＜前頁 次頁＞ ＜＜ ＞＞ ↓ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）

PPPoE接続環境における3点間IPsec VPN（支社間通信は本社経由。1支店のみアドレス不定）

PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。本社（ルーターA：AR550S）と各支社（ルーターB、C：AR260S V2）のみを接続する構成とし、支社間の通信は本社経由で行うものとします。また、1支社のみグローバルアドレス1個を動的に割り当てられ、その他の拠点はグローバルアドレス1個が固定で割り当てられていると仮定しています。

表 1

	ルーターA	ルーターB	ルーターC
ユーザーID（PPPユーザー名）	user1@example	user2@example	user3@example
パスワード（PPPパスワード）	password	password	password
サービス名	指定なし	指定なし	指定なし
グローバルIPアドレス	10.0.0.1/32	10.0.0.2/32	不定(動的取得)

表 2

	ルーターB	ルーターC
WAN側IPアドレス	自動取得(10.0.0.2/32を取得)	自動取得(取得アドレスは不定)
LAN側IPアドレス	192.168.20.1/24	192.168.30.1/24
VPN接続設定
ローカルセキュアグループ〜リモートセキュアグループ	[1]192.168.20.0/24 〜 192.168.10.0/24	[1]192.168.30.0/24 〜 192.168.10.0/24
	[2]192.168.20.0/24 〜 192.168.30.0/24	[2]192.168.30.0/24 〜 192.168.20.0/24
ローカルゲートウェイ	pppoe0	pppoe0
リモートゲートウェイ	10.0.0.1	10.0.0.1
IKE設定
交換モード	メイン	アグレッシブ
事前共有鍵	secret_ab	secret_ac
暗号化認証アルゴリズム	3DES & SHA1-DH2	3DES & SHA1-DH2
ローカルID/リモートID	なし/なし	vpn_ac/なし
IPsec設定
暗号化認証アルゴリズム	ESP 3DES HMAC SHA1	ESP 3DES HMAC SHA1
PFSグループ	なし	なし

• ルーターA、Bはアドレス固定のため、ルーターA、Bどちらからでも接続を開始できます。
  
• ルーターCはアドレス不定のため、ルーターA、Bからは接続を開始できません。常にルーターCから接続を開始することになります。
  

Note - ルーターCの設定内容につきましては、文中の「ルーターCは〜」をご参照ください。

ルーターA（AR550S）の設定

1. セキュリティーモードで各種設定を行うことができるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードも「secoff」とします。
   
   
   add user=secoff password=secoff priv=sec ↓
   
   
2. ISPへ接続するため、eth0インターフェース上にppp0を作成します。
   
   
   cre ppp=0 over=eth0-any ↓
   
   
3. ISPから通知されたユーザー名、パスワードを設定します。ISDN回線向けの機能であるBAPは無効化し、LCP ECHOによるPPPセッション監視を有効化します。
   
   
   set ppp=0 over=eth0-any user=user1@example password=password lqr=off bap=off echo=on ↓
   
   
4. IPルーティングを行うため、IPモジュールを有効化します。
   
   
   ena ip ↓
   
   
5. IPインターフェースvlan1にIPアドレス192.168.10.1/24を設定します。
   
   
   add ip int=vlan1 ip=192.168.10.1 mask=255.255.255.0 ↓
   
   
6. ISPへ接続するppp0に、IPアドレス10.0.0.1/32を設定します。
   
   
   add ip int=ppp0 ip=10.0.0.1 mask=255.255.255.255 ↓
   
   
7. デフォルトルートをppp0に設定します。
   
   
   add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0 ↓
   
   
8. ppp0がISPに接続した際、通知されたDNSサーバーアドレスを使用するように設定します。
   
   
   add ip dns int=ppp0 ↓
   
   

   Note - ISPからDNSサーバーアドレスが指定されている場合は、次のように設定します。

   add ip dns primary=プライマリーDNSサーバー secondary=セカンダリーDNSサーバー

   
   
9. DNSリレーを有効化します。
   
   
   ena ip dnsrelay ↓
   
   
10. ファイアウォールを有効化します。
    
    
    ena fire ↓
    
    
11. ファイアウォールの動作を規定するポリシー「net」を作成します。
    ICMPはUnreachable、Echo/Echo reply(ping)のみ透過するよう設定し、identプロキシー機能は無効化します。（メールサーバー等からのident要求に対してTCP RSTを返します）
    
    
    cre fire poli=net ↓
ena fire poli=net icmp_f=unreach,ping ↓
dis fire poli=net identproxy ↓

