VPN / トンネルインターフェース

トンネルインターフェースの作成
トンネル構築の基本設定
IPsecトンネルインターフェース
IPsec over IPv4
IPsec over IPv6
L2TPv3トンネルインターフェース
L2TPv3 over IPv4
L2TPv3 over IPv6
OpenVPN Tap(L2)トンネルインターフェース
OpenVPN Tun(L3)トンネルインターフェース
GREトンネルインターフェース
GRE over IPv4
GRE over IPv6

トンネルインターフェースは、パブリックネットワーク上にプライベートネットワークのトラフィックを通す、いわゆるVPN(Virtual Private Network)を構成するときに使う仮想的なインターフェースです。

トンネルインターフェースでは、IPv4/IPv6パケット(デリバリーパケット)のデータ部分に別プロトコルのパケット(ペイロードパケット)を格納して送信し、受信時にはデリバリーパケットのデータ部分からペイロードパケットを取り出して処理(転送など)を行います。この動作をトンネリングと呼びます。

トンネリングに使う仮想インターフェースをトンネルインターフェースと呼び、インターフェース名として「tunnelX」を使います(X = 0~255)。

本製品がサポートしているトンネリング方式は次のとおりです。
方式
デリバリー
(外側)
プロトコル
ペイロード
(内側)
プロトコル
おもな用途
暗号化
備考
IPsec IPv4/IPv6 IPv4/IPv6 拠点間接続
(ルーティング型)		 IPsec
(ESP)		 IPv4 over IPv4, IPv6 over IPv6の組み合わせのみサポート
L2TPv3 IPv4/IPv6 Ethernet 拠点間接続
(ブリッジ型)		 IPsec
(ESP)		 IPv4、IPv6アドレスを設定すればルーティング構成も可能
OpenVPN Tap(L2) IPv4/IPv6 Ethernet リモートアクセス
(ブリッジ型)		 OpenVPN
(TLS)		 IPv4、IPv6アドレスを設定すればルーティング構成も可能
OpenVPN Tun(L3) IPv4/IPv6 IPv4/IPv6 リモートアクセス
(ルーティング型)		 OpenVPN
(TLS)		  
GRE IPv4/IPv6 IPv4/IPv6 拠点間接続
(IPv6 over IPv4構成)
(IPv4 over IPv6構成)		 IPsec
(ESP)		  

L2TPv3とOpenVPN Tap(L2)トンネルインターフェースはおもにブリッジング用、IPsec、OpenVPN Tun(L3)、GREトンネルインターフェースはルーティング用インターフェースとして使用します。

Note
本製品は上記のほかにL2TPv2をサポートしていますが、L2TPv2の設定ではトンネルインターフェース(tunnelX)を使用せず、L2TPv2トンネル上に作成した「pppX」インターフェースを使用するため、本章では触れません。L2TPv2の詳細については、「VPN」/「L2TPv2」をご覧ください。

トンネルインターフェースの作成

グローバルコンフィグモードのinterfaceコマンドでインターフェース名「tunnelX」を指定したとき、該当インターフェースが存在していなければトンネルインターフェースが新規に作成され、該当トンネルインターフェースの設定を行うためのインターフェースモードに移動します。
awplus(config)# interface tunnel0
awplus(config-if)#

なお、同コマンドでトンネルインターフェースを作成したら、下記のコマンドでトンネルの種類(動作モード)を指定し、その後トンネル種類に応じた必須および任意の設定を行います。
トンネルインターフェースの種類
動作モード設定コマンド
IPsecトンネルインターフェース tunnel mode ipsec
L2TPv3トンネルインターフェース tunnel mode l2tp v3
OpenVPN Tap(L2)トンネルインターフェース tunnel mode openvpn tap
OpenVPN Tun(L3)トンネルインターフェース tunnel mode openvpn tun
GREトンネルインターフェース tunnel mode gre

トンネル構築の基本設定

ここでは、トンネルインターフェースを作成し、対向装置との間にトンネルを張る(IPsec、L2TPv3、GREの場合)、あるいは、クライアントからのトンネル接続を待ち受ける(OpenVPNの場合)までの設定手順だけを説明します。

トンネルインターフェースへのアドレス設定や経路設定など、ネットワーク構成に依存する部分については、トンネル種別ごとに設けられた下記の解説編や設定例集をご覧ください。


