構成を例に解説します。ルーターAは専用線でISPに接続しており、グローバルアドレス8個を固定的に割り当てられています。一方、ルーターBはアドレス不定のダイヤルアップ接続であるとします。
Note
- IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに別売の暗号ボード(AR010)または暗号・圧縮ボード(AR011)を装着する必要があります。
表 1
| |
ルーターA |
ルーターB |
| TDMグループ名 |
ISPA |
− |
| 回線速度 |
128Kbps |
− |
| ISDNコール名 |
− |
ISPB |
| ISPアクセスポイントの番号 |
− |
03-1234-5678 |
| WAN側物理インターフェース |
bri0 |
bri0 |
| PPPユーザー名 |
− |
ispuser |
| PPPパスワード |
− |
isppasswd |
| WAN側(ppp0)IPアドレス |
Unnumbered |
0.0.0.0(動的割り当て) |
| LAN側(eth0-0)IPアドレス(1) |
4.4.4.1/29 |
192.168.20.1/24 |
| LAN側(eth0-1)IPアドレス(2) |
192.168.10.1/24 |
− |
表 2:IKEフェーズ1(ISAKMP SAのネゴシエーション)
| ルーター間の認証方式 |
事前共有鍵(pre-shared key) |
| IKE交換モード |
Aggressiveモード |
| 事前共有鍵 |
secret(文字列) |
| ルーターAの認証ID |
IPアドレス:4.4.4.1(デフォルト) |
| ルーターBの認証ID |
名前:client |
| Oakleyグループ |
1(デフォルト) |
| ISAKMPメッセージの暗号化方式 |
DES(デフォルト) |
| ISAKMPメッセージの認証方式 |
SHA1(デフォルト) |
| ISAKMP SAの有効期限(時間) |
86400秒(24時間)(デフォルト) |
| ISAKMP SAの有効期限(Kbyte数) |
なし(デフォルト) |
| 起動時のISAKMPネゴシエーション |
行わない |
表 3:IKEフェーズ2(IPsec SAのネゴシエーション)
| SAモード |
トンネルモード |
| セキュリティープロトコル |
ESP(暗号+認証) |
| 暗号化方式 |
DES |
| 認証方式 |
SHA1 |
| IPComp |
使わない |
| IPsec SAの有効期限(時間) |
28800秒(8時間)(デフォルト) |
| IPsec SAの有効期限(Kbyte数) |
なし(デフォルト) |
| トンネリング対象IPアドレス |
192.168.10.0/24 ←→ 192.168.20.0/24 |
| トンネル終端アドレス |
4.4.4.1(A)・不定(B) |
| インターネットとの平文通信 |
行なう |
- セキュリティーモードで各種設定を行なうことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- BRIインターフェース「0」の全スロット(1〜2)を、常時起動のTDM(専用線)モードに設定します。
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
- bri0のスロット1〜2(128Kbps)に対して、TDMグループ「ISPA」を作成します。
CREATE TDM GROUP=ISPA INT=bri0 SLOTS=1-2 ↓
- PPPインターフェース「0」をTDMグループ「ISPA」上に作成します。
CREATE PPP=0 OVER=TDM-ISPA LQR=OFF ↓
- IPモジュールを有効にします。
- LAN側(eth0)インターフェースにIPアドレスを設定します。
ADD IP INT=eth0-0 IP=4.4.4.1 MASK=255.255.255.248 ↓
ADD IP INT=eth0-1 IP=192.168.10.1 MASK=255.255.255.0 ↓
Note
- IPsecを使用する場合、WAN側がUnnumberedであるなどの理由でLAN側をマルチホーミングするときは、IPsecの始点アドレスとして使うグローバルアドレスを先に設定(入力)してください。設定ファイルを直接編集する場合は、グローバルアドレスの設定コマンドを先に記述してください。
- WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を割り当て、Unnumberedを使用するよう設定します。
ADD IP INT=ppp0 IP=0.0.0.0 MASK=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側グローバルセグメント(eth0-0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=eth0-0 TYPE=PUBLIC ↓
- LAN側プライベートセグメント(eth0-1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=eth0-1 TYPE=PRIVATE ↓
- WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- エンハンストNATの設定を行います。プライベート側(eth0-1)IPアドレスを、グローバルアドレス4.4.4.1に変換するよう設定します。
ADD FIREWALL POLICY=net NAT=ENHANCED INTERFACE=eth0-1 GBLINT=ppp0 GBLIP=4.4.4.1 ↓
- IKEのパケットがファイアウォールを通過できるようにします。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PORT=500 IP=4.4.4.1 GBLIP=4.4.4.1 GBLPORT=500 ↓
- ルーターBとのプライベートLAN間通信(192.168.10.0/24−192.168.20.0/24)をNATの対象から除外するよう設定します。
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=eth0-1 PROT=ALL IP=192.168.10.1-192.168.10.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.20.1-192.168.20.254 ↓
- ルーターAのプライベート側インターフェース宛てのパケットのうち、IPsecが適用されているパケットのみを通過させる設定を行います。
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.10.1-192.168.10.254 ENCAP=IPSEC ↓
- ここからがIPsecの設定になります。最初にISAKMPで使用する事前共有鍵(pre-shared key)を作成します。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note
- このコマンドはコンソールから直接入力したときだけ有効で、エディター等で設定ファイルに記述した場合は無効になります。
- ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を指定します。また、この例では相手のアドレスが不定なため、PEERにANYを、REMOTEIDで相手の認証IDを指定し、「MODE=AGGRESSIVE」でAggressiveモードを使うよう設定します。
CREATE ISAKMP POLICY=i PEER=ANY KEY=1 SENDN=TRUE REMOTEID="client" MODE=AGGRESSIVE ↓
