＜前頁 次頁＞ ＜＜ ＞＞ ↓ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）

ARシリーズとのPPPoE接続環境における2点間IPsec VPN（ARXルーター側アドレス不定）

PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー（以下 ISP）から動的にIPアドレスが割り当てられるルーター（ルーターA：ARXルーター）と固定IPアドレスが割り当てられるルーター（ルーターB：ARルーター）をIPsec（ESP）トンネルで接続します。

表 1：ISPの情報

	ルーターA（ARXルーター）	ルーターB（ARルーター）
PPPユーザー名	user2@isp	user1@isp
PPPパスワード	isppasswd
PPPoEサービス名	指定なし
使用できるIPアドレス	グローバルアドレス1個（動的割り当て）	10.10.10.1
接続形態	端末型（アドレス1個不定）	端末型（アドレス1個固定）
DNSサーバー	接続時に通知される	DNSサーバー 12.34.11.11、12.34.11.22

表 2：ルーターの基本設定

	ルーターA（ARXルーター）	ルーターB（ARルーター）
WAN側物理インターフェース	gigabitEthernet 0	eth0
WAN側IPアドレス	動的割り当て	10.10.10.1/32
LAN側IPアドレス	192.168.20.1/24	192.168.10.1/24
VPN接続設定
ローカルセキュアグループ	192.168.20.0/24	192.168.10.0/24
リモートセキュアグループ	192.168.10.0/24	192.168.20.0/24
トンネル終端アドレス	10.10.10.1/32	ANY
IKE設定
交換モード	Aggressiveモード
認証方式	事前共有鍵（pre-shared key）
事前共有鍵	secret（文字列）
ローカルID/リモートID	client/なし	なし/client
暗号化認証アルゴリズム	3DES & SHA1-DH2
有効期限	3600秒（1時間）	3600秒（1時間）
DPDによる死活監視	行う
起動時のISAKMPネゴシエーション	行う	行わない
IPsec設定
SAモード	トンネルモード
セキュリティープロトコル	ESP
暗号化認証アルゴリズム	3DES & SHA1
PFSグループ	なし
有効期限	3600秒（1時間）（デフォルト）	3600秒（1時間）

• 事前に購入時に含まれている初期設定を削除します（設定例1を参照してください）。
  
  
• ルーターAのアドレスが不定のため、ルーターBからルーターAに接続することはできません。常にルーターAから接続を開始することになります。
  
  
• ルーターAのアドレスが不定なため、IKEフェーズ1ではアグレッシブモードを使い、ルーターAのローカルIDとして文字列（名前）を使用します。
  
  
• LAN側の端末からのインターネットへのアクセスは、ルーターA/B共にVPNを介さずに直接ルーティングします。
  
  
• ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
  
  
• ファイアウォールのダイナミックENAT（ダイナミックNAPT）機能を使用して、LAN側ネットワークのプライベートIPアドレスを、グローバルIPアドレスに変換します。これにより、LANに接続された複数のコンピューターからインターネットへの同時アクセスが可能になります。
  
  
• IPsec関連のパケット（IKE、ESP（ルーターBのみ））がファイアウォールで遮断されないようにルールを設定します。
  
  
• トンネリング対象のパケットにNATが適用されないようルールを設定します（ルーターB）
  
  
• IPsecDPD機能を使用し、対向ルーターの死活監視を行います。
  

ルーターA（ARXルーター）の設定

1. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
   

   ppp profile pppoe0 ↓
    my-username user2@isp password isppasswd ↓
       

   
   
2. WAN0インターフェース（gigabitEthernet 0）を有効にします。
   

   interface gigabitEthernet 0 ↓
    no shutdown  ↓
       

   
   
3. WAN0インターフェース上にPPPoEインターフェース（gigabitEthernet 0.1）を作成し、インターフェースを使用できるようにします。
   接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
   また、LAN側ネットワークに接続されているすべてのコンピューターがENAT（NAPT）機能を使用できるよう設定します。
   外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。
   

   interface gigabitEthernet 0.1 ↓
    ip address ipcp ↓
    ip tcp mss auto  ↓
    no shutdown ↓
    pppoe enable  ↓
     ppp bind-profile pppoe0 ↓
    ip napt inside any  ↓
    ip ids in protect ↓
       

