<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM ARX640S 設定例集 5.1.5 #16

ホスト名(FQDN)によるIPsec接続(ダイナミックDNSサービス利用)


通常、インターネットVPNを構築する際は、最低1拠点に固定グローバルIPアドレスが必要ですが、ダイナミックDNSサービスを併用することで、VPNの接続先をIPアドレスではなく、ダイナミックDNSサービスに登録したホスト名(FQDN)で指定できるようになります。これにより、すべての拠点が動的IPアドレスしか持っていない場合でも、インターネットVPNを構築することが可能です。

ダイナミックDNSはダイナミックDNSサーバー(以下、サーバー)と、ダイナミックDNSクライアント(以下、クライアント)で構成されます。この設定例では、サーバーはダイナミックDNSサービス内に存在し、クライアントはルーターのダイナミックDNSクライアント機能で運用することを前提とします。

ダイナミックDNSでは、まず、クライアントがサーバーへルーターのWAN情報(IPアドレス、FQDN)をあらかじめ登録しておき、ルーターのWAN IPアドレスが変更になった場合は、クライアントはサーバーに登録済の情報をアップデートします。そのため、サーバーは常にルーターのホスト名に対応する最新のIPアドレス情報を保持できるようになります。
Note - 検証済みダイナミックDNSサービスは弊社ホームページをご確認ください。

各拠点は、ISPから次の情報を提供されているものとします。

表 1:ISPから提供された情報
 
ルーターA
ルーターB
PPPユーザー名 user@ispA user@ispB
PPPパスワード isppasswdA isppasswdB
PPPoEサービス名 指定なし
IPアドレス グローバルアドレス1個(動的割り当て)
DNSサーバー 接続時に通知される

表 2:ダイナミックDNSサーバー情報
サーバーのFQDN members.dyndns.org
使用TCPポート番号 80

ルーターで使用するホスト名やサーバーアクセス時のアカウントは、あらかじめダイナミックDNSサービスにて取得してあるものとします。

表 3:ダイナミックDNSクライアント情報
 
ルーターA
ルーターB
サーバー接続用ユーザー名 test
サーバー接続用パスワード test
ホスト名 test1.dyndns.org test2.dyndns.org
ダイナミックDNSを適用するインターフェース gigabitEthernet 0.1




PC1からPC2への通信が開始されるまでの流れは以下のようになります。

    ダイナミックDNSサーバーへのIPアドレス登録までの流れ:

  1. ルーターA、Bは、自身のIPアドレス登録先サーバー(ダイナミックDNSサービス)のIPアドレス情報を知るため、ISP接続時に通知されたDNS サーバー宛に名前解決を行います。

  2. 解決したIPアドレス宛にアップデートパケット(HTTP)を投げ、自身のIPアドレスをダイナミックDNSサーバーへ登録します。

    IPsec通信開始までの流れ:

  3. PC1→PC2への通信が発生すると、ルーターAのポリシーに設定されている該当Peerアドレス「test2.dyndns.org」の名前解決をするため、ISP接続時に通知されたDNSサーバー宛に問い合わせを行います。

  4. 名前解決後、取得したIPアドレス情報でIPsecの接続を開始します。

以下、ルーターの基本設定についてまとめます。

表 4:ルーターの基本設定
 
ルーターA
ルーターB
WAN側物理インターフェース gigabitEthernet 0
WAN側(gigabitEthernet 0.1)IPアドレス 接続時にISPから取得する
LAN側(vlan 1)IPアドレス 192.168.1.1/24 192.168.2.1/24
VPN接続設定
ローカルセキュアグループ 192.168.1.0/24 192.168.2.0/24
リモートセキュアグループ 192.168.2.0/24 192.168.1.0/24
トンネル終端アドレス test2.dyndns.org test1.dyndns.org
IKE設定
交換モード Aggressiveモード
認証方式 事前共有鍵(pre-shared key)
事前共有鍵 secret(文字列)
ローカルID/リモートID test1.dyndns.org/test2.dyndns.org test2.dyndns.org/test1.dyndns.org
暗号化認証アルゴリズム 3DES & SHA1-DH2
有効期限 86400秒(24時間)
DPDによる死活監視 行う
起動時のISAKMPネゴシエーション 行う
IPsec設定
SAモード トンネルモード
セキュリティープロトコル ESP
暗号化認証アルゴリズム 3DES & SHA1
PFSグループ なし
有効期限 28800秒(8時間)