- IPsec通信の基本仕様を定義するSAスペック「1」を作成します。セキュリティープロトコル、暗号、ハッシュの両アルゴリズムを指定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROT=ESP ENCALG=DES HASHALG=SHA ↓
- SAスペックをとりまとめるSAバンドルスペック「1」を作成します。ESPとAHを併用する場合などは、複数のSAスペックを作成して、本コマンドのSTRINGパラメーターで「1 and 2」のように指定します。この例ではSAスペックが1つだけなので、単に「1」と指定します。
CREATE IPSEC BUNDLESPEC=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPパケットを通過させるためのIPsecポリシー「isa」を作成します。ISAKMP使用時は必ず最初にこのポリシーを作成してください。
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
- IPsec通信の範囲を指定するIPsecポリシーを作成します。ここで指定した条件に一致するパケットに対して、BUNDLEパラメーターで指定したSAバンドルスペックに基づくIPsec処理が行われます。INTERFACEパラメーターで指定したインターフェースを通過するときに、IPsecの暗号化、復号化処理が行われます。相手のIPアドレスが不定なので、ISAKMPの認証をパスしたものだけを指定する意味で、PEERにDYNAMICを指定します。
CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓
SET IPSEC POLICY=vpn LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓
- インターネットとの通信を素通しさせるIPsecポリシー「inet」を作成します。
CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT ↓
- IPsecを有効化します。
- ISAKMPを有効化します。
- Security Officerレベルのユーザーでログインしなおします。
- セキュリティーモードに移行します。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードに移行したあとで、再度ノーマルモードに戻すと、暗号鍵などの情報は失われます。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- IPsecはセキュリティーモードでないと動作しないので、同モードで管理設定を行うことのできるSecurity Officerレベルのユーザーをあらかじめ登録しておきます。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerのパスワードは厳重に管理してください。
- 接続先情報(ISDNコール)を定義します。NUMBERパラメーターにアクセスポイントの番号を指定し、「PRECEDENCE=OUT」で発呼優先に設定します。また、「INTREQ=bri0」により、発呼に使用する物理インターフェースとしてbri0を指定します。
ADD ISDN CALL=ISPB NUMBER=0312345678 PRECEDENCE=OUT INTREQ=bri0 ↓
- PPPインターフェース「0」を作成し、「IDLE=ON」で必要に応じて自動発呼するダイヤルオンデマンド機能を有効にします。また、「IPREQUEST=ON」を指定して、ISPからIPアドレスを取得するように設定します。また、LQRはオフにします。
CREATE PPP=0 OVER=ISDN-ISPB IDLE=ON IPREQUEST=ON LQR=OFF ↓
- ISPにPPP接続するためのユーザー名とパスワードを設定します。
SET PPP=0 USER=ispuser PASSWORD=isppasswd ↓
- IPモジュールを有効にします。
- 接続時にISPから与えられたIPアドレスを、PPPインターフェースで使用するよう設定します。
- LAN側(eth0)インターフェースにIPアドレスを設定します。
ADD IP INT=eth0 IP=192.168.20.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。これは、ISPとの接続が確立するまでIPアドレスが確定しないことを示します。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側インターフェース(eth0)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE ↓
- WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0 GBLINT=ppp0 ↓
- 不要な発呼を防ぐため、LAN側からのMS-Networksパケット(UDPポートの137〜139番)を遮断するファイアウォールルールを作成します。
ADD FIREWALL POLICY=net RULE=1 ACTION=DENY INT=eth0 PROTO=UDP PORT=137-139 ↓
- ローカルLANからリモートLANへのパケットにはNATをかけないよう設定します。
ADD FIREWALL POLICY=net RULE=2 ACTION=NONAT INT=eth0 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254 ↓
- 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.20.1〜192.168.20.254、つまり、ローカル側LANならばNATの対象外とする」の意味になります。
ADD FIREWALL POLICY=net RULE=3 ACTION=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓
- ここからがIPsecの設定になります。最初にISAKMPで使用する事前共有鍵(pre-shared key)を作成します。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note
- このコマンドはコンソールから直接入力したときだけ有効で、エディター等で設定ファイルに記述した場合は無効になります。
- ISAKMPポリシー「i」を作成します。ISAKMPは、IPsecで使う鍵の管理とSAのネゴシエーションを自動的に行うためのプロトコルです。KEYには、前の手順で作成した共有鍵の番号を指定します。PEERには相手ルーターのIPアドレスを指定します。また、自分のアドレスが不定なため、LOCALIDで自分の認証IDを指定し、「MODE=AGGRESSIVE」でAggressiveモードを使うよう設定します。
CREATE ISAKMP POLICY=i PEER=4.4.4.1 KEY=1 SENDN=TRUE LOCALID="client" MODE=AGGRESSIVE ↓
- IPsec通信の基本仕様を定義するSAスペック「1」を作成します。セキュリティープロトコル、暗号、ハッシュの両アルゴリズムを指定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROT=ESP ENCALG=DES HASHALG=SHA ↓
- SAスペックをとりまとめるSAバンドルスペック「1」を作成します。