    
    
12. ファイアウォールポリシー「net」に、IPインターフェースを追加します。
    ppp0をpublic、vlan1をprivateとして設定し、ppp0側から開始される通信は遮断しつつvlan1側から開始される通信は透過します。
    
    
    add fire poli=net int=vlan1 type=private ↓
add fire poli=net int=ppp0 type=public ↓

    
    
13. インターネットアクセスを実現するため、vlan1〜ppp0間にダイナミックENATを設定します。
    
    
    add fire poli=net nat=enhanced int=vlan1 gblint=ppp0 ↓
    
    
14. ルーターB、CからのISAKMP（UDP500番宛）を受信できるよう、透過ルールを設定します。
    
    
    add fire poli=net ru=1 ac=allow int=ppp0 prot=udp po=500 gblpo=500 ip=10.0.0.1 gblip=10.0.0.1 ↓
    
    
15. ルーターB、Cからの通信を受信できるよう、透過ルールを設定します。192.168.10.0/24宛に加え、ルーターB、C間の通信を実現するため 192.168.20.0/24、30.0/24宛も受信できるよう設定します。
    
    
    add fire poli=net ru=2 ac=nonat int=ppp0 prot=all ip=192.168.10.1-192.168.10.254 encap=ipsec ↓
add fire poli=net ru=3 ac=nonat int=ppp0 prot=all ip=192.168.20.1-192.168.20.254 encap=ipsec ↓
add fire poli=net ru=4 ac=nonat int=ppp0 prot=all ip=192.168.30.1-192.168.30.254 encap=ipsec ↓

    
    
16. 192.168.10.0/24に所属するホストから、192.168.20.0/24、30.0/24宛の通信に対して透過ルールを設定します。これらの通信にはNATを適用する必要が無いため、ac=nonatとします。
    
    
    add fire poli=net ru=5 ac=nonat int=vlan1 prot=all ip=192.168.10.1-192.168.10.254 ↓
set fire poli=net ru=5 remoteip=192.168.20.1-192.168.20.254 ↓
add fire poli=net ru=6 ac=nonat int=vlan1 prot=all ip=192.168.10.1-192.168.10.254 ↓
set fire poli=net ru=6 remoteip=192.168.30.1-192.168.30.254 ↓

    
    
17. DHCPサーバー機能を有効化します。
    
    
    ena dhcp ↓
    
    
18. DHCPポリシー「base」を作成します。オプションとして サブネット：255.255.255.0、ゲートウェイ：192.168.10.1、DNSサーバーアドレス：192.168.10.1を配布するよう設定します。
    
    
    cre dhcp poli=base lease=7200 ↓
add dhcp poli=base subnet=255.255.255.0 ↓
add dhcp poli=base router=192.168.10.1 dnss=192.168.10.1 ↓

    
    
19. DHCPレンジ「lan」を作成します。192.168.10.10から254までの245個を配布するよう設定します。
    
    
    cre dhcp range=lan poli=base ip=192.168.10.10 num=245 probe=ARP ↓
    
    
20. ルーター間の鍵交換に使用される事前共有鍵を設定します。
    
    
    create enco key=1 type=gene value="secret-ab" ↓
create enco key=2 type=gene value="secret-ac" ↓

    
    

    Note - create enco keyコマンドはコンフィグファイルには保存されず、装置内に別途保存されます。

    
    
21. ルーター間で鍵交換を行うためのISAKMPポリシーを定義します。暗号化プロトコルには3DESを指定します。
    
    
    cre isakmp poli="ike_ab" peer=10.0.0.2 key=1 sendn=true encalg=3desouter hashalg=sha group=2 ↓
cre isakmp poli="ike_ac" peer=any key=2 sendn=true encalg=3desouter hashalg=sha group=2 mode=aggressive remoteid="vpn_ac" ↓

    
    

    Note - 3DESではなくDESを使用する場合は、encalg パラメーターの値を des に変更します。

    
    
22. ルーターA〜B間、A〜C間でハートビートを設定します。
    
    set isakmp poli="ike_ab" heartbeat=both ↓
set isakmp poli="ike_ac" heartbeat=both ↓