なお、以下では、トンネルパケット(デリバリーパケット)の送受信に必要なIPアドレスやIPv6アドレスの設定までは完了しているものと仮定しています。

IPsecトンネルインターフェース

IPsecトンネルインターフェースは、固定IP/IPv6アドレスを持つ拠点間のL3接続(ルーティング接続)に使います。

Note
ファームウェアバージョン5.4.5-0.4までの本製品と5.4.5-1.1以降の本製品との間ではIPsec接続ができません。本製品同士でIPsec接続を行う場合はファームウェアのバージョンを揃えてください。

Note
IPsecトンネルインターフェースでは、デリバリー(外側)パケットとペイロード(内側)パケットのプロトコルが一致している必要があります。すなわち、IPsec over IPv4トンネルインターフェース(tunnel mode ipsec ipv4)にはIPv4アドレス(ip address)しか設定できず、IPsec over IPv6トンネルインターフェース(tunnel mode ipsec ipv6)にはIPv6アドレス(ipv6 address)しか設定できません。IPv6 over IPv4のIPsecを実現するには、後述するGREトンネルインターフェースにIPsec保護(tunnel protection ipsec)を適用してください。また、IPv4 over IPv6のIPsecを実現するには、IPv6トンネルインターフェースにIPsec保護(tunnel protection ipsec)を適用してください。

IPsec over IPv4

IPv4ネットワーク上にIPsecトンネルインターフェースを作成するには、次の手順にしたがいます。
  1. ISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。addressパラメーターで指定するのは、IPsecの接続相手(対向装置)です。
    awplus(config)# crypto isakmp key ouR4ecret address 10.2.2.2

  2. トンネルインターフェースtunnel0を作成します。これにはinterfaceコマンドを使います。
    awplus(config)# interface tunnel0

  3. トンネリング方式としてipsec ipv4(IPsec over IPv4)を指定します。これには、tunnel mode ipsecコマンドを使います。
    awplus(config-if)# tunnel mode ipsec ipv4

  4. トンネルインターフェースから送信するデリバリーパケットの始点・終点アドレス(自装置と対向装置のIPアドレス)を指定します。これには、tunnel source / tunnel destinationコマンドを使います。
    awplus(config-if)# tunnel source 10.1.1.1
awplus(config-if)# tunnel destination 10.2.2.2

  5. トンネルインターフェースに対し、IPsecによる保護を適用します。これにはtunnel protection ipsecコマンドを使います。
    awplus(config-if)# tunnel protection ipsec
これでIPsec over IPv4トンネルインターフェースの作成は完了です。

この後は、IPsec over IPv4トンネルインターフェースにIPv4アドレスを割り当ててIPv4ルーティングを有効にし、適切な経路設定を行う必要があります。詳しくは、「VPN」/「IPsec」をご覧ください。

IPsec over IPv6

IPv6ネットワーク上にIPsecトンネルインターフェースを作成するには、次の手順にしたがいます。
  1. ISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。addressパラメーターで指定するのは、IPsecの接続相手(対向装置)です。
    awplus(config)# crypto isakmp key ouR4ecret address 2001:db8:1:1::1

  2. トンネルインターフェースtunnel0を作成します。これにはinterfaceコマンドを使います。
    awplus(config)# interface tunnel0

  3. トンネリング方式としてipsec ipv6(IPsec over IPv6)を指定します。これには、tunnel mode ipsecコマンドを使います。
    awplus(config-if)# tunnel mode ipsec ipv6

  4. トンネルインターフェースから送信するデリバリーパケットの始点・終点アドレス(自装置と対向装置のIPv6アドレス)を指定します。これには、tunnel source / tunnel destinationコマンドを使います。
    awplus(config-if)# tunnel source 2001:db8:1:1::1
awplus(config-if)# tunnel destination 2001:db8:2:2::2

  5. トンネルインターフェースに対し、IPsecによる保護を適用します。これにはtunnel protection ipsecコマンドを使います。
    awplus(config-if)# tunnel protection ipsec
これでIPsec over IPv6トンネルインターフェースの作成は完了です。

この後は、IPsec over IPv6トンネルインターフェースにIPv6アドレスを割り当ててIPv6ルーティングを有効にし、適切な経路設定を行う必要があります。詳しくは、「VPN」/「IPsec」をご覧ください。

L2TPv3トンネルインターフェース

L2TPv3トンネルインターフェースは、おもに固定IP/IPv6アドレスを持つ拠点間のL2接続(ブリッジ接続)に使います。

L2TPv3 over IPv4

IPv4ネットワーク上にL2TPv3トンネルインターフェースを作成するには、次の手順にしたがいます。
  1. トンネルインターフェースtunnel0を作成します。これにはinterfaceコマンドを使います。
    awplus(config)# interface tunnel0