ルーターAの設定

  1. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。


  2. WAN0インターフェース(gigabitEthernet 0)を有効にします。


  3. WAN0インターフェース上にPPPoEインターフェース(gigabitEthernet 0.1)を作成し、インターフェースを使用できるようにします。
    接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
    また、LAN側ネットワークに接続されているすべてのコンピューターがENAT(NAPT)機能を使用できるよう設定します。
    外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。


  4. LAN側インターフェース(vlan 1)にIPアドレスを設定します。


  5. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。


  6. デフォルトルートを設定します。


  7. ISAKMPパケットは通しつつ、他の外側からの通信を遮断し、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、PPPoEインターフェース上に割り当てます。


  8. DNSリレー(プロキシーDNS)機能を有効にします。


  9. DNS問い合わせ機能を有効にします。


  10. ダイナミックDNSサーバーへ登録するホスト名、アクセスするためのアカウント情報、登録するIPアドレスを持つインターフェースを設定し、ダイナミックDNSプロファイルを有効にします。


  11. Phase1のProposal、およびISAKMPポリシーを設定します。


  12. Phase2のProposal、およびIPsecポリシーを設定します。


  13. トンネルインターフェース(tunnel 0)を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースに対応するIPsecポリシーを設定します。


  14. ルーターBのLAN側(192.168.2.0/24)宛のルートを設定します。
    また、ルーター間のVPN接続が有効になるまでは、このルートを使用できないように設定します。


  15. 設定は以上です。設定内容をstartup-configに保存します。


ルーターBの設定

  1. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。


  2. WAN0インターフェース(gigabitEthernet 0)を有効にします。


  3. WAN0インターフェース上にPPPoEインターフェース(gigabitEthernet 0.1)を作成し、インターフェースを使用できるようにします。
    接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
    また、LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。
    外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。


  4. LAN側インターフェース(vlan 1)にIPアドレスを設定します。


  5. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。


  6. デフォルトルートを設定します。


  7. ISAKMPパケットは通しつつ、他の外側からの通信を遮断し、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、PPPoEインターフェース上に割り当てます。


  8. DNSリレー機能を有効にします。


  9. DNS問い合わせ機能を有効にします。


  10. ダイナミックDNSサーバーへ登録するホスト名、アクセスするためのアカウント情報、登録するIPアドレスを持つインターフェースを設定し、ダイナミックDNSプロファイルを有効にします。


  11. Phase1のProposal、およびISAKMPポリシーを設定します。


  12. Phase2のProposal、およびIPsecポリシーを設定します。


  13. トンネルインターフェース(tunnel 0)を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースに対応するIPsecポリシーを設定します。


  14. ルーターAのLAN側(192.168.1.0/24)宛のルートを設定します。
    また、ルーター間のVPN接続が有効になるまでは、このルートを使用できないように設定します。