    
    
23. IPsec SAを生成するための SAスペックとバンドルSAスペックを定義します。
    暗号化プロトコルには3DESを指定しています。
    
    
    cre ipsec sas=1 keyman=isakmp prot=esp encalg=3desouter hashalg=sha ↓
cre ipsec bundle=1 keyman=isakmp string="1" ↓

    
    

    Note - 3DESではなくDESを使用する場合は、encalg パラメーターの値を des に変更します。

    
    
24. ISAKMPパケットを透過するためのIPsecポリシー「isa」を定義します。
    
    
    cre ipsec poli="isa" int=ppp0 ac=permit lport=500 rport=500 transport=udp ↓
    
    
25. ルーターA〜B間で拠点間通信を実現するためのIPsecポリシー「vpn_ab」を定義します。
    
    
    cre ipsec poli="vpn_ab" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=10.0.0.2 ↓
set ipsec poli="vpn_ab" lad=192.168.10.0 lma=255.255.255.0 rad=192.168.20.0 rma=255.255.255.0 ↓

    
    
26. ルーターC〜B間で拠点間通信を実現するためのIPsecポリシー「vpn_cb」を定義します。
    
    
    cre ipsec poli="vpn_cb" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=10.0.0.2 ↓
set ipsec poli="vpn_cb" lad=192.168.30.0 lma=255.255.255.0 rad=192.168.20.0 rma=255.255.255.0 ↓

    
    
27. ルーターA〜C間で拠点間通信を実現するためのIPsecポリシー「vpn_ac」を定義します。
    
    
    cre ipsec poli="vpn_ac" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=dynamic ↓
set ipsec poli="vpn_ac" lad=192.168.10.0 lma=255.255.255.0 rad=192.168.30.0 rma=255.255.255.0 ↓

    
    
28. ルーターB〜C間で拠点間通信を実現するためのIPsecポリシー「vpn_bc」を定義します。
    
    
    cre ipsec poli="vpn_bc" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=dynamic ↓
set ipsec poli="vpn_bc" lad=192.168.20.0 lma=255.255.255.0 rad=192.168.30.0 rma=255.255.255.0 ↓

    
    
29. インターネット向け通信を平文で透過するためのIPsecポリシー「inet」を定義します。
    
    
    cre ipsec poli="inet" int=ppp0 ac=permit ↓
    
    
30. IPsecモジュール、ISAKMPモジュールを有効化します。
    
    
    ena ipsec ↓
ena isakmp ↓

    
    
31. Security Officerレベルのユーザーで再ログインを行います。loginコマンドを実行するとパスワード入力を求められますので、1で設定したパスワードを入力します。
    
    
    login secoff ↓
    
    
32. セキュリティーモードへ移行します。
    
    
    enable system security_mode ↓
    
    
33. 設定内容を router.cfg という名前で保存し、起動時に読み込まれるよう設定します。
    
    
    create config=router.cfg ↓
set config=router.cfg ↓

    
    ルーターAの設定は以上です。
    

ルーターB、ルーターC（AR260S V2）の設定

1. IPアドレスを自動取得するよう設定したPCを接続し、Webブラウザーを起動します。
   Webブラウザーから「http://192.168.1.1/」を開くとユーザー名、パスワードの入力を求められますのでユーザー名「manager」、パスワード「friend」を入力すると、次の画面が表示されます。
   
   

   

   
   次に、左側のメニューから[LAN]-[IP]を選択します。
   [IPアドレス]を192.168.20.1 (ルーターCは192.168.30.1)に変更して[適用]を押します。
   
   

   

   
   [適用]を押した後、IPアドレスを再取得するためにPCを再起動します。PCが起動完了したら、再度Webブラウザーを起動して「http://192.168.20.1/」（ルーターCは http://192.168.30.1/）を開きます。
   
   
2. 左側のメニューから[LAN]-[DHCP]を選択します。
   [開始IPアドレス]を192.168.20.223から192.168.20.10（ルーターCは192.168.30.10）に変更して[適用]を押します。
   
   

   

   
   
