設定例集#124: 電子証明書を使用したルーター間IPsec VPN接続
IPsecを使って2つの拠点をインターネット経由でIP接続するVPNの設定例です。
この例では、IKEフェーズ1接続時の対向装置の認証として電子証明書を使用します。
また、電子証明書にはホスト名(FQDN)を使用するため、ダイナミックDNSサービスも使用します。
構成
| ISP接続用ユーザー名 | user@ispA | user@ispB |
| ISP接続用パスワード | isppasswdA | isppasswdB |
| PPPoEサービス名 | 指定なし | 指定なし |
| WAN側IPアドレス | 動的割り当て(IPCP) | 動的割り当て(IPCP) |
| DNSサーバー | 自動取得(IPCP) | 自動取得(IPCP) |
| 接続形態 | 端末型 | 端末型 |
| WAN側物理インターフェース | eth1 | eth1 |
| WAN側(ppp0)IPアドレス | 接続時にISP-Aから取得 | 接続時にISP-Bから取得 |
| LAN側(vlan1)IPアドレス | 192.168.10.1/24 | 192.168.20.1/24 |
| IKEバージョン | ||
| ローカルID | test1.example.com | test2.example.com |
| リモートID | test2.example.com | test1.example.com |
| サーバーのFQDN | members.example.com | members.example.com |
| サーバーのTCPポート番号 | 443 | 443 |
| サーバー接続用ユーザー名 | test | test |
| サーバー接続用パスワード | test | test |
| ホスト名 | test1.example.com | test2.example.com |
| IPアドレスを登録するインターフェース | ppp0 | ppp0 |
[事前共有鍵]
- ルーターA・B間: secret
設定開始前に
自動設定の確認と削除
本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態(スタートアップコンフィグなしで起動した状態)から入力することを前提としています。そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。
ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。
これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。
- ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
- 自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。
システム時刻の設定
ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。
- 手動で設定する方法 - 「運用・管理」/「システム」
- NTPで自動設定する方法 - 「運用・管理」/「NTP」
ルーターAの設定
- LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
no spanning-tree rstp enable
- DNS問い合わせ機能を有効にします。これには、ip domain-lookupコマンドを使います。
ip domain-lookup
- ダイナミックDNSクライアント機能を有効にします。これには、ddns enableコマンドを使います。
ダイナミックDNSクライアント機能の詳細は「IP付加機能」/「ダイナミックDNSクライアント」をご覧ください。
ddns enable
- ダイナミックDNSサービス固有の設定を行います。これには、ddns-update-methodコマンドでDDNSアップデートメソッドモードに入り、update-url、host-name、username、password、update-interval、retry-intervalの各コマンドで具体的なパラメーターを設定します。
※クエリーパラメーターの開始を表す「?」をCLIから入力するには、Ctrl/Vキーを入力してから?を入力してください。単に?を入力するとCLIヘルプが表示されてしまうためご注意ください。
ddns-update-method example update-url https://<USERNAME>:<PASSWORD>@members.example.com/update?hostname=<HOST-NAME>&myip=<IPADDRESS> host-name test1.example.com username test password test update-interval 60 retry-interval 1 maximum-retries 5
- WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface eth1 encapsulation ppp 0
- PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。
・ダイナミックDNSクライアント機能によるIPアドレスの登録(ip ddns-update-method)
・IPCPによるDNSサーバーアドレスの取得要求(ppp ipcp dns)
・LCP EchoによるPPP接続状態の確認(keepalive)
・IPCPによるIPアドレスの取得要求(ip address negotiated)
・ユーザー名(ppp username)
・パスワード(ppp password)
・MSS書き換え(ip tcp adjust-mss)
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface ppp0 ip ddns-update-method example ppp ipcp dns request keepalive ip address negotiated ppp username user@ispA ppp password isppasswdA ip tcp adjust-mss pmtu
- LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
interface vlan1 ip address 192.168.10.1/24
- ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。
zone private network lan ip subnet 192.168.10.0/24 network peer ip subnet 192.168.20.0/24 interface tunnel0 network tunnel ip subnet 172.16.0.0/30
- 外部ネットワークを表すゾーン「public」を作成します。
これには、前記コマンドに加え、host、ip addressの各コマンドを使います。
zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host ppp0 ip address dynamic interface ppp0
- ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、sport、dport、icmp-type、icmp-codeの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。
IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
application esp protocol 50
- ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
application isakmp protocol udp sport 500 dport 500
- 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。
・rule 10 - 内部ネットワーク間の通信を許可します
・rule 20 - 内部ネットワークから外部への通信を許可します
・rule 30 - 本製品のWAN側インターフェースから外部へのDNS通信を許可します
・rule 40 - ダイナミックDNSサーバーにアクセスしてIPアドレスを登録するため、本製品のWAN側インターフェースから外部へのHTTPS通信を許可します
・rule 50, 60 - ISAKMPパケットを許可します
・rule 70, 80 - IPsec(ESP)パケットを許可します
ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
firewall rule 10 permit any from private to private rule 20 permit any from private to public rule 30 permit dns from public.wan.ppp0 to public.wan rule 40 permit https from public.wan.ppp0 to public.wan rule 50 permit isakmp from public.wan.ppp0 to public.wan rule 60 permit isakmp from public.wan to public.wan.ppp0 rule 70 permit esp from public.wan.ppp0 to public.wan rule 80 permit esp from public.wan to public.wan.ppp0 protect
- LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
これには、nat、rule、enableの各コマンドを使います。
NATの詳細は「UTM」/「NAT」をご覧ください。
nat rule 10 masq any from private to public enable
- CA証明書とサーバー証明書を準備するため、トラストポイントの設定を行います。
・トラストポイント「vpn_trust」のセットアップ(crypto pki trustpoint)
・サーバー証明書の取得方法(enrollment)
・外部CAが発行するサーバー証明書のサブジェクト名(subject-name)
・外部CAが発行するサーバー証明書のサブジェクト代替名(subject-alt-name)
crypto pki trustpoint vpn_trust enrollment terminal subject-name /CN=test1.example.com subject-alt-name test1.example.com
- ISAKMPの通信方式を規定するISAKMPプロファイルを作成します。
ISAKMPプロファイルの詳細は「VPN」/「IPsec」をご覧ください。
ここでは、crypto isakmp profileコマンドでISAKMPプロファイルを作成し、以下の情報を設定します。
・自装置の認証方式(local authentication)
・対向装置の認証方式(remote authentication)
・証明書認証を行う場合に使用するトラストポイント(pki trustpoint)
・アルゴリズム(transform)
crypto isakmp profile cert_vpn local authentication certificate remote authentication certificate pki trustpoint vpn_trust transform 1 integrity SHA256 encryption AES256 group 14
- 対向ルーターとの間で使用するISAKMPプロファイルを指定します。これにはcrypto isakmp peerコマンドを使います。
crypto isakmp peer hostname test2.example.com profile cert_vpn
- IPsecトンネルインターフェースtunnel0を作成します。
トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。
これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。
ここでは、ダイナミックDNSサービスによって登録されたホスト名(FQDN)で対向装置のアドレスと自装置、対向装置のIDを指定しています。
・トンネルインターフェースのMTU(mtu)
・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source)
・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination)
・トンネルインターフェースにおける自装置ID(ローカルID)(tunnel local name)
・トンネルインターフェースにおける対向装置ID(リモートID)(tunnel remote name)
・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec)
・トンネルインターフェースにおけるリンクステータス決定方式(tunnel oper-status-control)
・トンネリング方式(tunnel mode ipsec)
・トンネルインターフェースのIPアドレス(ip address)
・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss)
interface tunnel0 mtu 1300 tunnel source ppp0 tunnel destination test2.example.com tunnel local name test1.example.com tunnel remote name test2.example.com tunnel protection ipsec tunnel oper-status-control ipsec tunnel mode ipsec ipv4 ip address 172.16.0.1/30 ip tcp adjust-mss 1260
- デフォルト経路(0.0.0.0/0)とルーターBのLAN側(192.168.20.0/24)への経路を設定します。これにはip routeコマンドを使います。
ただし、ルーター間のVPN接続が有効になるまでは、対向側LANへの経路は使用できないように設定します。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