  2. トンネリング方式としてl2tp v3(L2TPv3 over IPv4)を指定します。これには、tunnel mode l2tp v3コマンドを使います。
    awplus(config-if)# tunnel mode l2tp v3

  3. トンネルインターフェースから送信するデリバリーパケットの始点・終点アドレス(自装置と対向装置のIPアドレス)を指定します。これには、tunnel source / tunnel destinationコマンドを使います。
    awplus(config-if)# tunnel source 10.1.1.1
awplus(config-if)# tunnel destination 10.2.2.2

  4. トンネルのローカルIDとリモートIDを指定します。これには、tunnel local id / tunnel remote idコマンドを使います。
    awplus(config-if)# tunnel local id 101
awplus(config-if)# tunnel remote id 102
これでL2TPv3 over IPv4トンネルインターフェースの作成は完了です。

この後は、L2TPv3 over IPv4トンネルインターフェースをソフトウェアブリッジに割り当ててブリッジングを行えるようにするか、あるいは、L2TPv3 over IPv4トンネルインターフェースにIPv4/IPv6アドレスを割り当ててIPv4/IPv6ルーティングを有効にし、適切な経路設定を行う必要があります。詳しくは、「VPN」/「L2TPv3」「ブリッジング」/「一般設定」をご覧ください。

Note
L2TPv3トンネルインターフェースを使用してルーティングを行う場合は、他のトンネルインターフェースと異なりネクストホップアドレスを明確にする必要があります。そのため、ip route / ipv6 routeコマンドでスタティック経路を登録するときには、L2TPv3トンネルインターフェースを送出インターフェースとして指定するのではなく、ネクストホップアドレスを明示的に指定してください。

L2TPv3 over IPv6

IPv6ネットワーク上にL2TPv3トンネルインターフェースを作成するには、次の手順にしたがいます。
  1. トンネルインターフェースtunnel0を作成します。これにはinterfaceコマンドを使います。
    awplus(config)# interface tunnel0

  2. トンネリング方式としてl2tp v3 ipv6(L2TPv3 over IPv6)を指定します。これには、tunnel mode l2tp v3コマンドを使います。
    awplus(config-if)# tunnel mode l2tp v3 ipv6

  3. トンネルインターフェースから送信するデリバリーパケットの始点・終点アドレス(自装置と対向装置のIPv6アドレス)を指定します。これには、tunnel source / tunnel destinationコマンドを使います。
    awplus(config-if)# tunnel source 2001:db8:1:1::1
awplus(config-if)# tunnel destination 2001:db8:2:2::2

  4. トンネルのローカルIDとリモートIDを指定します。これには、tunnel mode l2tp v3コマンドを使います。
    awplus(config-if)# tunnel local id 101
awplus(config-if)# tunnel remote id 102
これでL2TPv3 over IPv6トンネルインターフェースの作成は完了です。

この後は、L2TPv3 over IPv6トンネルインターフェースをソフトウェアブリッジに割り当ててブリッジングを行えるようにするか、あるいは、L2TPv3 over IPv6トンネルインターフェースにIPv4/IPv6アドレスを割り当ててIPv4/IPv6ルーティングを有効にし、適切な経路設定を行う必要があります。詳しくは、「VPN」/「L2TPv3」「ブリッジング」/「一般設定」をご覧ください。

Note
L2TPv3トンネルインターフェースを使用してルーティングを行う場合は、他のトンネルインターフェースと異なりネクストホップアドレスを明確にする必要があります。そのため、ip route / ipv6 routeコマンドでスタティック経路を登録するときには、L2TPv3トンネルインターフェースを送出インターフェースとして指定するのではなく、ネクストホップアドレスを明示的に指定してください。

OpenVPN Tap(L2)トンネルインターフェース

OpenVPNトンネルインターフェースは、WindowsやMacOSをクライアントとするリモートアクセス型VPNの構築に使います。

OpenVPN Tap(L2)トンネルインターフェースを作成するには、次の手順にしたがいます。
    1.OpenVPNではクライアント認証にRADIUSサーバーを使用します。ここではRADIUSサーバーがすでに存在しており、OpenVPNクライアントのユーザーが登録されているという前提のもと、OpenVPNで使用するRADIUSサーバーを指定します。
    awplus(config)# radius-server host 192.168.10.5 key hi3twoDoYou?
awplus(config)# aaa authentication openvpn default group radius

  1. トンネルインターフェースtunnel0を作成します。これにはinterfaceコマンドを使います。
    awplus(config)# interface tunnel0

