＜前頁次頁＞＜＜＞＞ ↓ 目次（番号順 (詳細)・回線別 (詳細)・機能別 (詳細)）

CentreCOM AR260S V2 設定例集 3.3.3 #13

ダイナミックDNSを利用した動的IPアドレスを持ったルーター同士のIPsec VPN

PPPoEでインターネットに接続している2つの拠点をIPsec(ESP)トンネル(仮想トンネルインターフェース)で結ぶVPN構築例です。

両方の拠点が動的IPアドレスの割り当てを受けるため、対向機器のIPアドレスはDynDNSのダイナミックDNSサービスを利用して特定します。

Note - ダイナミックDNSサービスに障害が発生した場合、IPsec VPNの確立が行えない場合があります。信頼性が必要とされるネットワークでは、固定IPアドレス契約の利用をご検討ください。

インターネットサービスプロバイダー(ISP)からは、次の情報が提供されているものとします。

表 1

ルーターA ルーターB

ユーザーID（PPPユーザー名） user1@example user2@example

パスワード（PPPパスワード） password password

サービス名指定なし指定なし

グローバルIPアドレス不定（動的取得）不定（動的取得）

DynDNS (http://www.dyndns.com/)には、次の設定が完了しているものとします。

表 2

DynDNSのアカウント

アカウント名 userD

パスワード password

ルーターA ルーターB

Hostname router1.dyndns.org router2.dyndns.org

各ルーターは、以下のように設定するものとします。

表 3

ルーターA ルーターB

LAN側IPアドレス 192.168.10.1/24 192.168.20.1/24

WAN側IPアドレス自動取得(取得アドレスは不定) 自動取得(取得アドレスは不定)

VPN接続設定

キープアライブ有効 (DPD) 有効 (DPD)

仮想トンネルインターフェース有効有効

インターフェース新規作成 (tunnel0) 新規作成 (tunnel0)

フェーズ2ローカルID 192.168.10.0/24 192.168.20.0/24

フェーズ2リモートID 192.168.20.0/24 192.168.10.0/24

リモートゲートウェイ router2.dyndns.org router1.dyndns.org

IKE設定

交換モードアグレッシブアグレッシブ

事前共有鍵 secret secret

暗号化認証アルゴリズム 3DES & SHA1-DH2 3DES & SHA1-DH2

フェーズ1ローカルID/フェーズ1リモートID router1.dyndns.org / router2.dyndns.org router2.dyndns.org / router1.dyndns.org

IPsec設定

暗号化認証アルゴリズム ESP 3DES HMAC SHA1 ESP 3DES HMAC SHA1

PFSグループなしなし

本構成における設定のポイントは、次の通りです。

ルーターA、ルーターBはアドレス不定のため、ISPからIPアドレスが割り振られたら、そのアドレスをダイナミックDNSのサーバーに登録します。
対向となるIPsecルーターのIPアドレスは、ダイナミックDNSに登録したFQDNで設定します。
PPPが切断され、割り当てIPアドレスが変化した場合に備え、DPDによる送達確認を行います。

ルーターA（AR260S V2）の設定

IPアドレスを自動取得するよう設定したPCを接続し、Webブラウザーを起動します。
Webブラウザーから「http://192.168.1.1/」を開くとユーザー名、パスワードの入力を求められますのでユーザー名「manager」、パスワード「friend」を入力すると、次の画面が表示されます。

次に、左側のメニューから[LAN]-[IP]を選択します。
[IPアドレス]を192.168.10.1に変更して[適用]を押します。

[適用]を押した後、IPアドレスを再取得するためにPCを再起動します。PCが起動完了したら、再度Webブラウザーを起動して「http://192.168.10.1/」を開きます。
左側のメニューから[LAN]-[DHCP]を選択します。
[開始IPアドレス]を192.168.10.223から192.168.10.10に変更して[適用]を押します。
左側のメニューから[WAN]-[WAN]を選択します。
[WAN設定]の[接続モード]に PPPoE を選択し、[デフォルトゲートウェイ]を pppoe0 とします。
pppoe0の[ユーザー名][パスワード]に、ISPから提供された内容を入力して[適用]を押します。

その他のパラメーターは、初期状態のままで問題ありません。
左側のメニューから[WAN]-[ダイナミックDNS]を選択します。
[ダイナミックDNS設定]に、次の内容を設定します。