ip route 0.0.0.0/0 ppp0 ip route 192.168.20.0/24 tunnel0 ip route 192.168.20.0/24 Null 254
- 以上で設定は完了です。
end
ルーターBの設定
- LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
no spanning-tree rstp enable
- DNS問い合わせ機能を有効にします。これには、ip domain-lookupコマンドを使います。
ip domain-lookup
- ダイナミックDNSクライアント機能を有効にします。これには、ddns enableコマンドを使います。
ダイナミックDNSクライアント機能の詳細は「IP付加機能」/「ダイナミックDNSクライアント」をご覧ください。
ddns enable
- ダイナミックDNSサービス固有の設定を行います。これには、ddns-update-methodコマンドでDDNSアップデートメソッドモードに入り、update-url、host-name、username、password、update-interval、retry-intervalの各コマンドで具体的なパラメーターを設定します。
※クエリーパラメーターの開始を表す「?」をCLIから入力するには、Ctrl/Vキーを入力してから?を入力してください。単に?を入力するとCLIヘルプが表示されてしまうためご注意ください。
ddns-update-method example update-url https://<USERNAME>:<PASSWORD>@members.example.com/update?hostname=<HOST-NAME>&myip=<IPADDRESS> host-name test2.example.com username test password test update-interval 60 retry-interval 1 maximum-retries 5
- WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface eth1 encapsulation ppp 0
- PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。
・ダイナミックDNSクライアント機能によるIPアドレスの登録(ip ddns-update-method)
・IPCPによるDNSサーバーアドレスの取得要求(ppp ipcp dns)
・LCP EchoによるPPP接続状態の確認(keepalive)
・IPCPによるIPアドレスの取得要求(ip address negotiated)
・ユーザー名(ppp username)
・パスワード(ppp password)
・MSS書き換え(ip tcp adjust-mss)
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface ppp0 ip ddns-update-method example ppp ipcp dns request keepalive ip address negotiated ppp username user@ispB ppp password isppasswdB ip tcp adjust-mss pmtu
- LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
interface vlan1 ip address 192.168.20.1/24
- ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。
zone private network lan ip subnet 192.168.20.0/24 network peer ip subnet 192.168.10.0/24 interface tunnel0 network tunnel ip subnet 172.16.0.0/30
- 外部ネットワークを表すゾーン「public」を作成します。
これには、前記コマンドに加え、host、ip addressの各コマンドを使います。
zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host ppp0 ip address dynamic interface ppp0
- ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、sport、dport、icmp-type、icmp-codeの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。
IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
application esp protocol 50
- ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
application isakmp protocol udp sport 500 dport 500
- 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。
・rule 10 - 内部ネットワーク間の通信を許可します
・rule 20 - 内部ネットワークから外部への通信を許可します
・rule 30 - 本製品のWAN側インターフェースから外部へのDNS通信を許可します
・rule 40 - ダイナミックDNSサーバーにアクセスしてIPアドレスを登録するため、本製品のWAN側インターフェースから外部へのHTTPS通信を許可します
・rule 50, 60 - ISAKMPパケットを許可します
・rule 70, 80 - IPsec(ESP)パケットを許可します
ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
firewall rule 10 permit any from private to private rule 20 permit any from private to public rule 30 permit dns from public.wan.ppp0 to public.wan rule 40 permit https from public.wan.ppp0 to public.wan rule 50 permit isakmp from public.wan.ppp0 to public.wan rule 60 permit isakmp from public.wan to public.wan.ppp0 rule 70 permit esp from public.wan.ppp0 to public.wan rule 80 permit esp from public.wan to public.wan.ppp0 protect
- LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
これには、nat、rule、enableの各コマンドを使います。
NATの詳細は「UTM」/「NAT」をご覧ください。
nat rule 10 masq any from private to public enable
