＜前頁次頁＞＜＜＞＞ ↓ 目次（番号順 (詳細)・回線別 (詳細)・機能別 (詳細)）

CentreCOM ARX640S 設定例集 5.1.5 #25

PPPoE接続環境における2点間IPsec VPN（ARXルーター側アドレス不定、SRX210対向）

PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー（以下 ISP）から動的にIPアドレスが割り当てられるルーター（ルーターA：ARXルーター）と固定IPアドレスが割り当てられているルーター（ルーターB：SRX210）をIPsec（ESP）トンネルで接続します。

ここでは、次のようなネットワーク構成を例に解説します。

ISPからは、次の情報が提供されているものとします。

表 1：ISPの情報

ルーターA ルーターB

PPPユーザー名 user2@example user1@example

PPPパスワード password

PPPoEサービス名指定なし

使用できるIPアドレスグローバルアドレス1個（動的割り当て） 10.10.10.1/32

接続形態端末型（アドレス1個不定）端末型（アドレス1個固定）

DNSサーバー接続時に通知される

ルーターA、Bは以下のように設定するものとします。

表 2：ルーターの基本設定

ルーターA ルーターB

WAN側物理インターフェース gigabitEthernet 0 ge-0/0/0

WAN側IPアドレス動的割り当て 10.10.10.1/32

LAN側IPアドレス 192.168.20.1/24 192.168.10.1/24

VPN接続設定

ローカルセキュアグループ 192.168.20.0/24 192.168.10.0/24

リモートセキュアグループ 192.168.10.0/24 192.168.20.0/24

トンネル終端アドレス 10.10.10.1 ANY

IKE設定

交換モード Aggressiveモード

認証方式事前共有鍵（pre-shared key）

事前共有鍵 secret（文字列）

ローカルID/リモートID client/なしなし/client

暗号化認証アルゴリズム 3DES & SHA1-DH2

有効期限 3600秒（1時間） 3600秒（1時間）（デフォルト）

DPDによる死活監視行う

起動時のISAKMPネゴシエーション行う

IPsec設定

SAモードトンネルモード

セキュリティープロトコル ESP

暗号化認証アルゴリズム 3DES & SHA1

PFSグループなし

有効期限 3600秒（1時間）（デフォルト）

本構成における設定のポイントは、次の通りです。

事前に購入時に含まれている初期設定を削除します（設定例1を参照してください）。
ルーターAのアドレスが不定のため、ルーターBからルーターAに接続することはできません。常にルーターAから接続を開始することになります。
ルーターAのアドレスが不定なため、IKEフェーズ1ではアグレッシブモードを使い、ルーターAのローカルIDとして文字列（名前）を使用します。
LAN側の端末からのインターネットへのアクセスは、ルーターA／B共にVPNを介さずに直接ルーティングします。
ルーターBでは、PPPoE回線に以下の設定を行います。
自動再接続、リトライ10秒

ルーターAの設定

ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
WAN0インターフェース（gigabitEthernet 0）を有効にします。
WAN0インターフェース上にPPPoEインターフェース（gigabitEthernet 0.1）を作成し、インターフェースを使用できるようにします。
接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
また、LAN側ネットワークに接続されているすべてのコンピューターがENAT（NAPT）機能を使用できるよう設定します。
外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。
LAN側インターフェース（vlan 1）にIPアドレスを設定します。
IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。

デフォルトルートを設定します。

ip route default gigabitEthernet 0.1 ↓

外側からの通信を遮断しつつ、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、PPPoEインターフェース上に割り当てます。

access-list ip extended pppoe0-in ↓
access-list ip extended pppoe0-out ↓
 dynamic permit ip any any ↓
interface gigabitEthernet 0.1 ↓
 ip traffic-filter pppoe0-in in ↓
 ip traffic-filter pppoe0-out out ↓

Phase1のProposal、およびISAKMPポリシーを設定します。

isakmp proposal isakmp encryption 3des hash sha1 group 2 ↓
isakmp proposal isakmp lifetime 3600 ↓
isakmp policy i ↓
 peer 10.10.10.1 ↓
 mode aggressive ↓
 auth preshared key secret ↓
 local-id client ↓
 proposal isakmp ↓
 keepalive enable ↓