  2. トンネリング方式としてopenvpn tapを指定します。これには、tunnel mode openvpn tapコマンドを使います。
    awplus(config-if)# tunnel mode openvpn tap
これでOpenVPN Tap(L2)トンネルインターフェースの作成は完了です。

この後は、OpenVPN Tap(L2)トンネルインターフェースをソフトウェアブリッジに割り当ててブリッジングを行えるようにするか、あるいは、OpenVPN Tap(L2)トンネルインターフェースにIPv4/IPv6アドレスを割り当ててIPv4/IPv6ルーティングを有効にし、適切な経路設定を行う必要があります。詳しくは、「VPN」/「OpenVPN」「ブリッジング」/「一般設定」をご覧ください。

OpenVPN Tun(L3)トンネルインターフェース

OpenVPNトンネルインターフェースは、WindowsやMacOSをクライアントとするリモートアクセス型VPNの構築に使います。

OpenVPN Tun(L3)トンネルインターフェースを作成するには、次の手順にしたがいます。
    1.OpenVPNではクライアント認証にRADIUSサーバーを使用します。ここではRADIUSサーバーがすでに存在しており、OpenVPNクライアントのユーザーが登録されているという前提のもと、OpenVPNで使用するRADIUSサーバーを指定します。
    awplus(config)# radius-server host 192.168.10.5 key hi3twoDoYou?
awplus(config)# aaa authentication openvpn default group radius

  1. トンネルインターフェースtunnel0を作成します。これにはinterfaceコマンドを使います。
    awplus(config)# interface tunnel0

  2. トンネリング方式としてopenvpn tunを指定します。これには、tunnel mode openvpn tunコマンドを使います。
    awplus(config-if)# tunnel mode openvpn tun
これでOpenVPN Tun(L3)トンネルインターフェースの作成は完了です。

この後は、OpenVPN Tun(L3)トンネルインターフェースにIPv4/IPv6アドレスを割り当ててIPv4/IPv6ルーティングを有効にし、適切な経路設定を行う必要があります。詳しくは、「VPN」/「OpenVPN」をご覧ください。

GREトンネルインターフェース

GREトンネルインターフェースは、おもにIPv4ネットワーク経由でIPv6ネットワーク同士を接続する、あるいは、IPv6ネットワーク経由でIPv4ネットワーク同士を接続するために使います。

GRE over IPv4

IPv4ネットワーク上にGREトンネルインターフェースを作成するには、次の手順にしたがいます。
  1. トンネルインターフェースtunnel0を作成します。これにはinterfaceコマンドを使います。
    awplus(config)# interface tunnel0

  2. トンネリング方式としてgre(GRE over IPv4)を指定します。これには、tunnel mode greコマンドを使います。
    awplus(config-if)# tunnel mode gre

  3. トンネルインターフェースから送信するデリバリーパケットの始点・終点アドレス(自装置と対向装置のIPアドレス)を指定します。これには、tunnel source / tunnel destinationコマンドを使います。
    awplus(config-if)# tunnel source 10.1.1.1
awplus(config-if)# tunnel destination 10.2.2.2
これでGRE over IPv4トンネルインターフェースの作成は完了です。

この後は、GRE over IPv4トンネルインターフェースにIPv4/IPv6アドレスを割り当ててIPv4/IPv6ルーティングを有効にし、適切な経路設定を行う必要があります。詳しくは、「VPN」/「GRE」をご覧ください。

GRE over IPv6

IPv6ネットワーク上にGREトンネルインターフェースを作成するには、次の手順にしたがいます。
  1. トンネルインターフェースtunnel0を作成します。これにはinterfaceコマンドを使います。
    awplus(config)# interface tunnel0

  2. トンネリング方式としてgre ipv6(GRE over IPv6)を指定します。これには、tunnel mode greコマンドを使います。
    awplus(config-if)# tunnel mode gre ipv6

  3. トンネルインターフェースから送信するデリバリーパケットの始点・終点アドレス(自装置と対向装置のIPv6アドレス)を指定します。これには、tunnel source / tunnel destinationコマンドを使います。
    awplus(config-if)# tunnel source 2001:db8:1:1::1
awplus(config-if)# tunnel destination 2001:db8:2:2::2
これでGRE over IPv6トンネルインターフェースの作成は完了です。

この後は、GRE over IPv6トンネルインターフェースにIPv4/IPv6アドレスを割り当ててIPv4/IPv6ルーティングを有効にし、適切な経路設定を行う必要があります。詳しくは、「VPN」/「GRE」をご覧ください。

(C) 2015 - 2019 アライドテレシスホールディングス株式会社

PN: 613-002765 Rev.A