＜前頁 次頁＞ ＜＜ ＞＞ ↓ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）

PPPoE接続環境における2点間IPsec VPN（片側アドレス不定、SSG550対向）

PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー(以下 ISP)から動的にIPアドレスが割り当てられるルーター（ルーターA：AR260S V2）と固定IPアドレスが割り当てられているルーター（ルーターB：SSG550）をIPsec（ESP）トンネルで接続します。

表 1

	ルーターA	ルーターB
PPPユーザー名	user2@example	user1@example
PPPパスワード	password	password
IPアドレス	不定	10.10.10.1/32（固定）
DNSサーバー	接続時に通知される	接続時に通知される

表 2

	ルーターA	ルーターB
WAN側IPアドレス	自動取得(取得アドレスは不定)	10.10.10.1/32
LAN側IPアドレス	192.168.20.1/24	192.168.10.1/24
VPN接続設定
ローカルセキュアグループ	192.168.20.0/24	192.168.10.0/24
リモートセキュアグループ	192.168.10.0/24	192.168.20.0/24
ローカルゲートウェイ	pppoe0	ethernet0/2(pppoe)
リモートゲートウェイ	10.10.10.1	ANY
キープアライブ	有効
種別	DPD
DPDリトライ	3
DPD タイムアウト	30
IKE設定
交換モード	アグレッシブ
事前共有鍵	secret
暗号化認証アルゴリズム	3DES & SHA1-DH2
ローカルID/リモートID	vpn/なし	なし/vpn
有効期限	1時間（デフォルト）	1時間
IPsec設定
暗号化認証アルゴリズム	ESP 3DES HMAC SHA1
PFSグループ	なし

• ルーターAのアドレスが不定のため、ルーターBからルーターAに接続することはできません。常にルーターAから接続を開始することになります。
  
• ルーターAのアドレスが不定なため、IKEフェーズ1ではアグレッシブモードを使い、ルーターAのローカルIDとして文字列（名前）を使用します。
  
• LAN側の端末からのインターネットへのアクセスは、ルーターA／BともにVPNを介さずに直接ルーティングします。
  
• ルーターBでは、PPPoE回線に以下の設定を行います。
  
  • 自動再接続、リトライ10秒
    

Note - ルーターB（SSG550）の設定では、ファームウェアバージョン6.1.0r3.0での設定方法を示します。バージョンの違いによって設定画面が異なる場合があります。

ルーターA（AR260S V2）の設定

1. IPアドレスを自動取得するよう設定したPCを接続し、Webブラウザーを起動します。
   Webブラウザーから「http://192.168.1.1/」を開くとユーザー名、パスワードを求められますので、ユーザー名「manager」、パスワード「friend」を入力すると、次の画面が表示されます。
   
   

   

   
   次に、左側のメニューから[LAN]-[IP]を選択します。
   [IPアドレス]を192.168.20.1に変更して[適用]を押します。
   
   

   

   
   [適用]を押した後、IPアドレスを再取得するためにPCを再起動します。PCが起動完了したら、再度Webブラウザーを起動して「http://192.168.20.1/」を開きます。
   
   
2. 左側のメニューから[LAN]-[DHCP]を選択します。
   [開始IPアドレス]を192.168.20.223から192.168.20.10に変更して[適用]を押します。
   
   

   

   
   
3. 左側のメニューから[WAN]-[WAN]を選択します。
   [WAN設定]の[接続モード]に PPPoE を選択し、[デフォルトゲートウェイ]を pppoe0 とします。
   
   pppoe0の[ユーザー名][パスワード]に、ISPから提供された内容を入力して[適用]を押します。
   
   

   

   
   
4. 左側のメニューから[VPN]-[VPN接続]を選択します。
   [VPN接続設定]に、1つ目のVPNポリシーとして次の内容を設定します。
   
   

   表 3
   

   [詳細設定]を選択
   [ポリシー名]	vpn
   [キープアライブ]	有効
   [種別]	DPD
   [仮想トンネルインターフェース]	有効
   [インターフェース]	新規作成
   [リモートゲートウェイ]-[種類]	IPアドレス
   [IPアドレス]	10.10.10.1
   [フェーズ2ID]-[ローカル]	192.168.20.0/24
   [フェーズ2ID]-[リモート]	192.168.10.0/24

   
   
   

   

   
   引き続き、[IKE設定]を設定します。[IPsec設定] の設定内容に変更の必要はありません。
   
   