Phase2のProposal、およびIPsecポリシーを設定します。

access-list ip extended ipsec ↓
 permit ip any any ↓
ipsec proposal ipsec esp encryption 3des hash sha1 ↓
ipsec policy vpn ↓
 peer 10.10.10.1 ↓
 access-list ipsec ↓
 local-id 192.168.20.0/24 ↓
 remote-id 192.168.10.0/24 ↓
 proposal ipsec ↓
 always-up-sa ↓

トンネルインターフェース（tunnel 0）を作成し、インターフェースを使用できるようにします。
このトンネルインターフェースに対応するIPsecポリシーを設定します。
ルーターBのLAN側（192.168.10.0/24）宛のルートを設定します。
また、ルーター間のVPN接続が有効になるまでは、このルートを使用できないように設定します。
DNSリレー（プロキシーDNS）機能を有効にします。
設定は以上です。設定内容をstartup-configに保存します。

ルーターBの設定

初期状態でのユーザー名、「root」でログインします。（パスワードは必要ありません。）
動作モードをオペレーショナルモードに切り替えた後、動作モードをコンフィグレーションモードに切り替えます。
Note - コンフィグレーションモードで設定したコンフィグは「Candidate Config（候補設定）」に保存されるだけであり、運用中の設定「Active Config」に保存されるわけではありません。「Candidate Config」の設定を「Active Config」に反映するには、最後に「commit」コマンドを使用します。

初期設定を削除します。
確認メッセージが出ますので「yes」を入力します。

root# delete ↓
This will delete the entire configuration ↓
Delete everything under this level? [yes,no] (no) yes ↓

ユーザー名、「root」のパスワードを設定します。パスワードは「PasswordS」とします。なお、入力したパスワードはコンソール上には表示されません。
Note - 本設定を行わないと「Candidate Config」を「Active Config」に反映する「commit」コマンドが使用できません。

LAN側インターフェース（ge-0/0/1.0）にIPアドレスを設定します。

root# set interfaces ge-0/0/1 unit 0 family inet address 192.168.10.1/24 ↓

WAN側Ethernetインターフェース（ge-0/0/0.0）上にてPPPoEを使用するよう設定します。
PPPoEインターフェース（pp0.0）上にISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。またPPPoEを使用するインターフェース（ge-0/0/0.0）を指定し、再接続時には10秒間の待ち時間を指定します。

デフォルトルートを設定します。

root# set routing-options static route 0.0.0.0/0 next-hop pp0.0 ↓

ファイアウォールの適用対象となるインターフェースを指定します。
LAN側インターフェース（ge-0/0/1.0）をセキュリティーゾーンTRUST（内部）に設定します。
WAN側インターフェース（pp0.0）をセキュリティーゾーンUNTRUST（外部）に設定します。
各セキュリティーゾーンに管理アクセスを設定します。
セキュリティーゾーンTRUST（内部）では、全てのサービスを許可するように設定します。
セキュリティーゾーンUNTRUST（外部）では、PINGおよびISAKMPのみ許可するように設定します。

LAN側ネットワークに接続されているすべてのコンピューターがNAT機能を使用できるよう設定します。
グローバルアドレスには、pp0.0のIPアドレスを使用します。

root# edit security nat source rule-set TrustToUntrust ↓
root# set from zone trust ↓
root# set to zone untrust ↓
root# set rule match1 match source-address 0.0.0.0/0 ↓
root# set rule match1 then source-nat interface ↓
root# top ↓

セキュリティーゾーンでアドレスブックを作成します。
Trust-zoneに「192.168.10.0/24」のアドレスと「192.168.20.0/24」のアドレスを登録します。

root# set security zones security-zone trust address-book address net10 192.168.10.0/24 ↓
root# set security zones security-zone trust address-book address net20 192.168.20.0/24 ↓

IPsecで使用するトンネルインターフェースを作成します。また、トンネルインターフェースをTrust-zoneに割り当てます。
VPNの設定を行っていきます。まず、不正なSPIを検知する設定をします。

Phase 1で提案するISAKMPのProposal設定「ar-p1」を作成します。

root# set security ike proposal ar-p1 authentication-method pre-shared-keys ↓
root# set security ike proposal ar-p1 dh-group group2 ↓
root# set security ike proposal ar-p1 encryption-algorithm 3des-cbc ↓
root# set security ike proposal ar-p1 authentication-algorithm sha1 ↓
root# set security ike proposal ar-p1 lifetime-seconds 3600 ↓

