設定例集#133: NIFCLOUDとのL2VPN接続（L2TPv3 / IPsec方式）

接続方式「L2TPv3 / IPsec」によるNIFCLOUDとのVPN接続例です。
本例では本製品のLAN側サブネットとNIFCLOUDの仮想サブネットをL2VPN（ブリッジ）接続して1つのサブネットとして扱います。
本製品のLAN側からインターネットへの通信も可能です。

構成

ISPから提供された情報
ISP接続用ユーザー名	user@ispA
ISP接続用パスワード	isppasswdA
PPPoEサービス名	指定なし
WAN側IPアドレス	172.16.0.1/32
ブリッジの設定
ブリッジ	メンバー
br1	vlan1 tunnel0
ルーターの基本設定
WAN側物理インターフェース	eth1
WAN側（ppp0）IPアドレス	172.16.0.1/32
LAN側（br1）IPアドレス	192.168.1.1/24
VPN接続設定
拠点間VPNゲートウェイ（NIFCLOUD）	172.17.0.1（実際のIPアドレス確認方法）
L2TPv3自装置ID	1
L2TPv3対向装置ID	2
L2TPv3ポート	1702
IKEフェーズ1（ISAKMP）設定
IKEバージョン	IKEv2
アルゴリズム	AES128 / SHA1 / Group2
SA有効期間	8時間
IKEフェーズ2（IPsec）設定
アルゴリズム	AES128 / SHA1
SA有効期間	1時間

[事前共有鍵]

ルーター・拠点間VPNゲートウェイ（NIFCLOUD）間: secret

設定開始前に

自動設定の確認と削除

本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態（スタートアップコンフィグなしで起動した状態）から入力することを前提としています。

そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。

ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。

これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。

ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。

自動設定が行われる条件などの詳細については、AMF応用編のAMFネットワーク未検出時の拡張動作をご参照ください。

システム時刻の設定

ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。
ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。

手動で設定する方法 - 「運用・管理」/「システム」
NTPで自動設定する方法 - 「運用・管理」/「NTP」

ルーターの設定

LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
```
no spanning-tree rstp enable
```
WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface eth1
 encapsulation ppp 0
```
PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

・LCP EchoによるPPP接続状態の確認（keepalive）
・ユーザー名（ppp username）
・パスワード（ppp password）
・IPアドレスの固定設定（ip address）
・MSS書き換え（ip tcp adjust-mss）

PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface ppp0
 keepalive
 ppp username user@ispA
 ppp password isppasswdA
 ip address 172.16.0.1/32
 ip tcp adjust-mss 1414
```
ソフトウェアブリッジ「1」を作成します。これには、bridgeコマンドを使います。
ブリッジングの詳細は「ブリッジング」/「一般設定」をご覧ください。
```
bridge 1
```
LAN側インターフェースvlan1をソフトウェアブリッジ「1」のブリッジポートとして追加します。これにはbridge-groupコマンドを使います。
```
interface vlan1
 bridge-group 1
```
ブリッジインターフェースbr1にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
```
interface br1
 ip address 192.168.1.1/24
```
対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
```
crypto isakmp key secret address 172.17.0.1
```
IPsecの通信方式を規定するIPsecプロファイルを作成します。
IPsecプロファイルの詳細は「VPN」/「IPsec」をご覧ください。

ここでは、crypto ipsec profileコマンドでIPsecプロファイルを作成し、以下の情報を設定します。

・SA有効期間（lifetime）
・アルゴリズム（transform）
```
crypto ipsec profile nifcloud-ipsec
 lifetime seconds 3600
 transform 1 protocol esp integrity SHA1 encryption AES128
```
ISAKMPの通信方式を規定するISAKMPプロファイルを作成します。
ISAKMPプロファイルの詳細は「VPN」/「IPsec」をご覧ください。

ここでは、crypto isakmp profileコマンドでISAKMPプロファイルを作成し、以下の情報を設定します。

・IKEバージョン（version）
・SA有効期間（lifetime）
・DPDキープアライブパケット送信間隔（dpd-interval）
・DPDタイムアウト（dpd-timeout）
・アルゴリズム（transform）
```
crypto isakmp profile nifcloud-isakmp
 version 2
 lifetime 28800
 dpd-interval 15
 dpd-timeout 90
 transform 1 integrity SHA1 encryption AES128 group 2
```
対向ルーターとの間で使用するISAKMPプロファイルを指定します。これにはcrypto isakmp peerコマンドを使います。
```
crypto isakmp peer address 172.17.0.1 profile nifcloud-isakmp
```
NIFCLOUD側の設定にあわせるため、L2TPv3で使用するUDPポートを初期値の1701から1702に変更します。これには、l2tp unmanaged portコマンドを使います。
```
l2tp unmanaged port 1702
```
L2TPv3 over IPsecトンネルインターフェースtunnel0を作成し、ソフトウェアブリッジ「1」に所属させます。
これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