  15. 設定は以上です。設定内容をstartup-configに保存します。

まとめ

ルーターAのコンフィグ
!
service password-encryption
!
clock timezone JST 9
!
ip domain lookup
!
!
!
ip address-up-always
ppp profile pppoe0
 my-username user@ispA password 8 e$QNKMe2ohmPDFBWKSYxCJz8gAA
!
interface gigabitEthernet 0
 no shutdown
!
interface gigabitEthernet 0.1
 ip address ipcp
 ip tcp mss auto
 no shutdown
 pppoe enable
  ppp bind-profile pppoe0
 ip napt inside any
 ip traffic-filter pppoe0-in in
 ip traffic-filter pppoe0-out out
 ip ids in protect
!
interface gigabitEthernet 1
 shutdown
!
interface gigabitEthernet 2
 no shutdown
!
interface gigabitEthernet 3
 no shutdown
!
interface gigabitEthernet 4
 no shutdown
!
interface gigabitEthernet 5
 no shutdown
!
interface loop 0
 shutdown
!
interface loop 1
 shutdown
!
interface tunnel 0
 tunnel mode ipsec
 ip unnumbered vlan 1
 ip tcp mss auto
 no shutdown
 tunnel policy vpn
!
interface vlan 1
 ip address 192.168.1.1/24
 no shutdown
!
ip route default gigabitEthernet 0.1
ip route 192.168.2.0/24 tunnel 0
ip route 192.168.2.0/24 Null 254
!
access-list ip extended ipsec
 permit ip any any
access-list ip extended pppoe0-in
 dynamic permit udp any interface gigabitEthernet 0.1 eq 500
access-list ip extended pppoe0-out
 dynamic permit ip any any
!
isakmp proposal isakmp encryption 3des hash sha1 group 2
isakmp proposal isakmp lifetime 86400
!
isakmp policy i
 peer test2.dyndns.org
 mode aggressive
 auth preshared key 8 e$I3eQu7yNuLxQA
 local-id test1.dyndns.org
 remote-id test2.dyndns.org
 proposal isakmp
 keepalive enable
!
ipsec proposal ipsec esp encryption 3des hash sha1
ipsec proposal ipsec lifetime 28800
!
ipsec policy vpn
 peer test2.dyndns.org
 access-list ipsec
 local-id 192.168.1.0/24
 remote-id 192.168.2.0/24
 proposal ipsec
 always-up-sa
!
proxydns ip enable
!
!
!
dynamic-dns DynDNS
 provider dyndns fqdn test1.dyndns.org username test password 8 e$I6DplMoQAGmMA
 external-interface gigabitEthernet 0.1
 dynamic-dns-enable
!
end


ルーターBのコンフィグ
!
service password-encryption
!
clock timezone JST 9
!
ip domain lookup
!
!
!
ip address-up-always
ppp profile pppoe0
 my-username user@ispB password 8 e$QNKMe2ohmPDGyL5Yl1OWFlAAA
!
interface gigabitEthernet 0
 no shutdown
!
interface gigabitEthernet 0.1
 ip address ipcp
 ip tcp mss auto
 no shutdown
 pppoe enable
  ppp bind-profile pppoe0
 ip napt inside any
 ip traffic-filter pppoe0-in in
 ip traffic-filter pppoe0-out out
 ip ids in protect
!
interface gigabitEthernet 1
 shutdown
!
interface gigabitEthernet 2
 no shutdown
!
interface gigabitEthernet 3
 no shutdown
!
interface gigabitEthernet 4
 no shutdown
!
interface gigabitEthernet 5
 no shutdown
!
interface loop 0
 shutdown
!
interface loop 1
 shutdown
!
interface tunnel 0
 tunnel mode ipsec
 ip unnumbered vlan 1
 ip tcp mss auto
 no shutdown
 tunnel policy vpn
!
interface vlan 1
 ip address 192.168.2.1/24
 no shutdown
!
ip route default gigabitEthernet 0.1
ip route 192.168.1.0/24 tunnel 0
ip route 192.168.1.0/24 Null 254
!
access-list ip extended ipsec
 permit ip any any
access-list ip extended pppoe0-in
 dynamic permit udp any interface gigabitEthernet 0.1 eq 500
access-list ip extended pppoe0-out
 dynamic permit ip any any
!
isakmp proposal isakmp encryption 3des hash sha1 group 2
isakmp proposal isakmp lifetime 86400
!
isakmp policy i
 peer test1.dyndns.org
 mode aggressive
 auth preshared key 8 e$I3eQu7yNuLxQA
 local-id test2.dyndns.org
 remote-id test1.dyndns.org
 proposal isakmp
 keepalive enable
!
ipsec proposal ipsec esp encryption 3des hash sha1
ipsec proposal ipsec lifetime 28800
!
ipsec policy vpn
 peer test1.dyndns.org
 access-list ipsec
 local-id 192.168.2.0/24
 remote-id 192.168.1.0/24
 proposal ipsec
 always-up-sa
!
proxydns ip enable
!
!
!
dynamic-dns DynDNS
 provider dyndns fqdn test2.dyndns.org username test password 8 e$I6DplMoQAGmMA
 external-interface gigabitEthernet 0.1
 dynamic-dns-enable
!
end





CentreCOM ARX640S 設定例集 5.1.5 #16

(C) 2011-2014 アライドテレシスホールディングス株式会社

PN: 613-001568 Rev.E

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)