Phase 2で提案するIPsecのProposal設定「ar-p2」を作成します。

root# set security ipsec proposal ar-p2 protocol esp ↓
root# set security ipsec proposal ar-p2 encryption-algorithm 3des-cbc ↓
root# set security ipsec proposal ar-p2 authentication-algorithm hmac-sha1-96 ↓
root# set security ipsec proposal ar-p2 lifetime-seconds 3600 ↓

ルーターAとのIKEネゴシエーション要求を受け入れるPhase 1のPolicy設定「p1-policy」を作成します。

root# set security ike policy p1-policy mode aggressive ↓
root# set security ike policy p1-policy proposals ar-p1 ↓
root# set security ike policy p1-policy pre-shared-key ascii-text secret ↓

Phase 2のpolicy設定「p2-policy」を作成します。

set security ipsec policy p2-policy proposals ar-p2 ↓

IPsecの接続先の設定「ar-gw」を作成します。

root# set security ike gateway ar-gw ike-policy p1-policy ↓
root# set security ike gateway ar-gw dynamic hostname client ↓
root# set security ike gateway ar-gw external-interface pp0.0 ↓
root# set security ike gateway ar-gw dead-peer-detection always-send interval 20 threshold 5 ↓

これまでに設定したVPN設定を纏める設定「ar-vpn」を作成します。

root# set security ipsec vpn ar-vpn ike gateway ar-gw ↓
root# set security ipsec vpn ar-vpn ike ipsec-policy p2-policy ↓
root# set security ipsec vpn ar-vpn establish-tunnels immediately ↓

次に、IPsecトンネルを割り当て、Proxy-idを設定します。

root# set security ipsec vpn ar-vpn bind-interface st0.0 ↓
root# set security ipsec vpn ar-vpn ike proxy-identity local 192.168.10.0/24 ↓
root# set security ipsec vpn ar-vpn ike proxy-identity remote 192.168.20.0/24 ↓
root# set security ipsec vpn ar-vpn ike proxy-identity service any ↓

次に、IPsec通信を行うIPアドレスの範囲を指定します。
Trust-zone:192.168.10.0/24からTrust-zone:192.168.20.0/24へのすべての通信を許可する設定をします。

root# edit security policies from-zone trust to-zone trust policy vpn-policy ↓
root# set match source-address net10 ↓
root# set match destination-address net20 ↓
root# set match application any ↓
root# set then permit ↓
root# top ↓

Trust-zone:192.168.20.0/24からTrust-zone:192.168.10.0/24へのすべての通信を許可する設定をします。

root# edit security policies from-zone trust to-zone trust policy vpn-policy-re ↓
root# set match source-address net20 ↓
root# set match destination-address net10 ↓
root# set match application any ↓
root# set then permit ↓
root# top ↓

192.168.20.0/24ネットワーク宛の通信をトンネルインターフェース経由で行うために、ルーティングについての設定を行います。
最後に、入力した全てのコンフィグを運用中のコンフィグに反映させます。

まとめ

ルーターAのコンフィグ

! service password-encryption ! clock timezone JST 9 ! ! ip address-up-always ppp profile pppoe0 my-username user2@example password 8 e$QOccTYhEXbMdnN4uqTQgYCAAA ! interface gigabitEthernet 0 no shutdown ! interface gigabitEthernet 0.1 ip address ipcp ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip napt inside any ip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect ! interface gigabitEthernet 1 shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface tunnel 0 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy vpn ! interface vlan 1 ip address 192.168.20.1/24 no shutdown ! ip route default gigabitEthernet 0.1 ip route 192.168.10.0/24 tunnel 0 ip route 192.168.10.0/24 Null 254 ! access-list ip extended ipsec permit ip any any access-list ip extended pppoe0-in access-list ip extended pppoe0-out dynamic permit ip any any ! isakmp proposal isakmp encryption 3des hash sha1 group 2 isakmp proposal isakmp lifetime 3600 ! isakmp policy i peer 10.10.10.1 mode aggressive auth preshared key 8 e$I3eQu7yNuLxQA local-id client proposal isakmp keepalive enable ! ipsec proposal ipsec esp encryption 3des hash sha1 ! ipsec policy vpn peer 10.10.10.1 access-list ipsec local-id 192.168.20.0/24 remote-id 192.168.10.0/24 proposal ipsec always-up-sa ! proxydns ip enable ! ! ! end

