設定例集#32: PPPoE接続環境におけるJuniper SRXシリーズとの2点間IPsec VPN
PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。
インターネットサービスプロバイダー(以下 ISP)から固定IPアドレスが割り当てられるルーター間をIPsec(ESP)トンネルで接続します。
この例では対向ルーターとしてJuniper SRX210を想定しています。
構成
(本製品) |
(SRX210) |
|
| ISP接続用ユーザー名 | user@isp1 | user@isp2 |
| ISP接続用パスワード | isppasswd1 | isppasswd2 |
| PPPoEサービス名 | 指定なし | 指定なし |
| WAN側IPアドレス | 10.0.0.1/32 | 10.0.0.2/32 |
| WAN側物理インターフェース | eth1 | ge-0/0/0 |
| WAN側(ppp0)IPアドレス | 10.0.0.1/32 | 10.0.0.2/32 |
| LAN側(vlan1)IPアドレス | 192.168.10.1/24 | 192.168.20.1/24 |
| ローカルセレクター | 192.168.10.0/24 | 192.168.20.0/24 |
| リモートセレクター | 192.168.20.0/24 | 192.168.10.0/24 |
| IKEバージョン・交換モード | ||
| アルゴリズム | ||
| ローカルID | 始点アドレス(デフォルト) | 始点アドレス |
| SA有効期間 | ||
| アルゴリズム | ||
[事前共有鍵]
- ルーターA・B間: secret
本構成における設定のポイントは、次のとおりです。
- ルーターA、Bともに固定IPアドレスを持つので、どちらからでも通信を開始できます。
- LAN側端末からインターネットへのアクセスは、ルーターA、BともにVPNを介さず直接ルーティングします。
設定開始前に
自動設定の確認と削除
本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態(スタートアップコンフィグなしで起動した状態)から入力することを前提としています。そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。
ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。
これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。
- ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
- 自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。
システム時刻の設定
ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。
- 手動で設定する方法 - 「運用・管理」/「システム」
- NTPで自動設定する方法 - 「運用・管理」/「NTP」
ルーターA(本製品)の設定
- LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
no spanning-tree rstp enable
- WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface eth1 encapsulation ppp 0
- PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。
・LCP EchoによるPPP接続状態の確認(keepalive)
・IPアドレスの固定設定(ip address)
・ユーザー名(ppp username)
・パスワード(ppp password)
・MSS書き換え(ip tcp adjust-mss)
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface ppp0 keepalive ip address 10.0.0.1/32 ppp username user@isp1 ppp password isppasswd1 ip tcp adjust-mss pmtu
- LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
interface vlan1 ip address 192.168.10.1/24
- ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。
zone private network lan ip subnet 192.168.10.0/24 network peer ip subnet 192.168.20.0/24 interface tunnel0 network tunnel ip subnet 192.168.100.0/30
- 外部ネットワークを表すゾーン「public」を作成します。
前記コマンドに加え、ここではhost、ip addressの各コマンドも使います。
zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host ppp0 ip address 10.0.0.1
- ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、sport、dport、icmp-type、icmp-codeの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。
IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
application esp protocol 50
- ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
application isakmp protocol udp sport 500 dport 500
- 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。
・rule 10, 20 - IPsec(ESP)パケットを許可します
・rule 30, 40 - ISAKMPパケットを許可します
・rule 50 - 内部から内部への通信を許可します
・rule 60 - 内部から外部への通信を許可します
ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
firewall rule 10 permit esp from public.wan.ppp0 to public.wan rule 20 permit esp from public.wan to public.wan.ppp0 rule 30 permit isakmp from public.wan.ppp0 to public.wan rule 40 permit isakmp from public.wan to public.wan.ppp0 rule 50 permit any from private to private rule 60 permit any from private to public protect
- LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
これには、nat、rule、enableの各コマンドを使います。
NATの詳細は「UTM」/「NAT」をご覧ください。
nat rule 10 masq any from private to public enable
- 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
crypto isakmp key secret address 10.0.0.2
- IPsecの通信方式を規定するIPsecプロファイルを作成します。
IPsecプロファイルの詳細は「VPN」/「IPsec」をご覧ください。
ここでは、crypto ipsec profileコマンドでIPsecプロファイルを作成し、以下の情報を設定します。
・SA有効期間(lifetime)
・アルゴリズム(transform)
crypto ipsec profile ipsec1 lifetime seconds 3600 transform 1 protocol esp integrity SHA256 encryption AES128
- ISAKMPの通信方式を規定するISAKMPプロファイルを作成します。
ISAKMPプロファイルの詳細は「VPN」/「IPsec」をご覧ください。
ここでは、crypto isakmp profileコマンドでISAKMPプロファイルを作成し、以下の情報を設定します。
・IKEバージョン(version)
・SA有効期間(lifetime)
・アルゴリズム(transform)
crypto isakmp profile isakmp1 version 1 mode main lifetime 3600 transform 1 integrity SHA256 encryption AES128 group 2
- 対向ルーターとの間で使用するISAKMPプロファイルを指定します。これにはcrypto isakmp peerコマンドを使います。
crypto isakmp peer address 10.0.0.2 profile isakmp1
- IPsecトンネルインターフェースtunnel0を作成します。
トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。
これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。
・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source)
・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination)
・トンネルインターフェースに適用するローカルセレクター(tunnel local selector)
・トンネルインターフェースに適用するリモートセレクター(tunnel remote selector)
・トンネルインターフェースに対するIPsec保護の適用とIPsecプロファイルの指定(tunnel protection ipsec)
・トンネリング方式(tunnel mode ipsec)
・トンネルインターフェースのIPアドレス(ip address)
・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss)
・トンネルインターフェースのMTU(mtu)
interface tunnel0 tunnel source 10.0.0.1 tunnel destination 10.0.0.2 tunnel local selector 192.168.10.0/24 tunnel remote selector 192.168.20.0/24 tunnel protection ipsec profile ipsec1 tunnel mode ipsec ipv4 ip address 192.168.100.1/30 ip tcp adjust-mss 1260 mtu 1300
- デフォルト経路(0.0.0.0/0)とルーターBのLAN側(192.168.20.0/24)への経路を設定します。これにはip routeコマンドを使います。
ただし、ルーター間のVPN接続が有効になるまでは、対向側LANへの経路は使用できないように設定します。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
ip route 0.0.0.0/0 ppp0 ip route 192.168.20.0/24 tunnel0 ip route 192.168.20.0/24 Null 254
- 以上で設定は完了です。
end
設定の保存
設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。awplus# copy running-config startup-config
Building configuration...
[OK]
また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]
その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。
ファイアウォールログについて
ファイアウォールのログをとるには、次のコマンド(log(filter))を実行します。awplus(config)# log buffered level informational facility local5
記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。
awplus# show log | include Firewall
ルーターB(SRX210)の設定
- 初期設定削除
delete
- パスワード設定
set system root-authentication encrypted-password New password: PasswordS Retype new password: PasswordS
- LAN側インターフェース IPアドレス設定
set interfaces ge-0/0/1 unit 0 family inet address 192.168.20.1/24
- PPP設定
set interfaces ge-0/0/0 unit 0 encapsulation ppp-over-ether set interfaces pp0 unit 0 ppp-options chap default-chap-secret "isppasswd2" set interfaces pp0 unit 0 ppp-options chap local-name "user@isp2" set interfaces pp0 unit 0 ppp-options chap passive set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/0.0 set interfaces pp0 unit 0 pppoe-options auto-reconnect 10 set interfaces pp0 unit 0 pppoe-options client set interfaces pp0 unit 0 family inet negotiate-address