表 4

[登録するインターフェース] pppoe0

[登録するFQDN] router1.dyndns.org

[DynDNSのアカウント名] userD

[DynDNSのパスワード] password

設定が完了したら、[適用]を押します。

左側のメニューから[VPN]-[VPN接続]を選択します。
[VPN接続設定]に、VPNポリシーとして次の内容を設定します。

表 5

[簡易設定]を選択

[ポリシー名] vpn_ab

[キープアライブ] 有効　

[種別] DPD

[仮想トンネルインターフェース] 有効

[インターフェース] 新規作成

[リモートゲートウェイ]-[種類] FQDN

[FQDN] router2.dyndns.org

[フェーズ2ID]-[ローカル] 192.168.10.0/24

[フェーズ2ID]-[リモート] 192.168.20.0/24

次に、[IKE設定]を設定します。

表 6

[IKE交換モード] アグレッシブ

[事前共有鍵] secret

[フェーズ1 ローカル ID]-[種類] FQDN

[FQDN] router1.dyndns.org

[フェーズ1 リモート ID]-[種類] FQDN

[FQDN] router2.dyndns.org

設定が完了したら、[追加]を押します。

画面下部の[サイト間アクセスルール]にて、以下のルールが追加されているかご確認ください。

表 7

[ID] 1

[ポリシー名] vpn_ab

[ピアアドレス] router2.dyndns.org

[トンネルインターフェース] tunnel0

左のメニューから[ルーティング]を選択し[スタティックルーティング設定]を行います。

表 8

[宛先ネットワークアドレス] 192.168.20.0

[宛先サブネットマスク] 255.255.255.0

[ゲートウェイ]-[インターフェース] tunnel0

[優先度] 1(高、通常設定)

設定が完了したら、[追加]を押します。

IPsec SAが未確立時、IPsecパケットが平文のままインターネットに送出されることを回避するため、低い優先度のnull（破棄）ルートの設定を行います。

表 9

[宛先ネットワークアドレス] 192.168.20.0

[宛先サブネットマスク] 255.255.255.0

[ゲートウェイ]-[インターフェース] null（破棄）

[優先度] 10（低）

設定が完了したら、[追加]を押します。

画面下部の[ルーティングテーブル]にて、以下のスタティックルートが追加されているかご確認ください。

表 10

[宛先ネットワークアドレス] 192.168.20.0

[宛先サブネットマスク] 255.255.255.0

[インターフェース] tunnel0

[優先度] 1（高、通常設定）

[宛先ネットワークアドレス] 192.168.20.0

[宛先サブネットマスク] 255.255.255.0

[インターフェース] null（破棄）

[優先度] 10（低）

画面左上の[設定保存]を押します。
設定保存ボタン下の「設定が保存されていません」という表示が消えれば設定完了です。

設定は以上です。

Note - 本設定例では以下のIKEとIPsec設定を設定します。暗号化方式などを変更する必要がある場合は、＜手順5＞の[VPN接続設定]で[詳細設定]を選択してください。

表 11

IKE設定

暗号化認証アルゴリズム 3DES & SHA1-DH2

IPsec設定

暗号化認証アルゴリズム ESP 3DES HMAC SHA1

PFSグループなし

ルーターB（AR260S V2）の設定

IPアドレスを自動取得するよう設定したPCを接続し、Webブラウザーを起動します。
Webブラウザーから「http://192.168.1.1/」を開くとユーザー名、パスワードの入力を求められますのでユーザー名「manager」、パスワード「friend」を入力すると、次の画面が表示されます。

次に、左側のメニューから[LAN]-[IP]を選択します。
[IPアドレス]を192.168.20.1に変更して[適用]を押します。

[適用]を押した後、IPアドレスを再取得するためにPCを再起動します。PCが起動完了したら、再度Webブラウザーを起動して「http://192.168.20.1/」を開きます。
左側のメニューから[LAN]-[DHCP]を選択します。
[開始IPアドレス]を192.168.20.223から192.168.20.10に変更して
[適用]を押します。
左側のメニューから[WAN]-[WAN]を選択します。
[WAN設定]の[接続モード]に PPPoE を選択し、[デフォルトゲートウェイ]を pppoe0 とします。
pppoe0の[ユーザー名][パスワード]に、ISPから提供された内容を入力して[適用]を押します。

その他のパラメーターは、初期状態のままで問題ありません。
左側のメニューから[WAN]-[ダイナミックDNS]を選択します。
[ダイナミックDNS設定]に、次の内容を設定します。

表 12

[登録するインターフェース] pppoe0

[登録するFQDN] router2.dyndns.org

[DynDNSのアカウント名] userD

[DynDNSのパスワード] password

設定が完了したら、[適用]を押します。

左側のメニューから[VPN]-[VPN接続]を選択します。
[VPN接続設定]に、VPNポリシーとして次の内容を設定します。

表 13

[簡易設定]を選択

[ポリシー名] vpn_ab

[キープアライブ] 有効　

[種別] DPD

[仮想トンネルインターフェース] 有効

[インターフェース] 新規作成

[リモートゲートウェイ]-[種類] FQDN

[FQDN] router1.dyndns.org

[フェーズ2ID]-[ローカル] 192.168.20.0/24

[フェーズ2ID]-[リモート] 192.168.10.0/24

次に、[IKE設定]を設定します。

表 14

[IKE交換モード] アグレッシブ

[事前共有鍵] secret

[フェーズ1 ローカルID]-[種類] FQDN

[FQDN] router2.dyndns.org

[フェーズ1 リモートID]-[種類] FQDN

[FQDN] router1.dyndns.org

設定が完了したら、[追加]を押します。

画面下部の[サイト間アクセスルール]にて、以下のルールが追加されているかご確認ください。

表 15

[ID] 1

[ポリシー名] vpn_ab

[ピアアドレス] router1.dyndns.org

[トンネルインターフェース] tunnel0

左のメニューから[ルーティング]を選択し[スタティックルーティング設定]を行います。

表 16

[宛先ネットワークアドレス] 192.168.10.0

[宛先サブネットマスク] 255.255.255.0

[ゲートウェイ]-[インターフェース] tunnel0

[優先度] 1(高、通常設定)