ルーターBのコンフィグ

version 10.4R3.4; system { root-authentication { encrypted-password "$1$2iO176Qb$3HdbjwWOKzsW5.m.rRgC4."; ## SECRET-DATA } } interfaces { ge-0/0/0 { unit 0 { encapsulation ppp-over-ether; } } ge-0/0/1 { unit 0 { family inet { address 192.168.10.1/24; } } } pp0 { unit 0 { ppp-options { chap { default-chap-secret "$9$ECDhlM8LNbYoxNmT39OBxNdVwg"; ## SECRET-DATA local-name "user1@example"; passive; } } pppoe-options { underlying-interface ge-0/0/0.0; auto-reconnect 10; client; } family inet { negotiate-address; } } } st0 { unit 0 { family inet; } } } routing-options { static { route 0.0.0.0/0 next-hop pp0.0; route 192.168.20.0/24 next-hop st0.0; } } security { ike { respond-bad-spi 5; proposal ar-p1 { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; lifetime-seconds 3600; } policy p1-policy { mode aggressive; proposals ar-p1; pre-shared-key ascii-text "$9$wqgZjmPQn6Amf39CtRE"; ## SECRET-DATA } gateway ar-gw { ike-policy p1-policy; dynamic hostname client; dead-peer-detection { always-send; interval 20; threshold 5; } external-interface pp0.0; } } ipsec { proposal ar-p2 { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; lifetime-seconds 3600; } policy p2-policy { proposals ar-p2; } vpn ar-vpn { bind-interface st0.0; ike { gateway ar-gw; proxy-identity { local 192.168.10.0/24; remote 192.168.20.0/24; service any; } ipsec-policy p2-policy; } establish-tunnels immediately; } } nat { source { rule-set TrustToUntrust { from zone trust; to zone untrust; rule match1 { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } zones { security-zone trust { address-book { address net10 192.168.10.0/24; address net20 192.168.20.0/24; } host-inbound-traffic { system-services { all; } } interfaces { ge-0/0/1.0; st0.0; } } security-zone untrust { host-inbound-traffic { system-services { ping; ike; } } interfaces { pp0.0; } } } policies { from-zone trust to-zone trust { policy vpn-policy { match { source-address net10; destination-address net20; application any; } then { permit; } } policy vpn-policy-re { match { source-address net20; destination-address net10; application any; } then { permit; } } } } }

CentreCOM ARX640S 設定例集 5.1.5 #25

PN: 613-001568 Rev.E

＜前頁次頁＞＜＜＞＞ ↑ 目次（番号順 (詳細)・回線別 (詳細)・機能別 (詳細)）

	ルーターA	ルーターB
PPPユーザー名	user2@example	user1@example
PPPパスワード	password
PPPoEサービス名	指定なし
使用できるIPアドレス	グローバルアドレス1個（動的割り当て）	10.10.10.1/32
接続形態	端末型（アドレス1個不定）	端末型（アドレス1個固定）
DNSサーバー	接続時に通知される

	ルーターA	ルーターB
WAN側物理インターフェース	gigabitEthernet 0	ge-0/0/0
WAN側IPアドレス	動的割り当て	10.10.10.1/32
LAN側IPアドレス	192.168.20.1/24	192.168.10.1/24
VPN接続設定
ローカルセキュアグループ	192.168.20.0/24	192.168.10.0/24
リモートセキュアグループ	192.168.10.0/24	192.168.20.0/24
トンネル終端アドレス	10.10.10.1	ANY
IKE設定
交換モード	Aggressiveモード
認証方式	事前共有鍵（pre-shared key）
事前共有鍵	secret（文字列）
ローカルID/リモートID	client/なし	なし/client
暗号化認証アルゴリズム	3DES & SHA1-DH2
有効期限	3600秒（1時間）	3600秒（1時間）（デフォルト）
DPDによる死活監視	行う
起動時のISAKMPネゴシエーション	行う
IPsec設定
SAモード	トンネルモード
セキュリティープロトコル	ESP
暗号化認証アルゴリズム	3DES & SHA1
PFSグループ	なし
有効期限	3600秒（1時間）（デフォルト）