   表 4
   

   [IKE交換モード]	アグレッシブ
   [事前共有鍵]	secret
   [フェーズ1 ローカル ID]-[種類]	FQDN
   [FQDN]	vpn

   
   

   

   
   入力が完了したら[追加]を押します。
   画面下部の[サイト間アクセスルール]にて、以下のルールが追加されているかご確認ください。
   
   

   表 5
   

   [ID]	1
   [ポリシー名]	vpn
   [ピアアドレス]	10.10.10.1
   [トンネルインターフェース]	tunnel0

   
   

   

   
   
5. 左のメニューから[ルーティング]を選択し[スタティックルーティング設定]を行います。
   
   まず、以下のように入力しIPsecトンネルインターフェースへのルーティング設定を行います。
   
   

   表 6
   

   [宛先ネットワークアドレス]	192.168.10.0
   [宛先サブネットマスク]	255.255.255.0
   [ゲートウェイ]-[インターフェース]	tunnel0
   [優先度]	1(高、通常設定)

   
   
   

   

   
   入力が完了したら、[追加]を押します。
   
   次にIPsec SAが未確立時、IPsecパケットが平文のままインターネットに送出されることを回避するため、低い優先度のnull（破棄）ルートの設定を行います。
   
   

   表 7
   

   [宛先ネットワークアドレス]	192.168.10.0
   [宛先サブネットマスク]	255.255.255.0
   [ゲートウェイ]-[インターフェース]	null（破棄）
   [優先度]	10（低）

   
   

   

   
   入力が完了したら、[追加]を押します。
   
   画面下部の[ルーティングテーブル]に、同じ宛先ネットワークアドレスへの優先度の異なるスタティックルートが表示されますが、現在有効になっているルーティング情報には[Active]の項に＊が表示されます。（以下の画面はIPsecトンネルが確立する前の状態です。）
   
   

   表 8
   

   [宛先ネットワークアドレス]	192.168.10.0
   [宛先サブネットマスク]	255.255.255.0
   [インターフェース]	tunnel0
   [優先度]	1（高、通常設定）
   [宛先ネットワークアドレス]	192.168.10.0
   [宛先サブネットマスク]	255.255.255.0
   [インターフェース]	null（破棄）
   [優先度]	10（低）

   
   
   

   

   
   
6. 画面左上の[設定保存]を押します。
   設定保存ボタン下の「設定が保存されていません」という表示が消えれば設定完了です。
   
   ルーターAの設定は、以上です。
   

ルーターB（SSG550）の設定

1. あらかじめ「192.168.1.0/24」のサブネット内のIPアドレスを設定したPCを接続して「http://192.168.1.1」をWebブラウザーで開くと、[Rapid Deployment Wizard]メニュー画面が表示されます。
   この設定例ではWizardを使用しませんので、[No, skip the Wizard and go straight to the WebUI management session instead.]を選択して[Next >>]を押します。
   
   
2. LOGIN画面が表示されます。ユーザー名とパスワード を入力して[Login]を押します。
   初期状態でのユーザー名／パスワードは「netscreen/netscreen」です。
   
   
3. Main画面が表示されます。
   
   
4. まず、LAN インターフェースの設定を行います。
   画面左のメニューから[Network]-[Interfaces]を選択して、以下のインターフェースリスト画面が表示されたら、[ethernet0/0]の[Edit]を押します。
   
   

   

   
   
5. インターフェース設定画面が表示されます。
   以下のようにLAN側インターフェースの設定を変更したら、[OK]を押します。
   
   

   表 9
   

   [IP Address/Netmask]	192.168.10.1/24
   [Manage IP]	初期設定を削除し、空欄に変更

   
   

   

   
   

   Note - OKを押すと機器のIPアドレスが変更されるため、設定画面は更新されません。

   
   
6. PCのIPアドレス設定を「192.168.10.0/24」内のIPアドレスに変更した後、「http://192.168.10.1」をWebブラウザーで開き、再度Main画面を表示させます。
   
   

   Note - ルーターBのDHCPサーバー機能は無効になっていますので、PCの設定をそれぞれ変更してください。

   
   
7. 次に、WAN インターフェースの設定を行います。
   画面左のメニューから[Network]-[Interfaces]を選択し、以下のインターフェースリスト画面が表示されたら、[ethernet0/2]の[Edit]を押します。
   
   

   

   
   