- CA証明書とサーバー証明書を準備するため、トラストポイントの設定を行います。
・トラストポイント「vpn_trust」のセットアップ(crypto pki trustpoint)
・サーバー証明書の取得方法(enrollment)
・外部CAが発行するサーバー証明書のサブジェクト名(subject-name)
・外部CAが発行するサーバー証明書のサブジェクト代替名(subject-alt-name)
crypto pki trustpoint vpn_trust enrollment terminal subject-name /CN=test2.example.com subject-alt-name test2.example.com
- ISAKMPの通信方式を規定するISAKMPプロファイルを作成します。
ISAKMPプロファイルの詳細は「VPN」/「IPsec」をご覧ください。
ここでは、crypto isakmp profileコマンドでISAKMPプロファイルを作成し、以下の情報を設定します。
・自装置の認証方式(local authentication)
・対向装置の認証方式(remote authentication)
・証明書認証を行う場合に使用するトラストポイント(pki trustpoint)
・アルゴリズム(transform)
crypto isakmp profile cert_vpn local authentication certificate remote authentication certificate pki trustpoint vpn_trust transform 1 integrity SHA256 encryption AES256 group 14
- 対向ルーターとの間で使用するISAKMPプロファイルを指定します。これにはcrypto isakmp peerコマンドを使います。
crypto isakmp peer hostname test1.example.com profile cert_vpn
- IPsecトンネルインターフェースtunnel0を作成します。
トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。
これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。
ここでは、ダイナミックDNSサービスによって登録されたホスト名(FQDN)で対向装置のアドレスと自装置、対向装置のIDを指定しています。
・トンネルインターフェースのMTU(mtu)
・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source)
・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination)
・トンネルインターフェースにおける自装置ID(ローカルID)(tunnel local name)
・トンネルインターフェースにおける対向装置ID(リモートID)(tunnel remote name)
・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec)
・トンネルインターフェースにおけるリンクステータス決定方式(tunnel oper-status-control)
・トンネリング方式(tunnel mode ipsec)
・トンネルインターフェースのIPアドレス(ip address)
・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss)
interface tunnel0 mtu 1300 tunnel source ppp0 tunnel destination test1.example.com tunnel local name test2.example.com tunnel remote name test1.example.com tunnel protection ipsec tunnel oper-status-control ipsec tunnel mode ipsec ipv4 ip address 172.16.0.2/30 ip tcp adjust-mss 1260
- デフォルト経路(0.0.0.0/0)とルーターAのLAN側(192.168.10.0/24)への経路を設定します。これにはip routeコマンドを使います。
ただし、ルーター間のVPN接続が有効になるまでは、対向側LANへの経路は使用できないように設定します。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
ip route 0.0.0.0/0 ppp0 ip route 192.168.10.0/24 tunnel0 ip route 192.168.10.0/24 Null 254
- 以上で設定は完了です。
end
電子証明書の準備
ISAKMP設定を行う前に、各ルーターのCLI上から、以下の手順にしたがって電子証明書を準備してください。トラストポイントの設定(上記コンフィグ内にも有り)
外部CAのルート証明書、本製品の秘密鍵ペアとサーバー証明書を保存するためのトラストポイント「vpn_trust」を作成します。awplus(config)# crypto pki trustpoint vpn_trust Created trustpoint "vpn_trust". awplus(ca-trustpoint)# enrollment terminal awplus(ca-trustpoint)# subject-name /CN=test1.example.com awplus(ca-trustpoint)# subject-alt-name test1.example.com awplus(ca-trustpoint)# end
外部CAのルート証明書をインポート
トラストポイント「vpn_trust」に外部CAのルート証明書をインポートし、同トラストポイントの使用準備を完了します。外部CAのルート証明書ファイルをテキストエディターで開き、
-----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- の行までをクリップボードにコピーします。crypto pki authenticateコマンドを実行すると次のようなメッセージが表示されるので、コピーしておいたものをペーストし、「Enter」キーを押してください。
awplus# crypto pki authenticate vpn_trust
Paste the certificate PEM file into the terminal.
Type "abort" to cancel.
内容を確認し、「Accept this certificate?」に「y」で答えてください。
awplus# crypto pki authenticate vpn_trust
Paste the certificate PEM file into the terminal.
Type "abort" to cancel.
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
xaPuyjGcQ3kCjW32sO0InQxjLPCp/celKKRZbIwETAor
-----END CERTIFICATE-----
Complete ("END CERTIFICATE" detected).