3. 左側のメニューから[WAN]-[WAN]を選択します。
   [WAN設定]の[接続モード]に PPPoE を選択し、[デフォルトゲートウェイ]を pppoe0 とします。
   pppoe0の[ユーザー名][パスワード]に、ISPから提供された内容を入力します。
   [MSSクランプ]を「手動設定」にします。
   [クランプ値]を40から120に変更して[適用]を押します。
   
   

   

   
   その他のパラメーターは、初期状態のままでかまいません。
   
   
4. 左側のメニューから[ファイアウォール/NAT]-[アクセス制御]を選択します。
   [pppoe0(WAN)] タブを開き、[アクセスリスト設定]に次の設定を行います。
   
   

   表 3
   

   [方向]	Inbound
   [動作]	通過
   [優先度]	1
   [送信元]-[タイプ]	サブネット
   [ネットワークアドレス]	192.168.10.0
   [サブネットマスク]	255.255.255.0
   [宛先]-[タイプ]	サブネット
   [ネットワークアドレス]	192.168.20.0（ルーターCの場合192.168.30.0）
   [サブネットマスク]	255.255.255.0
   [送信元ポート]	すべて
   [宛先ポート]	すべて
   [プロトコル]	すべて
   [ログ]	無効

   
   設定が完了したら、[追加]を押します。
   
   

   

   
   引き続き、[アクセスリスト設定]に次の設定を行います。
   
   

   表 4
   

   [方向]	Inbound
   [動作]	通過
   [優先度]	1
   [送信元]-[タイプ]	サブネット
   [ネットワークアドレス]	192.168.30.0（ルーターCの場合192.168.20.0）
   [サブネットマスク]	255.255.255.0
   [宛先]-[タイプ]	サブネット
   [ネットワークアドレス]	192.168.20.0（ルーターCの場合192.168.30.0）
   [サブネットマスク]	255.255.255.0
   [送信元ポート]	すべて
   [宛先ポート]	すべて
   [プロトコル]	すべて
   [ログ]	無効

   
   

   

   
   設定が完了したら、[追加]を押します。
   
   
5. 左側のメニューから[VPN]-[VPN接続]を選択します。
   [VPN接続設定]に、1つ目のVPNポリシーとして次の内容を設定します。
   
   

   表 5
   

   [簡易設定/詳細設定]	簡易設定
   [ポリシー名]	vpn_ab（ルーターCの場合はvpn_ac）
   [キープアライブ]	有効
   [種別]	ハートビート
   [仮想トンネルインターフェース]	無効
   [ローカルセキュアグループ]-[種類]	サブネット
   [ネットワークアドレス]	192.168.20.0（ルーターCの場合は192.168.30.0）
   [サブネットマスク]	255.255.255.0
   [リモートセキュアグループ]-[種類]	サブネット
   [アドレス]	192.168.10.0
   [マスク]	255.255.255.0
   [ローカルゲートウェイ]	pppoe0
   [リモートゲートウェイ]-[種類]	IPアドレス
   [IPアドレス]	10.0.0.1

   
   

   

   
   次に、[IKE設定]を設定します。
   
   

   表 6
   

   [IKE交換モード]	メイン（ルーターCの場合はアグレッシブ）
   [事前共有鍵]	secret-ab（ルーターCの場合はsecret-ac）

   
   ルーターCの場合は、上記に加えて[フェーズ1ローカルID]-[種類]を FQDN に、[FQDN]を vpn_ac とします。
   
   設定が完了したら、[追加]を押します。
   
   
   • ルーターBの設定内容：
     
     

     

     
     
   • ルーターCの設定内容：
     
     

     

   
   次に、[VPN接続設定]に2つ目のVPNポリシーを設定します。
   
   

   表 7
   

   [簡易設定/詳細設定]	簡易設定
   [ポリシー名]	vpn_cb（ルーターCの場合はvpn_bc）
   [キープアライブ]	有効
   [種別]	ハートビート
   [仮想トンネルインターフェース]	無効
   [ローカルセキュアグループ]-[種類]	サブネット
   [ネットワークアドレス]	192.168.20.0（ルーターCの場合は192.168.30.0）
   [サブネットマスク]	255.255.255.0
   [リモートセキュアグループ]-[種類]	サブネット
   [ネットワークアドレス]	192.168.30.0（ルーターCの場合は192.168.20.0）
   [サブネットマスク]	255.255.255.0
   [ローカルゲートウェイ]	pppoe0
   [リモートゲートウェイ]-[種類]	IPアドレス
   [IPアドレス]	10.0.0.1