8. インターフェース編集画面が表示されます。
   以下のようにWAN側インターフェースの設定を変更したら、[OK]を押します。
   
   

   表 10
   

   [IP Address/Netmask]	10.10.10.1/32
   [Manageable]	無効
   [Manage IP]	初期設定を削除し、空欄に変更

   
   

   

   
   
9. 画面左のメニューから[Network]-[PPP]-[PPPoE Profile]を選択し、以下のPPPoE リストが表示されたら画面右上の[New]を押します。
   
   

   

   
   
10. PPPoE Profile編集画面が表示されます。
    以下のようにPPPoEの設定を変更したら、[OK]を押します。
    
    

    表 11
    

    [PPPoE Instance]	ISP-B (任意の名前)
    [Bound to Interface]	ethernet0/2
    [Username]	user1@example
    [Password]	password
    [Auto-Connect]を選択
    [Auto-Connect右の入力ボックス]	10
    [Static IP]	有効
    [Automatic Update of DHCP Servers' DNS Parameters]	無効
    [PPP lcp Echo Retries]	5
    [PPP lcp Echo Timeout]	30

    
    
    

    

    
    
11. 次に、IPsecで使用するトンネルインターフェース用のゾーンを作成します。
    画面左のメニューから[Network]-[Zones]を選択して、以下のゾーンリスト画面が表示されたら画面右上の[New]を押します。
    
    

    

    
    
12. ゾーン設定編集画面が表示されます。
    以下のようにゾーンの設定を変更したら、[OK]を押します。
    
    

    表 12
    

    [Zone Name]	VPN-ZONE
    [Zone Type]	Layer 3

    
    
    

    

    
    
    
13. 次に、IPsecで使用するトンネルインターフェースを作成します。
    画面左のメニューから[Network]-[Interfaces]を選択して、以下のインターフェースリスト画面が表示されたら、画面右上のリストから[Tunnel IF]を選択して[New]を押します。
    
    

    Note - 以下の画面はethernet0/2のPPPoEがリンクアップした状態です。

    
    
    

    

    
    
14. インターフェース設定画面が表示されます。
    以下のようにトンネルインターフェースの設定を変更したら、[OK]を押します。
    
    

    表 13
    

    [Zone(VR)]	VPN-ZONE(trust-vr)
    [Unnumbered] を選択
    [Interface]	ethernet0/2(trust-vr)

    
    
    

    

    
    
15. 次に、ルーターA と通信するためのIPsec Phase 1 Proposal設定を作成します。
    画面左のメニューから[VPNs]-[Autokey Advanced]-[P1 Proposal]を選択して、以下のP1 Proposalリスト画面が表示されたら、画面右上の [New]を押します。
    
    
    

    

    
    
    
16. P1 Proposal設定画面が表示されます。
    以下のようにPhase1 Proposalの設定を変更したら、[OK]を押します。
    
    

    表 14
    

    [Name]	AR260_P1_Proposal
    [Lifetime]	1 Hours

    
    
    

    

    
    
17. 次に、ルーターA と通信するためのIPsec Phase 2 Proposal設定を作成します。
    画面左のメニューから[VPNs]-[Autokey Advanced]-[P2 Proposal]を選択して、以下のP2 Proposalリスト画面が表示されたら、画面右上の [New]を押します。
    
    

    

    
    
18. P2 Proposal設定画面が表示されます。
    以下のようにPhase2 Proposalの設定を変更したら、[OK]を押します。
    
    

    表 15
    

    [Name]	AR260_P2_Proposal
    [Perfect Forward Secrecy]	NO-PFS
    [Encapsulation]	Encryption
    [Encryption Algorithm]	3DES-CBC
    [Authentication Algorithm]	SHA-1
    [Lifetime]	1 Hours

    
    

    

    
    
19. 次に、IPsecの接続先の設定を作成します。
    
    画面左のメニューから[VPNs]-[Autokey Advanced]-[Gateway]を選択して、以下のGatewayリスト画面が表示されたら、画面右上の [New]を押します。
    
    

    

    
    
20. Gateway設定画面が表示されます。
    以下のように設定を変更したら、さらに詳細設定を行うために[Advanced]を押します。
    
    

    表 16
    

    [Gateway Name]	AR260-GW
    [Remote Gateway]-[Dynamic IP Address] を選択
    [Peer ID]	vpn

    
    

    

    
    
21. 詳細設定が表示されます。
    以下のように設定を変更したら、画面下部の[Return]を押します。
    
    