・ソフトウェアブリッジへの割り当て（bridge-group）
・トンネルインターフェースのMTU（mtu）
・トンネルインターフェースから送信するデリバリーパケットの始点（自装置）アドレス（tunnel source）
・トンネルインターフェースから送信するデリバリーパケットの終点（対向装置）アドレス（tunnel destination）
・トンネルインターフェースのL2TPv3 自装置ID（tunnel local id）
・トンネルインターフェースのL2TPv3 対向装置ID（tunnel remote id）
・トンネルインターフェースに対するIPsec保護の適用とIPsecプロファイルの指定（tunnel protection ipsec）
・トンネリング方式（tunnel mode l2tp v3）

トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、L2TPv3の詳細は「VPN」/「L2TPv3」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。
```
interface tunnel0
 bridge-group 1
 mtu 1500
 tunnel source ppp0
 tunnel destination 172.17.0.1
 tunnel local id 1
 tunnel remote id 2
 tunnel protection ipsec profile nifcloud-ipsec
 tunnel mode l2tp v3
```
ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。
```
zone private
 network lan
  ip subnet 192.168.1.0/24
```
外部ネットワークを表すゾーン「public」を作成します。
前記コマンドに加え、ここではhost、ip addressの各コマンドも使います。
```
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 172.16.0.1
```
ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、sport、dportの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
```
application esp
 protocol 50
```
ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
```
application isakmp
 protocol udp
 sport 500
 dport 500
```
UDPポート1702番を使うL2TPv3パケットを表すカスタムアプリケーション「l2tpv3」を定義します。
```
application l2tpv3
 protocol udp
 dport 1702
```
NAT-Traversalパケットを表すカスタムアプリケーション「nat-t」を定義します。
```
application nat-t
 protocol udp
 dport 4500
```
外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。

・rule 10 - 本製品のWAN側インターフェースから外部への通信を許可します
・rule 20 - ISAKMPパケットを許可します
・rule 30 - IPsec（ESP）パケットを許可します
・rule 40 - NAT-Traversalパケットを許可します
・rule 50 - L2TPv3パケットを許可します
・rule 60 - 内部から内部への通信を許可します
・rule 70 - 内部から外部への通信を許可します

ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
```
firewall
 rule 10 permit any from public.wan.ppp0 to public.wan
 rule 20 permit isakmp from public.wan to public.wan.ppp0
 rule 30 permit esp from public.wan to public.wan.ppp0
 rule 40 permit nat-t from public.wan to public.wan.ppp0
 rule 50 permit l2tpv3 from public.wan to public.wan.ppp0
 rule 60 permit any from private to private
 rule 70 permit any from private to public
 protect
```
LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
これには、nat、rule、enableの各コマンドを使います。
NATの詳細は「UTM」/「NAT」をご覧ください。
```
nat
 rule 10 masq any from private to public
 enable
```
デフォルト経路（0.0.0.0/0）を設定します。これにはip routeコマンドを使います。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
```
ip route 0.0.0.0/0 ppp0
```
以上で設定は完了です。
```
end
```

設定の保存

設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。

awplus# copy running-config startup-config
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。

awplus# write memory
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

ファイアウォールのログをとるには、次のコマンド（log(filter)）を実行します。

awplus(config)# log buffered level informational facility local5

記録されたログを見るには、次のコマンド（show log）を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。