CREATE IPSEC BUNDLESPEC=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPパケットを通過させるためのIPsecポリシー「isa」を作成します。ISAKMP使用時は必ず最初にこのポリシーを作成してください。
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
- IPsec通信の範囲を指定するIPsecポリシーを作成します。ここで指定した条件に一致するパケットに対して、BUNDLEパラメーターで指定したSAバンドルスペックに基づくIPsec処理が行われます。INTERFACEパラメーターで指定したインターフェースを通過するときに、IPsecの暗号化、復号化処理が行われます。PEERには相手のIPアドレスを指定します。
CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=4.4.4.1 ↓
SET IPSEC POLICY=vpn LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
- インターネットとの通信を素通しさせるIPsecポリシー「inet」を作成します。
CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT ↓
- IPsecを有効化します。
- ISAKMPを有効化します。
- Security Officerレベルのユーザーでログインしなおします。
- セキュリティーモードに移行します。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードに移行したあとで、再度ノーマルモードに戻すと、暗号鍵などの情報は失われます。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。
たとえば、ネットワーク192.168.10.0/24、192.168.20.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。
ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓
ADD USER RSO IP=192.168.20.0 MASK=255.255.255.0 ↓
■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。
■ セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10〜600(秒)を指定します。デフォルトは60秒です。
SET USER SECUREDELAY=300 ↓
ルーターAのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=ISPA INT=bri0 SLOTS=1-2 ↓
CREATE PPP=0 OVER=TDM-ISPA LQR=OFF ↓
ENABLE IP ↓
ADD IP INT=eth0-0 IP=4.4.4.1 MASK=255.255.255.248 ↓
ADD IP INT=eth0-1 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 MASK=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=eth0-0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net INT=eth0-1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INTERFACE=eth0-1 GBLINT=ppp0 GBLIP=4.4.4.1 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PORT=500 IP=4.4.4.1 GBLIP=4.4.4.1 GBLPORT=500 ↓
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=eth0-1 PROT=ALL IP=192.168.10.1-192.168.10.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.20.1-192.168.20.254 ↓
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.10.1-192.168.10.254 ENCAP=IPSEC ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ISAKMP POLICY=i PEER=ANY KEY=1 SENDN=TRUE REMOTEID="client" MODE=AGGRESSIVE ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROT=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLESPEC=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓
SET IPSEC POLICY=vpn LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
ルーターBのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
ADD ISDN CALL=ISPB NUMBER=0312345678 PRECEDENCE=OUT INTREQ=bri0 ↓
CREATE PPP=0 OVER=ISDN-ISPB IDLE=ON IPREQUEST=ON LQR=OFF ↓
SET PPP=0 USER=ispuser PASSWORD=isppasswd ↓
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=eth0 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net RULE=1 ACTION=DENY INT=eth0 PROTO=UDP PORT=137-139 ↓
ADD FIREWALL POLICY=net RULE=2 ACTION=NONAT INT=eth0 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254 ↓
ADD FIREWALL POLICY=net RULE=3 ACTION=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ISAKMP POLICY=i PEER=4.4.4.1 KEY=1 SENDN=TRUE LOCALID="client" MODE=AGGRESSIVE ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROT=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLESPEC=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=4.4.4.1 ↓
SET IPSEC POLICY=vpn LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #88
Copyright (C) 1997-2003 アライドテレシス株式会社
PN: J613-M0507-00 Rev.G
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))