    表 17
    

    [Preshared Key]	secret
    [Outgoing Interface]	ethernet0/2
    [Security Level]	Custom
    [Phase 1 Proposal]	AR260_P1_Proposalのみ選択、その他はNone
    [Mode (Initiator)]	Aggressive
    [Pre Status Detection]	DPDを選択
    [Interval]	30
    [Retry]	3

    
    
    

    

    
    

    

    
    
22. 手順20の画面に戻るので、[OK]を押します。
    
    

    

    
    
23. 次に、IPsecトンネルの設定を行います。
    
    画面左のメニューから[VPNs]-[Autokey IKE]を選択して以下の画面が表示されたら、画面右上の [New]を押します。
    
    

    

    
    
24. VPN設定編集画面が表示されます。
    以下のように設定を変更したら、さらに詳細設定を行うために[Advanced]を押します。
    
    

    表 18
    

    [VPN Name]	AR260-VPN
    [Remote Gateway]−[Predefined]	AR260-GWを選択

    
    

    

    
    
25. 詳細設定が表示されます。
    以下のように設定を変更したら、画面下部の[Return]を押します。
    
    

    表 19
    

    [Security Level]	Custom
    [Phase 2 Proposal]	AR260_P2_Proposalのみ選択、その他はNone
    [Bind-to]-[Tunnel Interface]	tunnel.1
    [Proxy ID]	有効
    [Local IP/Netmask]	192.168.10.0/24
    [Remote IP/Netmask]	192.168.20.0/24

    
    

    

    
    
26. 手順24の画面に戻るので、[OK]を押します。
    
    

    

    
    
27. 次に、ルーティングについての設定を行います。
    
    画面左のメニューから[Network]-[Routing]-[Destination]を選択して、以下のRouting Entries画面が表示されたら、画面右上の リストから[trust-vr]を選択して[New]を押します。
    
    

    Note - 以下の画面はethernet0/2のPPPoEがリンクアップした状態です。

    
    

    

    
    
28. Routing設定画面が表示されます。
    以下のように設定を変更したら、[OK]を押します。
    
    

    表 20
    

    [IP Address/Netmask]	192.168.20.0/24
    [Next Hop]	Gateway
    [Interface]	tunnel.1

    
    

    

    
    
29. 次に、ファイアウォールポリシーの設定を行います。
    画面左のメニューから[Policy]-[Policies]を選択して以下のポリシーリスト画面が表示されます。
    まずLAN→IPsecトンネル方向の設定を行うため、以下のようにFrom/ToのZoneを選択して[New]を押します。
    
    

    表 21
    

    [From]	Trust
    [To]	VPN-ZONE

    
    

    

    
    
30. Policy設定編集画面が表示されるので、[OK]を押します。
    ここでは「すべて許可」のルールを作成するので、特に設定を変更する必要はありません。
    
    

    

    
    
31. ポリシーリスト画面が再度表示されるので、引き続きIPsecトンネル→LAN方向のファイアウォールポリシーの設定を行います。
    
    以下のようにFrom/ToのZoneを選択して[New]を押します。
    
    

    表 22
    

    [From]	VPN-ZONE
    [To]	Trust

    
    

    

    
    
32. Policy設定編集画面が表示されるので、[OK]を押します。
    ここでも「すべて許可」のルールを作成するので、特に設定を変更する必要はありません。
    
    

    

    
    
33. ポリシーリスト画面が再度表示されるので、引き続きLAN→WAN方向のファイアウォールポリシーの設定を行います。
    
    以下のようにFrom/ToのZoneを選択して[New]を押します。
    
    

    表 23
    

    [From]	Trust
    [To]	Untrust

    
    

    

    
    
34. Policy設定編集画面が表示されるので、[OK]を押します。
    ここでも「すべて許可」のルールを作成するので、特に設定を変更する必要はありません。
    
    

    

    
    
35. ポリシーリスト画面が再度表示されます。
    
    設定済みポリシーがすべて表示されますので、以下のように手順29〜34で設定したポリシーが表示されます。
    
    

    

    
    ルーターBの設定は以上です。
    
    なお設定情報は、これまでの操作を行った際に自動的に更新されていますので、保存操作は不要です。
    

(C) 2008-2012 アライドテレシスホールディングス株式会社

PN: 613-000902 Rev.G

＜前頁 次頁＞ ＜＜ ＞＞ ↑ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）