<前頁 次頁> << >> ↓ 目次 (番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細))
CentreCOM ARX640S 設定例集 5.1.5 #16
通常、インターネットVPNを構築する際は、最低1拠点に固定グローバルIPアドレスが必要ですが、ダイナミックDNSサービスを併用することで、VPNの接続先をIPアドレスではなく、ダイナミックDNSサービスに登録したホスト名(FQDN)で指定できるようになります。これにより、すべての拠点が動的IPアドレスしか持っていない場合でも、インターネットVPNを構築することが可能です。
ダイナミックDNSはダイナミックDNSサーバー(以下、サーバー)と、ダイナミックDNSクライアント(以下、クライアント)で構成されます。この設定例では、サーバーはダイナミックDNSサービス内に存在し、クライアントはルーターのダイナミックDNSクライアント機能で運用することを前提とします。Note - 検証済みダイナミックDNSサービスは弊社ホームページをご確認ください。
PPPユーザー名 | user@ispA | user@ispB |
PPPパスワード | isppasswdA | isppasswdB |
PPPoEサービス名 | 指定なし | |
IPアドレス | グローバルアドレス1個(動的割り当て) | |
DNSサーバー | 接続時に通知される |
サーバーのFQDN | members.dyndns.org |
使用TCPポート番号 | 80 |
サーバー接続用ユーザー名 | test | |
サーバー接続用パスワード | test | |
ホスト名 | test1.dyndns.org | test2.dyndns.org |
ダイナミックDNSを適用するインターフェース | gigabitEthernet 0.1 |
WAN側物理インターフェース | gigabitEthernet 0 | |
WAN側(gigabitEthernet 0.1)IPアドレス | 接続時にISPから取得する | |
LAN側(vlan 1)IPアドレス | 192.168.1.1/24 | 192.168.2.1/24 |
VPN接続設定 | ||
ローカルセキュアグループ | 192.168.1.0/24 | 192.168.2.0/24 |
リモートセキュアグループ | 192.168.2.0/24 | 192.168.1.0/24 |
トンネル終端アドレス | test2.dyndns.org | test1.dyndns.org |
IKE設定 | ||
交換モード | Aggressiveモード | |
認証方式 | 事前共有鍵(pre-shared key) | |
事前共有鍵 | secret(文字列) | |
ローカルID/リモートID | test1.dyndns.org/test2.dyndns.org | test2.dyndns.org/test1.dyndns.org |
暗号化認証アルゴリズム | 3DES & SHA1-DH2 | |
有効期限 | 86400秒(24時間) | |
DPDによる死活監視 | 行う | |
起動時のISAKMPネゴシエーション | 行う | |
IPsec設定 | ||
SAモード | トンネルモード | |
セキュリティープロトコル | ESP | |
暗号化認証アルゴリズム | 3DES & SHA1 | |
PFSグループ | なし | |
有効期限 | 28800秒(8時間) |
ルーターAの設定 |
ppp profile pppoe0 ↓ my-username user@ispA password isppasswdA ↓
interface gigabitEthernet 0 ↓ no shutdown ↓
interface gigabitEthernet 0.1 ↓ ip address ipcp ↓ ip tcp mss auto ↓ no shutdown ↓ pppoe enable ↓ ppp bind-profile pppoe0 ↓ ip napt inside any ↓ ip ids in protect ↓
interface vlan 1 ↓ ip address 192.168.1.1/24 ↓
ip address-up-always ↓
ip route default gigabitEthernet 0.1 ↓
access-list ip extended pppoe0-in ↓ dynamic permit udp any interface gigabitEthernet 0.1 eq 500 ↓ access-list ip extended pppoe0-out ↓ dynamic permit ip any any ↓ interface gigabitEthernet 0.1 ↓ ip traffic-filter pppoe0-in in ↓ ip traffic-filter pppoe0-out out ↓
proxydns ip enable ↓
ip domain lookup ↓
dynamic-dns DynDNS ↓ provider dyndns fqdn test1.dyndns.org username test password test ↓ external-interface gigabitEthernet 0.1 ↓ dynamic-dns-enable ↓
isakmp proposal isakmp encryption 3des hash sha1 group 2 ↓ isakmp proposal isakmp lifetime 86400 ↓ isakmp policy i ↓ peer test2.dyndns.org ↓ mode aggressive ↓ auth preshared key secret ↓ local-id test1.dyndns.org ↓ remote-id test2.dyndns.org ↓ proposal isakmp ↓ keepalive enable ↓
access-list ip extended ipsec ↓ permit ip any any ↓ ipsec proposal ipsec esp encryption 3des hash sha1 ↓ ipsec proposal ipsec lifetime 28800 ↓ ipsec policy vpn ↓ peer test2.dyndns.org ↓ access-list ipsec ↓ local-id 192.168.1.0/24 ↓ remote-id 192.168.2.0/24 ↓ proposal ipsec ↓ always-up-sa ↓
interface tunnel 0 ↓ tunnel mode ipsec ↓ ip unnumbered vlan 1 ↓ ip tcp mss auto ↓ no shutdown ↓ tunnel policy vpn ↓
ip route 192.168.2.0/24 tunnel 0 ↓ ip route 192.168.2.0/24 Null 254 ↓
copy running-config startup-config ↓
ルーターBの設定 |
ppp profile pppoe0 ↓ my-username user@ispB password isppasswdB ↓
interface gigabitEthernet 0 ↓ no shutdown ↓
interface gigabitEthernet 0.1 ↓ ip address ipcp ↓ ip tcp mss auto ↓ no shutdown ↓ pppoe enable ↓ ppp bind-profile pppoe0 ↓ ip napt inside any ↓ ip ids in protect ↓
interface vlan 1 ↓ ip address 192.168.2.1/24 ↓
ip address-up-always ↓
ip route default gigabitEthernet 0.1 ↓
access-list ip extended pppoe0-in ↓ dynamic permit udp any interface gigabitEthernet 0.1 eq 500 ↓ access-list ip extended pppoe0-out ↓ dynamic permit ip any any ↓ interface gigabitEthernet 0.1 ↓ ip traffic-filter pppoe0-in in ↓ ip traffic-filter pppoe0-out out ↓
proxydns ip enable ↓
ip domain lookup ↓
dynamic-dns DynDNS ↓ provider dyndns fqdn test2.dyndns.org username test password test ↓ external-interface gigabitEthernet 0.1 ↓ dynamic-dns-enable ↓