- ファイアウォール設定
set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces pp0.0 host-inbound-traffic system-services ike set security zones security-zone untrust interfaces pp0.0 host-inbound-traffic system-services ping set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0
- NAT設定
set security nat source rule-set TrustToUntrust from zone trust set security nat source rule-set TrustToUntrust to zone untrust set security nat source rule-set TrustToUntrust rule match1 match source-address 0.0.0.0/0 set security nat source rule-set TrustToUntrust rule match1 then source-nat interface
- アドレスブック設定
set security zones security-zone vpn_zone address-book address net1 192.168.10.0/16 set security zones security-zone trust address-book address net2 192.168.20.0/24
- トンネルインターフェース設定
set interfaces st0 unit 0 family inet set security zones security-zone vpn_zone interfaces st0.0
- IKE設定
set security ike respond-bad-spi 5 set security ike proposal ar-p1 authentication-method pre-shared-keys set security ike proposal ar-p1 dh-group group2 set security ike proposal ar-p1 authentication-algorithm sha-256 set security ike proposal ar-p1 encryption-algorithm aes-128-cbc set security ike proposal ar-p1 lifetime-seconds 3600 set security ike policy p1-policy mode main set security ike policy p1-policy proposals ar-p1 set security ike policy p1-policy pre-shared-key ascii-text "secret" set security ike gateway ar-gw ike-policy p1-policy set security ike gateway ar-gw address 10.0.0.1 set security ike gateway ar-gw dead-peer-detection always-send set security ike gateway ar-gw dead-peer-detection interval 20 set security ike gateway ar-gw dead-peer-detection threshold 5 set security ike gateway ar-gw external-interface pp0.0
- IPsec設定
set security ipsec proposal ar-p2 protocol esp set security ipsec proposal ar-p2 authentication-algorithm hmac-sha256-128 set security ipsec proposal ar-p2 encryption-algorithm aes-128-cbc set security ipsec proposal ar-p2 lifetime-seconds 3600 set security ipsec policy p2-policy proposals ar-p2 set security ipsec vpn ar-vpn bind-interface st0.0 set security ipsec vpn ar-vpn ike gateway ar-gw set security ipsec vpn ar-vpn ike proxy-identity local 192.168.20.0/24 set security ipsec vpn ar-vpn ike proxy-identity remote 192.168.10.0/24 set security ipsec vpn ar-vpn ike proxy-identity service any set security ipsec vpn ar-vpn ike ipsec-policy p2-policy set security ipsec vpn ar-vpn establish-tunnels immediately set security flow tcp-mss ipsec-vpn mss 1300
- フィルター設定
set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit set security policies from-zone trust to-zone vpn_zone policy trust-to-vpn_zone match source-address net2 set security policies from-zone trust to-zone vpn_zone policy trust-to-vpn_zone match destination-address net1 set security policies from-zone trust to-zone vpn_zone policy trust-to-vpn_zone match application any set security policies from-zone trust to-zone vpn_zone policy trust-to-vpn_zone then permit set security policies from-zone vpn_zone to-zone trust policy vpn_zone-to-trust match source-address net1 set security policies from-zone vpn_zone to-zone trust policy vpn_zone-to-trust match destination-address net2 set security policies from-zone vpn_zone to-zone trust policy vpn_zone-to-trust match application any set security policies from-zone vpn_zone to-zone trust policy vpn_zone-to-trust then permit