awplus# show log | include Firewall

NIFCLOUDの設定

NIFCLOUDのコントロールパネルにログインします。
画面左上の「v」メニューから「ネットワーク」をクリックしてネットワーク図を開きます。
適切なリージョンとゾーンを選択します。
NIFCLOUD側の仮想サブネット（プライベートLAN）を作成します。
「ネットワーク上での操作」ドロップダウンから「プライベートLAN作成」を選択します。
下記のとおり各項目を選択・入力します。
- プライベートLAN名：Private（一例）
- ゾーン：適切なものを選択
- CIDR：192.168.1.0/24（NIFCLOUD仮想サブネット。L2VPN接続する本製品のLAN側サブネットと共通）
- 料金プラン：適切なものを選択
入力後、右下の「確認へ」をクリックして確認画面へ移り、内容に問題がなければ「作成する」をクリックします。
NIFCLOUD側の拠点間VPNゲートウェイ（拠点間VPNGW）を作成します。
画面左の「ネットワーク」をクリックしてネットワーク図を開き、「ネットワーク上での操作」ドロップダウンから「拠点間VPNGW作成」を選択します。
下記のとおり各項目を選択・入力します。
- 拠点間VPNGW名：VPNgw（一例）
- ゾーン：適切なものを選択
- タイプ：適切なものを選択
- 料金プラン：適切なものを選択
入力後、右下の「ネットワーク設定へ」をクリックします。
下記のとおり各項目を選択・入力します。
- 対向機器側ネットワーク
  - ネットワーク名：共通グローバル
- 内部ネットワーク
  - ネットワーク名：Private (192.168.1.0/24) （さきほど作成したもの）
  - IPアドレス：192.168.1.254（拠点間VPNGWのプライベートLAN側IPアドレス）
入力後、右下の「ファイアウォール設定へ」をクリックします。
今回はファイアウォールの設定を行わないので、そのまま「確認へ」をクリックし、表示された内容に問題がなければ「作成する」をクリックします。
NIFCLOUDから見た対向ルーター（カスタマーゲートウェイ）、すなわち本製品の情報を指定します。
画面左の「カスタマーGW」をクリックし、「カスタマーゲートウェイ作成」をクリックします。
下記のとおり各項目を選択・入力します。
- カスタマーゲートウェイ名：AR（一例）
- 対向機器IPアドレス：172.16.0.1（本製品のWAN側IPアドレス）
- 接続方式：L2TPv3 / IPsec
入力後、右下の「作成する」をクリックします。
NIFCLOUD側の拠点間VPNゲートウェイから本製品（カスタマーゲートウェイ）に対するVPN接続設定を行います。
画面左の「ネットワーク」をクリックしてネットワーク図を開き、作成した「拠点間VPNGW」をクリックし、VPNの基本情報を開きます。
「拠点間VPNGWの操作」ドロップダウンから「VPNコネクション作成」を選択します。
下記のとおり各項目を選択・入力します。
- カスタマーゲートウェイ：AR（さきほど作成したもの）
- 接続方式：L2TPv3 / IPsec
- IKEバージョン：IKEv2
- 暗号化アルゴリズム：AES128
- 認証アルゴリズム：SHA1
- 事前共有鍵：secret
- IKE lifetime：28800（デフォルト）
- ESP lifetime：3600（デフォルト）
- DH Group：デフォルト
入力後、右下の「トンネル設定へ」をクリックします。
下記のとおり各項目を選択・入力します。
- トンネルタイプ：L2TPv3
- トンネルモード：Unmanaged
- カプセル化方式：UDP
- トンネルID
  - 拠点間VPNGW：2
  - 対向機器：1
- セッションID
  - 拠点間VPNGW：2
  - 対向機器：1
- ポート
  - 拠点間VPNGW：1702
  - 対向機器：1702
入力後、右下の「確認へ」をクリックします。
内容に問題がなければ「作成する」をクリックします。
画面左の「ネットワーク」をクリックしてネットワーク図を開き、作成した「拠点間VPNGW」をクリックしてVPNの基本情報を開きます。
さらに「ネットワーク」タブをクリックし、ネットワーク情報を開きます。
ネットワーク名「共通グローバル」の「IPアドレス」がNIFCLOUD側にある拠点間VPNゲートウェイ（拠点間VPNGW）のパブリックIPアドレスです。
このアドレスは本製品側のVPN設定時に対向ルーターのアドレスとして使用するため、メモしておいてください。

ルーターのコンフィグ

!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
!
interface ppp0
 keepalive
 ppp username user@ispA
 ppp password isppasswdA
 ip address 172.16.0.1/32
 ip tcp adjust-mss 1414
!
bridge 1
!
interface vlan1
 bridge-group 1
!
interface br1
 ip address 192.168.1.1/24
!
crypto isakmp key secret address 172.17.0.1
!
crypto ipsec profile nifcloud-ipsec
 lifetime seconds 3600
 transform 1 protocol esp integrity SHA1 encryption AES128
!
crypto isakmp profile nifcloud-isakmp
 version 2
 lifetime 28800
 dpd-interval 15
 dpd-timeout 90
 transform 1 integrity SHA1 encryption AES128 group 2
!
crypto isakmp peer address 172.17.0.1 profile nifcloud-isakmp
!
l2tp unmanaged port 1702
!
interface tunnel0
 bridge-group 1
 mtu 1500
 tunnel source ppp0
 tunnel destination 172.17.0.1
 tunnel local id 1
 tunnel remote id 2
 tunnel protection ipsec profile nifcloud-ipsec
 tunnel mode l2tp v3
!
zone private
 network lan
  ip subnet 192.168.1.0/24
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 172.16.0.1
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 sport 500
 dport 500
!
application l2tpv3
 protocol udp
 dport 1702
!
application nat-t
 protocol udp
 dport 4500
!
firewall
 rule 10 permit any from public.wan.ppp0 to public.wan
 rule 20 permit isakmp from public.wan to public.wan.ppp0
 rule 30 permit esp from public.wan to public.wan.ppp0
 rule 40 permit nat-t from public.wan to public.wan.ppp0
 rule 50 permit l2tpv3 from public.wan to public.wan.ppp0
 rule 60 permit any from private to private
 rule 70 permit any from private to public
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
ip route 0.0.0.0/0 ppp0
!
end