<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR260S V2 設定例集 3.3.3 #14
NAT機器をはさむ2点間IPsec VPN(NAT-Traversal、対向AR550S)
PPPoEでインターネットに接続している拠点とNA(P)T機器を経由したネットワークをNATトラバーサル(NAT-T)機能を利用してIPsecで結ぶVPN構築例です。
NA(P)Tルーター(以下 NATボックス)を経由してインターネットに接続されたルーター(ルーターA:AR260S V2)とインターネットサービスプロバイダー(以下 ISP)から割り当てられた固定IPアドレスで接続されたルーター(ルーターB:AR550S)をIPsec(ESP)トンネルで接続します。
ここでは、次のようなネットワーク構成を例に解説します。
ISPおよびNATボックスの管理者からは、次の情報が提供されているものとします。
表 1
| |
ルーターA |
ルーターB |
| PPPユーザー名 |
− |
user1@example |
| PPPパスワード |
− |
password |
| IPアドレス |
192.168.100.0/24 からDHCPによる動的割り当て |
10.10.10.1/32(固定) |
| DNSサーバー |
接続時に通知される |
接続時に通知される |
ルーターAは以下のように設定するものとします。
表 2
| ルーターA |
| WAN側IPアドレス |
自動取得(取得アドレスは不定) |
| LAN側IPアドレス |
192.168.20.1/24 |
| VPN接続設定 |
| ローカルセキュアグループ |
192.168.20.0/24 |
| リモートセキュアグループ |
192.168.10.0/24 |
| ローカルゲートウェイ |
eth0 |
| リモートゲートウェイ |
10.10.10.1 |
| NATトラバーサル |
有効 |
| キープアライブ |
有効 |
| 種別 |
ハートビート |
| IKE設定 |
| 交換モード |
アグレッシブ |
| 事前共有鍵 |
secret |
| 暗号化認証アルゴリズム |
3DES & SHA1-DH2 |
| ローカルID/リモートID |
vpn/なし |
| IPsec設定 |
| 暗号化認証アルゴリズム |
ESP 3DES HMAC SHA1 |
| PFSグループ |
なし |
本構成における設定のポイントは、次の通りです。
- ルーターAがNATボックスを介してインターネットへ接続しているため、ルーターBからルーターAに接続を開始することはできません。常にルーターAから接続を開始することになります。
- ルーターAのIPアドレスが不定なため、IKEフェーズ1ではアグレッシブモードを使い、ルーターAのIDとしてFQDN(名前)を使用します。
- ルーターAはNATボックスに接続されていて、WAN側の設定はDHCPで通知されます。
- 常にルーターAから通信が開始され、NAT-Traversal機能によりNATセッションが維持されるため、NATボックスに特別な設定をする必要はありません。
Note
- ルーターAのWAN側とLAN側でネットワークアドレスが重複しないように、ご注意ください。
- IPアドレスを自動取得するよう設定したPCを接続し、Webブラウザーを起動します。
Webブラウザーから「http://192.168.1.1/」を開くとユーザー名、パスワードの入力を求められますのでユーザー名「manager」、パスワード「friend」を入力すると、次の画面が表示されます。
- 次に、左側のメニューから[LAN]-[IP]を選択します。
[IPアドレス]を192.168.20.1に変更して[適用]をクリックします。
[適用]を押した後、IPアドレスを再取得するためにPCを再起動します。PCが起動完了したら、再度Webブラウザーを起動して「http://192.168.20.1/」を開きます。
- 左側のメニューから[WAN]-[WAN]を選択します。
[WAN設定]の[接続モード]に DHCPを選択して[適用]をクリックします。
※ その他のパラメーターは、初期状態のままで問題ありません。
- 左側のメニューから[ファイアウォール/NAT]-[アクセス制御]を選択します。
[eth0(WAN)] タブを開き、[アクセスリスト設定]に次の設定を行います。
表 3
| [方向] |
Inbound |
| [動作] |
通過 |
| [優先度] |
1 |
| [送信元]-[タイプ] |
サブネット |
| [ネットワークアドレス] |
192.168.10.0 |
| [サブネットマスク] |
255.255.255.0 |
| [宛先]-[タイプ] |
サブネット |
| [ネットワークアドレス] |
192.168.20.0 |
| [サブネットマスク] |
255.255.255.0 |
| [送信元ポート] |
すべて |
| [宛先ポート] |
すべて |
| [プロトコル] |
すべて |
| [ログ] |
無効 |
入力が完了したら、[追加]をクリックします。
- 左側のメニューから[VPN]-[VPN接続]を選択し、[詳細設定] を選択してから、[VPN接続設定]でそれぞれ以下の内容で入力します。
表 4
| [ポリシー名] |
vpn |
| [DFビット設定] |
コピー |
| [キープアライブ] |
有効 |
| [種別] |
ハートビート |
| [仮想トンネルインターフェース] |
有効 |
| [インターフェース] |
新規作成 |
| [リモートゲートウェイ]-[種類] |
IPアドレス |
| [IPアドレス] |
10.10.10.1 |
| [フェーズ2ID]-[ローカル] |
192.168.20.0/24 |