   
   
4. LAN側インターフェース（vlan 1）にIPアドレスを設定します。
   

   interface vlan 1 ↓
    ip address 192.168.20.1/24  ↓
       

   
   
5. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。
   

   ip address-up-always  ↓
       

   
   
6. デフォルトルートを設定します。
   

   ip route default gigabitEthernet 0.1  ↓
       

   
   
7. DNSリレー（プロキシーDNS）機能を有効にします。
   

   proxydns ip enable ↓
       

   
   
8. 外側からの通信を遮断しつつ、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、PPPoEインターフェース上に割り当てます。
   

   access-list ip extended pppoe0-in ↓
   access-list ip extended pppoe0-out ↓
    dynamic permit ip any any ↓
   interface gigabitEthernet 0.1 ↓
    ip traffic-filter pppoe0-in in  ↓
    ip traffic-filter pppoe0-out out  ↓
       

   
   
9. Phase1のProposal、およびISAKMPポリシーを設定します。
   

   isakmp proposal isakmp encryption 3des hash sha1 group 2 ↓
   isakmp proposal isakmp lifetime 3600 ↓
   isakmp policy i ↓
    peer 10.10.10.1  ↓
    mode aggressive  ↓
    auth preshared key secret ↓
    local-id client  ↓
    proposal isakmp ↓
    keepalive enable  ↓
       

   
   
10. Phase2のProposal、およびIPsecポリシーを設定します。
    

    access-list ip extended ipsec  ↓
     permit ip any any  ↓
    ipsec proposal ipsec esp encryption 3des hash sha1 ↓
    ipsec policy vpn ↓
     peer 10.10.10.1 ↓
     access-list ipsec ↓
     local-id 192.168.20.0/24  ↓
     remote-id 192.168.10.0/24 ↓
     proposal ipsec ↓
     always-up-sa ↓
        

    
    
11. トンネルインターフェース（tunnel 0）を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースに対応するIPsecポリシーを設定します。
    

    interface tunnel 0 ↓
     tunnel mode ipsec ↓
     ip unnumbered vlan 1 ↓
     ip tcp mss auto ↓
     no shutdown ↓
     tunnel policy vpn ↓
        

    
    
12. ルーターBのLAN側（192.168.10.0/24）宛のルートを設定します。
    また、ルーター間のVPN接続が有効になるまでは、このルートを使用できないように設定します。
    

    ip route 192.168.10.0/24 tunnel 0 ↓
    ip route 192.168.10.0/24 Null 254  ↓
        

    
    
13. 設定は以上です。設定内容をstartup-configに保存します。
    

    copy running-config startup-config  ↓
        

ルーターB（ARルーター）の設定

1. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。
   パスワードは「PasswordS」とします。
   

   ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
       

   Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。

   
   
2. WAN側Ethernetインターフェース（eth0）上にPPPインターフェースを作成します。
   「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。
   ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
   

   CREATE PPP=0 OVER=eth0-ANY ↓
       

   
   
3. ISPから通知されたPPPユーザー名とパスワードを指定します。
   LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
   

   SET PPP=0 OVER=eth0-ANY BAP=OFF USER=user1@isp PASSWORD=isppasswd LQR=OFF ECHO=ON ↓
       

   
   
4. IPモジュールを有効にします。
   

   ENABLE IP ↓
       

   
   
5. LAN側インターフェース（vlan1）にプライベートIPアドレスを割り当てます。
   

   ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
       

   
   
6. WAN側インターフェース（ppp0）にISPから割り当てられたIPアドレスを設定します。
   

   ADD IP INT=ppp0 IP=10.10.10.1 MASK=255.255.255.255 ↓
       

   
   
7. デフォルトルートをpppインターフェースに向けて設定します。
   

   ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
       

   
   