設定が完了したら、[追加]を押します。

IPsec SAが未確立時、IPsecパケットが平文のままインターネットに送出されることを回避するため、低い優先度のnull（破棄）ルートの設定を行います。

表 17

[宛先ネットワークアドレス] 192.168.10.0

[宛先サブネットマスク] 255.255.255.0

[ゲートウェイ]-[インターフェース] null（破棄）

[優先度] 10（低）

設定が完了したら、[追加]を押します。

画面下部の[ルーティングテーブル]にて、以下のスタティックルートが追加されているかご確認ください。

表 18

[宛先ネットワークアドレス] 192.168.10.0

[宛先サブネットマスク] 255.255.255.0

[インターフェース] tunnel0

[優先度] 1（高、通常設定）

[宛先ネットワークアドレス] 192.168.10.0

[宛先サブネットマスク] 255.255.255.0

[インターフェース] null（破棄）

[優先度] 10（低）

画面左上の[設定保存]を押します。
設定保存ボタン下の「設定が保存されていません」という表示が消えれば設定完了です。
設定は以上です。

Note - 本設定例では以下のIKEとIPsec設定を設定します。暗号化方式などを変更する必要がある場合は、＜手順5＞の[VPN接続設定]で[詳細設定]を選択してください。

表 19

IKE設定

暗号化認証アルゴリズム 3DES & SHA1-DH2

IPsec設定

暗号化認証アルゴリズム ESP 3DES HMAC SHA1

PFSグループなし

CentreCOM AR260S V2 設定例集 3.3.3 #13

PN: 613-000902 Rev.G

＜前頁次頁＞＜＜＞＞ ↑ 目次（番号順 (詳細)・回線別 (詳細)・機能別 (詳細)）

	ルーターA	ルーターB
ユーザーID（PPPユーザー名）	user1@example	user2@example
パスワード（PPPパスワード）	password	password
サービス名	指定なし	指定なし
グローバルIPアドレス	不定（動的取得）	不定（動的取得）

	DynDNSのアカウント
アカウント名	userD
パスワード	password
	ルーターA	ルーターB
Hostname	router1.dyndns.org	router2.dyndns.org

	ルーターA	ルーターB
LAN側IPアドレス	192.168.10.1/24	192.168.20.1/24
WAN側IPアドレス	自動取得(取得アドレスは不定)	自動取得(取得アドレスは不定)
VPN接続設定
キープアライブ	有効 (DPD)	有効 (DPD)
仮想トンネルインターフェース	有効	有効
インターフェース	新規作成 (tunnel0)	新規作成 (tunnel0)
フェーズ2ローカルID	192.168.10.0/24	192.168.20.0/24
フェーズ2リモートID	192.168.20.0/24	192.168.10.0/24
リモートゲートウェイ	router2.dyndns.org	router1.dyndns.org
IKE設定
交換モード	アグレッシブ	アグレッシブ
事前共有鍵	secret	secret
暗号化認証アルゴリズム	3DES & SHA1-DH2	3DES & SHA1-DH2
フェーズ1ローカルID/フェーズ1リモートID	router1.dyndns.org / router2.dyndns.org	router2.dyndns.org / router1.dyndns.org
IPsec設定
暗号化認証アルゴリズム	ESP 3DES HMAC SHA1	ESP 3DES HMAC SHA1
PFSグループ	なし	なし

[登録するインターフェース]	pppoe0
[登録するFQDN]	router1.dyndns.org
[DynDNSのアカウント名]	userD
[DynDNSのパスワード]	password

	[簡易設定]を選択
[ポリシー名]	vpn_ab
[キープアライブ]	有効
[種別]	DPD
[仮想トンネルインターフェース]	有効
[インターフェース]	新規作成
[リモートゲートウェイ]-[種類]	FQDN
[FQDN]	router2.dyndns.org
[フェーズ2ID]-[ローカル]	192.168.10.0/24
[フェーズ2ID]-[リモート]	192.168.20.0/24

[IKE交換モード]	アグレッシブ
[事前共有鍵]	secret
[フェーズ1 ローカル ID]-[種類]	FQDN
[FQDN]	router1.dyndns.org
[フェーズ1 リモート ID]-[種類]	FQDN
[FQDN]	router2.dyndns.org

[ID]	1
[ポリシー名]	vpn_ab
[ピアアドレス]	router2.dyndns.org
[トンネルインターフェース]	tunnel0

[宛先ネットワークアドレス]	192.168.20.0
[宛先サブネットマスク]	255.255.255.0
[ゲートウェイ]-[インターフェース]	tunnel0
[優先度]	1(高、通常設定)

[宛先ネットワークアドレス]	192.168.10.0
[宛先サブネットマスク]	255.255.255.0
[ゲートウェイ]-[インターフェース]	tunnel0
[優先度]	1(高、通常設定)