- ルート設定
set routing-options static route 0.0.0.0/0 next-hop pp0.0 set routing-options static route 192.168.10.0/24 next-hop st0.0
- 入力したコンフィグを運用中のコンフィグに反映
commit
ルーターA(本製品)のコンフィグ
! no spanning-tree rstp enable ! interface eth1 encapsulation ppp 0 ! interface ppp0 keepalive ip address 10.0.0.1/32 ppp username user@isp1 ppp password isppasswd1 ip tcp adjust-mss pmtu ! interface vlan1 ip address 192.168.10.1/24 ! zone private network lan ip subnet 192.168.10.0/24 network peer ip subnet 192.168.20.0/24 interface tunnel0 network tunnel ip subnet 192.168.100.0/30 ! zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host ppp0 ip address 10.0.0.1 ! application esp protocol 50 ! application isakmp protocol udp sport 500 dport 500 ! firewall rule 10 permit esp from public.wan.ppp0 to public.wan rule 20 permit esp from public.wan to public.wan.ppp0 rule 30 permit isakmp from public.wan.ppp0 to public.wan rule 40 permit isakmp from public.wan to public.wan.ppp0 rule 50 permit any from private to private rule 60 permit any from private to public protect ! nat rule 10 masq any from private to public enable ! crypto isakmp key secret address 10.0.0.2 ! crypto ipsec profile ipsec1 lifetime seconds 3600 transform 1 protocol esp integrity SHA256 encryption AES128 ! crypto isakmp profile isakmp1 version 1 mode main lifetime 3600 transform 1 integrity SHA256 encryption AES128 group 2 ! crypto isakmp peer address 10.0.0.2 profile isakmp1 ! interface tunnel0 tunnel source 10.0.0.1 tunnel destination 10.0.0.2 tunnel local selector 192.168.10.0/24 tunnel remote selector 192.168.20.0/24 tunnel protection ipsec profile ipsec1 tunnel mode ipsec ipv4 ip address 192.168.100.1/30 ip tcp adjust-mss 1260 mtu 1300 ! ip route 0.0.0.0/0 ppp0 ip route 192.168.20.0/24 tunnel0 ip route 192.168.20.0/24 Null 254 ! end
備考:ルーターA(本製品)のIPアドレスが不定な場合
ルーターA(本製品)のWAN側IPアドレスが不定(動的割り当て)の場合、IPsec VPNの設定をどのように変更すればよいか説明します。
(本製品) |
(SRX210) |
|
| ISP接続用ユーザー名 | user@isp1 | user@isp2 |
| ISP接続用パスワード | isppasswd1 | isppasswd2 |
| PPPoEサービス名 | 指定なし | 指定なし |
| WAN側IPアドレス | 動的割り当て(IPCP) | 10.0.0.2/32 |
| WAN側物理インターフェース | eth1 | ge-0/0/0 |
| WAN側(ppp0)IPアドレス | 接続時にISPから取得 | 10.0.0.2/32 |
| LAN側(vlan1)IPアドレス | 192.168.10.1/24 | 192.168.20.1/24 |
| ローカルセレクター | 192.168.10.0/24 | 192.168.20.0/24 |
| リモートセレクター | 192.168.20.0/24 | 192.168.10.0/24 |
| IKEバージョン・交換モード | ||
| アルゴリズム | ||
| ローカルID | client | 始点アドレス |
| SA有効期間 | ||
| アルゴリズム | ||
ルーターAのIPアドレスが不定な構成における設定のポイントは、次のとおりです。
- ルーターAのアドレスが不定のため、ルーターBからルーターAに接続することはできません。つねにルーターAから接続を開始することになります。
- ルーターAのアドレスが不定なため、IKEフェーズ1ではAggressiveモードを使い、ルーターAのローカルIDとして文字列(名前)を使用します。
- LAN側端末からインターネットへのアクセスは、ルーターA、BともにVPNを介さず直接ルーティングします。
以下、IPsec VPNに関する変更点だけを示します。
ルーターAの設定変更
IKE交換モード(version)をAggressiveモードに変更します。crypto isakmp profile isakmp1 version 1 mode aggressive lifetime 3600 transform 1 integrity SHA256 encryption AES128 group 2
トンネルインターフェースの始点アドレス(tunnel source)をインターフェース名(ppp0)に変更し、ローカルID(tunnel local name)を指定します。
interface tunnel0 tunnel source ppp0 tunnel local name client
ルーターBの設定変更
IKE交換モードをAggressiveに変更します。set security ike policy p1-policy mode aggressive
IKEゲートウェイのリモートIDを設定します。
set security ike gateway ar-gw dynamic hostname client