isakmp proposal isakmp encryption 3des hash sha1 group 2 ↓ isakmp proposal isakmp lifetime 86400 ↓ isakmp policy i ↓ peer test1.dyndns.org ↓ mode aggressive ↓ auth preshared key secret ↓ local-id test2.dyndns.org ↓ remote-id test1.dyndns.org ↓ proposal isakmp ↓ keepalive enable ↓
access-list ip extended ipsec ↓ permit ip any any ↓ ipsec proposal ipsec esp encryption 3des hash sha1 ↓ ipsec proposal ipsec lifetime 28800 ↓ ipsec policy vpn ↓ peer test1.dyndns.org ↓ access-list ipsec ↓ local-id 192.168.2.0/24 ↓ remote-id 192.168.1.0/24 ↓ proposal ipsec ↓ always-up-sa ↓
interface tunnel 0 ↓ tunnel mode ipsec ↓ ip unnumbered vlan 1 ↓ ip tcp mss auto ↓ no shutdown ↓ tunnel policy vpn ↓
ip route 192.168.1.0/24 tunnel 0 ↓ ip route 192.168.1.0/24 Null 254 ↓
copy running-config startup-config ↓
まとめ |
ルーターAのコンフィグ
! service password-encryption ! clock timezone JST 9 ! ip domain lookup ! ! ! ip address-up-always ppp profile pppoe0 my-username user@ispA password 8 e$QNKMe2ohmPDFBWKSYxCJz8gAA ! interface gigabitEthernet 0 no shutdown ! interface gigabitEthernet 0.1 ip address ipcp ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip napt inside any ip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect ! interface gigabitEthernet 1 shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface tunnel 0 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy vpn ! interface vlan 1 ip address 192.168.1.1/24 no shutdown ! ip route default gigabitEthernet 0.1 ip route 192.168.2.0/24 tunnel 0 ip route 192.168.2.0/24 Null 254 ! access-list ip extended ipsec permit ip any any access-list ip extended pppoe0-in dynamic permit udp any interface gigabitEthernet 0.1 eq 500 access-list ip extended pppoe0-out dynamic permit ip any any ! isakmp proposal isakmp encryption 3des hash sha1 group 2 isakmp proposal isakmp lifetime 86400 ! isakmp policy i peer test2.dyndns.org mode aggressive auth preshared key 8 e$I3eQu7yNuLxQA local-id test1.dyndns.org remote-id test2.dyndns.org proposal isakmp keepalive enable ! ipsec proposal ipsec esp encryption 3des hash sha1 ipsec proposal ipsec lifetime 28800 ! ipsec policy vpn peer test2.dyndns.org access-list ipsec local-id 192.168.1.0/24 remote-id 192.168.2.0/24 proposal ipsec always-up-sa ! proxydns ip enable ! ! ! dynamic-dns DynDNS provider dyndns fqdn test1.dyndns.org username test password 8 e$I6DplMoQAGmMA external-interface gigabitEthernet 0.1 dynamic-dns-enable ! end |
ルーターBのコンフィグ
! service password-encryption ! clock timezone JST 9 ! ip domain lookup ! ! ! ip address-up-always ppp profile pppoe0 my-username user@ispB password 8 e$QNKMe2ohmPDGyL5Yl1OWFlAAA ! interface gigabitEthernet 0 no shutdown ! interface gigabitEthernet 0.1 ip address ipcp ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip napt inside any ip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect ! interface gigabitEthernet 1 shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface tunnel 0 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy vpn ! interface vlan 1 ip address 192.168.2.1/24 no shutdown ! ip route default gigabitEthernet 0.1 ip route 192.168.1.0/24 tunnel 0 ip route 192.168.1.0/24 Null 254 ! access-list ip extended ipsec permit ip any any access-list ip extended pppoe0-in dynamic permit udp any interface gigabitEthernet 0.1 eq 500 access-list ip extended pppoe0-out dynamic permit ip any any ! isakmp proposal isakmp encryption 3des hash sha1 group 2 isakmp proposal isakmp lifetime 86400 ! isakmp policy i peer test1.dyndns.org mode aggressive auth preshared key 8 e$I3eQu7yNuLxQA local-id test2.dyndns.org remote-id test1.dyndns.org proposal isakmp keepalive enable ! ipsec proposal ipsec esp encryption 3des hash sha1 ipsec proposal ipsec lifetime 28800 ! ipsec policy vpn peer test1.dyndns.org access-list ipsec local-id 192.168.2.0/24 remote-id 192.168.1.0/24 proposal ipsec always-up-sa ! proxydns ip enable ! ! ! dynamic-dns DynDNS provider dyndns fqdn test2.dyndns.org username test password 8 e$I6DplMoQAGmMA external-interface gigabitEthernet 0.1 dynamic-dns-enable ! end |
(C) 2011-2014 アライドテレシスホールディングス株式会社
PN: 613-001568 Rev.E