| [フェーズ2ID]-[リモート] |
192.168.10.0/24 |
| [NATトラバーサル] |
有効 |
次に、[IKE設定]を入力します。
表 5
| [IKE交換モード] |
アグレッシブ |
| [事前共有鍵] |
secret |
| [フェーズ1ローカルID]-[種類] |
FQDN |
| [FQDN] |
vpn |
[IPsec設定]はデフォルト設定のまま、変更する必要はありません。
入力が完了したら、[追加]をクリックします。
- 左のメニューから[ルーティング]を選択し[スタティックルーティング設定]を行います。
まず、以下のように入力しIPsecトンネルインターフェースへのルーティング設定を行います。
表 6
| [宛先ネットワークアドレス] |
192.168.10.0 |
| [宛先サブネットマスク] |
255.255.255.0 |
| [ゲートウェイ]-[インターフェース] |
tunnel0 |
| [優先度] |
1(高、通常設定) |
入力が完了したら、[追加]をクリックします。
次にIPsec SAが未確立時、IPsecパケットが平文のままインターネットに送出されることを回避するため、低い優先度のnull(破棄)ルートの設定を行います。
表 7
| [宛先ネットワークアドレス] |
192.168.10.0 |
| [宛先サブネットマスク] |
255.255.255.0 |
| [ゲートウェイ]-[インターフェース] |
null(破棄) |
| [優先度] |
10(低) |
入力が完了したら、[追加]をクリックします。
画面下部の[ルーティングテーブル]に、同じ宛先ネットワークアドレスへの優先度の異なるスタティックルートが表示されますが、現在有効になっているルーティング情報には[Active]の項に*が表示されます(以下の画面はIPsecトンネルが確立する前の状態です)。
表 8
| [宛先ネットワークアドレス] |
192.168.10.0 |
| [宛先サブネットマスク] |
255.255.255.0 |
| [インターフェース] |
tunnel0 |
| [優先度] |
1(高、通常設定) |
| [宛先ネットワークアドレス] |
192.168.10.0 |
| [宛先サブネットマスク] |
255.255.255.0 |
| [インターフェース] |
null(破棄) |
| [優先度] |
10(低) |
- 画面左上の[設定保存]をクリックします。
設定保存ボタン下の「設定が保存されていません」という表示が消えれば設定完了です。
ルーターAの設定は、以上です。
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「secoff」とします。
add user=secoff pass=secoff priv=securityOfficer ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できず、IPsec通信に支障をきたしますので、ご注意ください。
- WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定が無い場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
create ppp=0 over=eth0-any ↓
- ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
set ppp=0 bap=off username=user1@example password=password ↓
set ppp=0 over=eth0-any lqr=off echo=10 ↓
- IPモジュールを有効にします。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
add ip int=vlan1 ip=192.168.10.1 mask=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにISPから割り当てられたIPアドレスを設定します。
add ip int=ppp0 ip=10.10.10.1 mask=255.255.255.255 ↓
- デフォルトルートを設定します。
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
create firewall policy=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
enable firewall policy=net icmp_f=unre,ping ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
disable firewall policy=net identproxy ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側インターフェース(vlan1)をPRIVATE(内部)に設定します。
add firewall policy=net int=vlan1 type=private ↓
- WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
add firewall policy=net int=ppp0 type=public ↓
- LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
add firewall poli=net nat=enhanced int=vlan1 gblin=ppp0 ↓