Subject : /C=JP/O=EXAMPLE/CN=SampleRootCA
Issuer : /C=JP/O=EXAMPLE/CN=SampleRootCA
Valid From : Apr 7 05:32:30 2023 GMT
Valid To : Apr 4 05:32:30 2033 GMT
Fingerprint : D51BB535 8CBCFE2C BDD6E56B 759BB5C9 4CF9DCBF
This is a self-signed CA certificate.
The certificate has been validated successfully.
Accept this certificate? (y/n): y
Successfully authenticated trustpoint "vpn_trust".
サーバー証明書の署名要求(CSR)の生成
外部CA発行の証明書を利用するためのトラストポイント「vpn_trust」において、本製品の公開鍵ペア(秘密鍵と公開鍵)を生成し、サーバー証明書の署名要求(CSR)を生成します。crypto pki enrollコマンドを実行すると次のようにCSRの内容が出力されるので、
-----BEGIN CERTIFICATE REQUEST----- から -----END CERTIFICATE REQUEST----- の行までをクリップボードにコピーしてPC上のファイル(ここでは「example_csr.pem」とします)に保存してください。awplus# crypto pki enroll vpn_trust
Using private key "server-default"...
Cut and paste this request to the certificate authority:
-----------------------------------------------------------------
-----BEGIN CERTIFICATE REQUEST-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
sQCD7gbOkrMSEpDCSdB85P5on2Gs+CwpHsYlhA==
-----END CERTIFICATE REQUEST-----
-----------------------------------------------------------------
サーバー証明書の発行
PC上に保存したCSRファイル(本例ではexample_csr.pem)を外部CAに渡し、サーバー証明書の発行を依頼してください。ここでは、外部CAが発行した本製品のサーバー証明書を example_cert.pem という名前のファイルとして入手したものと仮定します。
サーバー証明書のインポートとトラストポイントへの保存
PEM形式のサーバー証明書を端末画面またはファイルからインポートして、指定したトラストポイントに保存します。本製品のサーバー証明書をテキストエディターで開き、
-----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- の行までをクリップボードにコピーします。crypto pki import pemコマンドを実行すると次のようなメッセージが表示されるので、コピーしておいたものをペーストし、「Enter」キーを押してください。
awplus# crypto pki import vpn_trust pem terminal
Paste the certificate PEM file into the terminal.
Type "abort" to cancel.
内容を確認し、「Accept this certificate?」に「y」で答えてください。
awplus# crypto pki import vpn_trust pem terminal
Paste the certificate PEM file into the terminal.
Type "abort" to cancel.
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
WF/C9/ijoy0UIjDFJms6uBo5gw==
-----END CERTIFICATE-----
Complete ("END CERTIFICATE" detected).
Subject : /O=AlliedWare Plus/CN=test1.example.com
Issuer : /C=JP/O=EXAMPLE/CN=SampleRootCA
Valid From : Apr 19 07:41:24 2023 GMT
Valid To : Apr 18 07:41:24 2024 GMT
Fingerprint : FAB1FC57 6CD0DC6A 7198C3F2 67E37C0F 6FAE8AFB
This is not a valid CA certificate. Attempting to import as a server certificate.
The certificate has been validated successfully.
Accept this certificate? (y/n): y
The certificate was successfully imported.
設定の保存
設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。awplus# copy running-config startup-config
Building configuration...