8. ISPから通知されたDNSサーバーのアドレスを設定します。
   

   ADD IP DNS PRIMARY=12.34.11.11 SECONDARY=12.34.11.22 ↓
       

   
   
9. DNSリレー機能を有効にします。
   

   ENABLE IP DNSRELAY ↓
       

   
   
10. ファイアウォール機能を有効にします。
    

    ENABLE FIREWALL ↓
        

    
    
11. ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
    

    CREATE FIREWALL POLICY=net ↓
        

    
    
12. ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
    

    ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
        

    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

    
    
13. ルーターのidentプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
    

    DISABLE FIREWALL POLICY=net IDENTPROXY ↓
        

    
    
14. ファイアウォールポリシーの適用対象となるインターフェースを指定します。
    
    • LAN側インターフェース（vlan1）をPRIVATE（内部）に設定します。
      

      ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
          

    • WAN側インターフェース（ppp0）をPUBLIC（外部）に設定します。
      

      ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
          

    
    
15. LAN側（vlan1）ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。
    

    ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
        

    
    
16. 対向ルーターから受信したIKEパケット（UDP500番）がファイアウォールを通過できるように設定します。
    

    ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPO=500 GBLIP=10.10.10.1 PO=500 IP=10.10.10.1 ↓
        

    
    
17. ローカルLANからリモートLANへのパケットにはNATをかけないように設定します。
    

    ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.10.1-192.168.10.254 ↓
    SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.20.1-192.168.20.254 ↓
        

    
    
18. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。
    「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。
    よって、以下のコマンドは、「取り出したパケットの終点が192.168.10.1〜192.168.10.254、つまり、ローカル側LANならばNATの対象外とする」の意味になります。
    

    ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.10.1-192.168.10.254 ENCAP=IPSEC ↓
        

    
    
19. ISAKMP用の事前共有鍵（pre-shared key）を作成します。
    ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します（ルーターAと同じに設定）。
    

    CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
        

    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）などで設定スクリプトファイル（.CFG）にこのコマンドを記述しても無効になりますのでご注意ください。

    
    

    Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。

    
    
20. ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。
    ENCALGには対向ルーターと同じ暗号化アルゴリズムを指定します（今回は3desouter）。
    KEYには、前の手順で作成した事前共有鍵（鍵番号「1」）を指定し、DPDMODEにBOTHを指定して、死活監視機能にDPDを使用します。
    GROUPには対向ルーターと同グループのDiffie-Hellman（Oakley）グループを指定します。
    また、この例では対向ルーターのアドレスが不定なため、PEERにANYを、REMOTEIDで対向の認証IDを指定し、「MODE=AGGRESSIVE」でAggressiveモードを使うよう設定します。
    更に、ルーターAはIPsec SAの有効期間がデフォルトで1時間になっているため、ISAKMP SAの保持時間も同様に合わせます。
    

    CREATE ISAKMP POLICY="i" PEER=ANY ENCALG=3DESOUTER KEY=1 DPDMODE=BOTH GROUP=2 SENDN=TRUE REMOTEID="client" MODE=AGGRESSIVE EXPIRYS=3600 ↓
        

    
    
21. IPsec通信の仕様を定義するSAスペック「1」を作成します。
    トンネルモード（デフォルト）、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「3DESOUTER」、認証方式「SHA」に設定します。
    

    CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA ↓
        

    
    
22. SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。
    鍵管理方式は「ISAKMP」を指定し、ルーターAに合わせSAの有効期間を1時間に指定します。
    

    CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" EXPIRYSECONDS=3600 ↓
        

    
    
23. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。
    ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット（ISAKMP）に設定します。
    

    CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
        

    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

    
    
24. 実際のIPsec通信に使用するIPsecポリシー「vpn」を、PPPインターフェースに対して作成します。
    鍵管理方式には「ISAKMP」を、BUNDLEにはSAバンドルスペック「1」を指定します。
    対向ルーターのIPアドレスが不定なので、ISAKMPの認証をパスしたものだけを指定する意味で、PEERにDYNAMICを指定します。
    

    CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓
        

    
    
25. IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。
    コマンドが長くなるため、できるだけ省略形を用いてください。
    

    SET IPSEC POLICY="vpn" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓
        

    
    
26. インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェースに対して作成します。
    

    CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
        

    Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。

    
    
27. IPsecモジュールを有効にします。
    

    ENABLE IPSEC ↓
        

    
    
28. ISAKMPモジュールを有効にします。
    

    ENABLE ISAKMP ↓
        

    
    
29. Security Officerレベルのユーザーでログインしなおします。
    

    LOGIN secoff ↓
        

    
    
30. 動作モードをセキュリティーモードに切り替えます。
    

    ENABLE SYSTEM SECURITY_MODE ↓
        

    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）の設定を行っておいてください（お使いのARルーターのコマンドリファレンスの「運用・管理 / セキュリティー」を参照）。

    
    
31. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
    

    CREATE CONFIG=router.cfg ↓
    SET CONFIG=router.cfg ↓
        

まとめ

ルーターA（ARXルーター）のコンフィグ

! service password-encryption ! clock timezone JST 9 ! ! ! ! ip address-up-always ppp profile pppoe0 my-username user2@isp password 8 e$QNKMe2ohmPDFnghyVppETegAA ! interface gigabitEthernet 0 no shutdown ! interface gigabitEthernet 0.1 ip address ipcp ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip napt inside any ip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect ! interface gigabitEthernet 1 shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface tunnel 0 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy vpn ! interface vlan 1 ip address 192.168.20.1/24 no shutdown ! ip route default gigabitEthernet 0.1 ip route 192.168.10.0/24 tunnel 0 ip route 192.168.10.0/24 Null 254 ! access-list ip extended ipsec permit ip any any access-list ip extended pppoe0-in access-list ip extended pppoe0-out dynamic permit ip any any ! isakmp proposal isakmp encryption 3des hash sha1 group 2 isakmp proposal isakmp lifetime 3600 ! isakmp policy i peer 10.10.10.1 mode aggressive auth preshared key 8 e$I3eQu7yNuLxQA local-id client proposal isakmp keepalive enable ! ipsec proposal ipsec esp encryption 3des hash sha1 ! ipsec policy vpn peer 10.10.10.1 access-list ipsec local-id 192.168.20.0/24 remote-id 192.168.10.0/24 proposal ipsec always-up-sa ! proxydns ip enable ! ! ! end

ルーターB（ARルーター）のコンフィグ

ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER CREATE PPP=0 OVER=eth0-ANY SET PPP=0 OVER=eth0-ANY BAP=OFF USER=user1@isp PASSWORD=isppasswd LQR=OFF ECHO=ON ENABLE IP ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ADD IP INT=ppp0 IP=10.10.10.1 MASK=255.255.255.255 ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ADD IP DNS PRIMARY=12.34.11.11 SECONDARY=12.34.11.22 ENABLE IP DNSRELAY ENABLE FIREWALL CREATE FIREWALL POLICY=net ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH DISABLE FIREWALL POLICY=net IDENTPROXY ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPO=500 GBLIP=10.10.10.1 PO=500 IP=10.10.10.1 ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.10.1-192.168.10.254 SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.20.1-192.168.20.254 ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.10.1-192.168.10.254 ENCAP=IPSEC # CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" CREATE ISAKMP POLICY="i" PEER=ANY ENCALG=3DESOUTER KEY=1 DPDMODE=BOTH GROUP=2 SENDN=TRUE REMOTEID="client" MODE=AGGRESSIVE EXPIRYS=3600 CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" EXPIRYSECONDS=3600 CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC SET IPSEC POLICY="vpn" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ENABLE IPSEC ENABLE ISAKMP # LOGIN secoff # ENABLE SYSTEM SECURITY_MODE

(C) 2011-2014 アライドテレシスホールディングス株式会社

PN: 613-001568 Rev.E

＜前頁 次頁＞ ＜＜ ＞＞ ↑ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）