- 受信したIKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)がファイアウォールを通過できるように設定します。
- IKEパケットの許可ルールを設定します。
add firewall poli=net ru=1 ac=allo int=ppp0 prot=udp po=500 ip=10.10.10.1 gblip=10.10.10.1 gblp=500 ↓
- NAT-Tパケットの許可ルールを設定します。
add firewall poli=net ru=2 ac=allo int=ppp0 prot=udp po=4500 ip=10.10.10.1 gblip=10.10.10.1 gblp=4500 ↓
- ローカルLANからリモートLANへのパケットにはNATをかけないよう設定します。
add firewall poli=net ru=3 ac=non int=vlan1 prot=ALL ip=192.168.10.1-192.168.10.254 ↓
set firewall poli=net ru=3 rem=192.168.20.1-192.168.20.254 ↓
- 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出した後でこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの宛先IPアドレスが192.168.10.1-192.168.10.254ならば許可する」の意味になります。
add firewall poli=net ru=4 ac=non int=ppp0 prot=ALL ip=192.168.10.1-192.168.10.254 enc=ips ↓
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(VPNクライアントにも同じ値を設定)。
create enco key=1 type=general VALUE="secret" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
- ルーターBからのIKEネゴシエーション要求を受け入れるISAKMPポリシー「ike」を作成します。
このとき、PEERをANYにNAT-Traversalを有効にします。
cre isakmp poli=ike peer=any key=1 mode=aggressive sendn=true encalg=3desouter hash=sha group=2 nattraversal=true ↓
set isakmp poli=ike remoteid="vpn" expirys=3600 ↓
Note
- 3DESではなくDESを使用する場合は、encalg パラメーターの値を des に変更します。
- ハートビートを設定します。
set isakmp poli=ike heartbeat=both ↓
- IPsecSAを生成するための SAスペックとバンドルSAスペックを定義します。
暗号化プロトコルには3DESを指定しています。また、鍵の更新を3600秒ごとに行うようにします。
cre ipsec sas=1 key=isakmp prot=esp enc=3desouter hasha=sha ↓
cre ipsec bundle=1 key=isakmp string=1 expirys=3600 ↓
Note
- 3DESではなくDESを使用する場合は、enc パラメーターの値を des に変更します。
- IKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)を素通しさせるIPsecポリシー「isa」「nat」を作成します。
- IKEパケットの通過ルールを設定します。
create ipsec pol=isa int=ppp0 ac=permit ↓
set ipsec pol=isa lp=500 tra=UDP ↓
- NAT-Tパケットの通過ルールを設定します。
create ipsec pol=nat int=ppp0 ac=permit ↓
set ipsec pol=nat lp=4500 tra=UDP ↓
Note
- NAT-Traversalを使用する場合は、必ずIKEとNAT-Tのパケットが通過できるような設定を行ってください。
Note
- 「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- IPsec通信の範囲を指定するIPsecポリシー「vpn」を作成します。ここで指定した条件に一致するパケットがINTERFACEパラメーターで指定したインターフェースを通過するときに、BUNDLEパラメーターで指定したSAバンドルスペックに基づくIPsec処理(暗号化、復号化、カプセル化)が行われます。また、ISAKMPの認証をパスした相手との通信に限定するために、PEERパラメーターにDYNAMICを指定します。
create ipsec pol=vpn int=ppp0 ac=ipsec key=isakmp bund=1 peer=DYNAMIC ↓
set ipsec pol=vpn lad=192.168.10.0 lma=255.255.255.0 rad=192.168.20.0 rma=255.255.255.0 ↓
- インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
create ipsec pol=inet int=ppp0 ac=permit ↓
Note
- インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。
いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定が無いとVPN以外との通信ができなくなります。
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- Security Officerレベルのユーザーでログインしなおします。loginコマンドを実行するとパスワード入力を求められますので、1で設定したパスワードを入力します。
- 動作モードをセキュリティーモードに切り替えます。
enable system security_mode ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください。
- 設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
create config=router.cfg ↓
set config=router.cfg ↓
ルーターBの設定は以上です。
ルーターB(AR550S)のコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
add user=secoff pass=secoff priv=securityOfficer ↓
create ppp=0 over=eth0-any ↓
set ppp=0 bap=off username=user1@example password=password ↓
set ppp=0 over=eth0-any lqr=off echo=10 ↓
enable ip ↓
add ip int=vlan1 ip=192.168.10.1 mask=255.255.255.0 ↓
add ip int=ppp0 ip=10.10.10.1 mask=255.255.255.255 ↓
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0 ↓
enable firewall ↓
create firewall policy=net ↓
enable firewall policy=net icmp_f=unre,ping ↓
disable firewall policy=net identproxy ↓
add firewall policy=net int=vlan1 type=private ↓
add firewall policy=net int=ppp0 type=public ↓
add firewall poli=net nat=enhanced int=vlan1 gblin=ppp0 ↓
add firewall poli=net ru=1 ac=allo int=ppp0 prot=udp po=500 ip=10.10.10.1 gblip=10.10.10.1 gblp=500 ↓
add firewall poli=net ru=2 ac=allo int=ppp0 prot=udp po=4500 ip=10.10.10.1 gblip=10.10.10.1 gblp=4500 ↓
add firewall poli=net ru=3 ac=non int=vlan1 prot=ALL ip=192.168.10.1-192.168.10.254 ↓
set firewall poli=net ru=3 rem=192.168.20.1-192.168.20.254 ↓
add firewall poli=net ru=4 ac=non int=ppp0 prot=ALL ip=192.168.10.1-192.168.10.254 enc=ips ↓
# create enco key=1 type=general VALUE="secret" ↓
cre isakmp poli=ike peer=any key=1 mode=aggressive sendn=true encalg=3desouter hash=sha group=2 nattraversal=true ↓
set isakmp poli=ike remoteid="vpn" expirys=3600 ↓
set isakmp poli=ike heartbeat=both ↓
cre ipsec sas=1 key=isakmp prot=esp enc=3desouter hasha=sha ↓
cre ipsec bundle=1 key=isakmp string=1 expirys=3600 ↓
create ipsec pol=isa int=ppp0 ac=permit ↓
set ipsec pol=isa lp=500 tra=UDP ↓
create ipsec pol=nat int=ppp0 ac=permit ↓
set ipsec pol=nat lp=4500 tra=UDP ↓
create ipsec pol=vpn int=ppp0 ac=ipsec key=isakmp bund=1 peer=DYNAMIC ↓
set ipsec pol=vpn lad=192.168.10.0 lma=255.255.255.0 rad=192.168.20.0 rma=255.255.255.0 ↓
create ipsec pol=inet int=ppp0 ac=permit ↓
enable ipsec ↓
enable isakmp ↓
# login secoff ↓
# enable system security_mode ↓
|
CentreCOM AR260S V2 設定例集 3.3.3 #14
(C) 2008-2013 アライドテレシスホールディングス株式会社
PN: 613-000902 Rev.H
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))