[OK]
また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]
その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。
ファイアウォールログについて
ファイアウォールのログをとるには、次のコマンド(log(filter))を実行します。awplus(config)# log buffered level informational facility local5
記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。
awplus# show log | include Firewall
ルーターAのコンフィグ
! no spanning-tree rstp enable ! ip domain-lookup ! ddns enable ! ddns-update-method example update-url https://<USERNAME>:<PASSWORD>@members.example.com/update?hostname=<HOST-NAME>&myip=<IPADDRESS> host-name test1.example.com username test password test update-interval 60 retry-interval 1 maximum-retries 5 ! interface eth1 encapsulation ppp 0 ! interface ppp0 ip ddns-update-method example ppp ipcp dns request keepalive ip address negotiated ppp username user@ispA ppp password isppasswdA ip tcp adjust-mss pmtu ! interface vlan1 ip address 192.168.10.1/24 ! zone private network lan ip subnet 192.168.10.0/24 network peer ip subnet 192.168.20.0/24 interface tunnel0 network tunnel ip subnet 172.16.0.0/30 ! zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host ppp0 ip address dynamic interface ppp0 ! application esp protocol 50 ! application isakmp protocol udp sport 500 dport 500 ! firewall rule 10 permit any from private to private rule 20 permit any from private to public rule 30 permit dns from public.wan.ppp0 to public.wan rule 40 permit https from public.wan.ppp0 to public.wan rule 50 permit isakmp from public.wan.ppp0 to public.wan rule 60 permit isakmp from public.wan to public.wan.ppp0 rule 70 permit esp from public.wan.ppp0 to public.wan rule 80 permit esp from public.wan to public.wan.ppp0 protect ! nat rule 10 masq any from private to public enable ! crypto pki trustpoint vpn_trust enrollment terminal subject-name /CN=test1.example.com subject-alt-name test1.example.com ! crypto isakmp profile cert_vpn local authentication certificate remote authentication certificate pki trustpoint vpn_trust transform 1 integrity SHA256 encryption AES256 group 14 ! crypto isakmp peer hostname test2.example.com profile cert_vpn ! interface tunnel0 mtu 1300 tunnel source ppp0 tunnel destination test2.example.com tunnel local name test1.example.com tunnel remote name test2.example.com tunnel protection ipsec tunnel oper-status-control ipsec tunnel mode ipsec ipv4 ip address 172.16.0.1/30 ip tcp adjust-mss 1260 ! ip route 0.0.0.0/0 ppp0 ip route 192.168.20.0/24 tunnel0 ip route 192.168.20.0/24 Null 254 ! end
ルーターBのコンフィグ
! no spanning-tree rstp enable ! ip domain-lookup ! ddns enable ! ddns-update-method example update-url https://<USERNAME>:<PASSWORD>@members.example.com/update?hostname=<HOST-NAME>&myip=<IPADDRESS> host-name test2.example.com username test password test update-interval 60 retry-interval 1 maximum-retries 5 ! interface eth1 encapsulation ppp 0 ! interface ppp0 ip ddns-update-method example ppp ipcp dns request keepalive ip address negotiated ppp username user@ispB ppp password isppasswdB ip tcp adjust-mss pmtu ! interface vlan1 ip address 192.168.20.1/24 ! zone private network lan ip subnet 192.168.20.0/24 network peer ip subnet 192.168.10.0/24 interface tunnel0 network tunnel ip subnet 172.16.0.0/30 ! zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host ppp0 ip address dynamic interface ppp0 ! application esp protocol 50 ! application isakmp protocol udp sport 500 dport 500 ! firewall rule 10 permit any from private to private rule 20 permit any from private to public rule 30 permit dns from public.wan.ppp0 to public.wan rule 40 permit https from public.wan.ppp0 to public.wan rule 50 permit isakmp from public.wan.ppp0 to public.wan rule 60 permit isakmp from public.wan to public.wan.ppp0 rule 70 permit esp from public.wan.ppp0 to public.wan rule 80 permit esp from public.wan to public.wan.ppp0 protect ! nat rule 10 masq any from private to public enable ! crypto pki trustpoint vpn_trust enrollment terminal subject-name /CN=test2.example.com subject-alt-name test2.example.com ! crypto isakmp profile cert_vpn local authentication certificate remote authentication certificate pki trustpoint vpn_trust transform 1 integrity SHA256 encryption AES256 group 14 ! crypto isakmp peer hostname test1.example.com profile cert_vpn ! interface tunnel0 mtu 1300 tunnel source ppp0 tunnel destination test1.example.com tunnel local name test2.example.com tunnel remote name test1.example.com tunnel protection ipsec tunnel oper-status-control ipsec tunnel mode ipsec ipv4 ip address 172.16.0.2/30 ip tcp adjust-mss 1260 ! ip route 0.0.0.0/0 ppp0 ip route 192.168.10.0/24 tunnel0 ip route 192.168.10.0/24 Null 254 ! end