   
   

   

   
   次に、[IKE設定]を設定します。
   
   

   表 8
   

   [IKE交換モード]	メイン（ルーターCの場合はアグレッシブ）
   [事前共有鍵]	secret-ab（ルーターCの場合はsecret-ac）

   
   ルーターCの場合は、上記に加えて[フェーズ1ローカルID]-[種類]を FQDN に、[FQDN]を vpn_ac とします。
   
   設定が完了したら、[追加]を押します。
   
   
   • ルーターBの設定内容
     

     

     
     
   • ルーターCの設定内容
     

     

     
     
   
   
6. 画面左上の[設定保存]を押します。
   設定保存ボタン下の「設定が保存されていません」という表示が消えれば設定完了です。
   設定は以上です。
   
   

Note - 本設定例では以下のIKEとIPsec設定を設定します。暗号化方式などを変更する必要がある場合は、＜手順5＞の[VPN接続設定]で[詳細設定]を選択してください。

表 9

IKE設定
暗号化認証アルゴリズム	3DES & SHA1-DH2
IPsec設定
暗号化認証アルゴリズム	ESP 3DES HMAC SHA1
PFSグループ	なし

まとめ

ルーターA（AR550S）のコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

add user=secoff password=secoff priv=sec ↓ cre ppp=0 over=eth0-any ↓ set ppp=0 over=eth0-any user=user1@example password=password lqr=off bap=off echo=on ↓ ena ip ↓ add ip int=vlan1 ip=192.168.10.1 mask=255.255.255.0 ↓ add ip int=ppp0 ip=10.0.0.1 mask=255.255.255.255 ↓ add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0 ↓ add ip dns int=ppp0 ↓ ena ip dnsrelay ↓ ena fire ↓ cre fire poli=net ↓ ena fire poli=net icmp_f=unreach,ping ↓ dis fire poli=net identproxy ↓ add fire poli=net int=vlan1 type=private ↓ add fire poli=net int=ppp0 type=public ↓ add fire poli=net nat=enhanced int=vlan1 gblint=ppp0 ↓ add fire poli=net ru=1 ac=allow int=ppp0 prot=udp po=500 gblpo=500 ip=10.0.0.1 gblip=10.0.0.1 ↓ add fire poli=net ru=2 ac=nonat int=ppp0 prot=all ip=192.168.10.1-192.168.10.254 encap=ipsec ↓ add fire poli=net ru=3 ac=nonat int=ppp0 prot=all ip=192.168.20.1-192.168.20.254 encap=ipsec ↓ add fire poli=net ru=4 ac=nonat int=ppp0 prot=all ip=192.168.30.1-192.168.30.254 encap=ipsec ↓ add fire poli=net ru=5 ac=nonat int=vlan1 prot=all ip=192.168.10.1-192.168.10.254 ↓ set fire poli=net ru=5 remoteip=192.168.20.1-192.168.20.254 ↓ add fire poli=net ru=6 ac=nonat int=vlan1 prot=all ip=192.168.10.1-192.168.10.254 ↓ set fire poli=net ru=6 remoteip=192.168.30.1-192.168.30.254 ↓ ena dhcp ↓ cre dhcp poli=base lease=7200 ↓ add dhcp poli=base subnet=255.255.255.0 ↓ add dhcp poli=base router=192.168.10.1 dnss=192.168.10.1 ↓ cre dhcp range=lan poli=base ip=192.168.10.10 num=245 probe=ARP ↓ # create enco key=1 type=gene value="secret-ab" ↓ # create enco key=2 type=gene value="secret-ac" ↓ cre isakmp poli="ike_ab" peer=10.0.0.2 key=1 sendn=true encalg=3desouter hashalg=sha group=2 ↓ cre isakmp poli="ike_ac" peer=any key=2 sendn=true encalg=3desouter hashalg=sha group=2 mode=aggressive remoteid="vpn_ac" ↓ set isakmp poli="ike_ab" heartbeat=both ↓ set isakmp poli="ike_ac" heartbeat=both ↓ cre ipsec sas=1 keyman=isakmp prot=esp encalg=3desouter hashalg=sha ↓ cre ipsec bundle=1 keyman=isakmp string="1" ↓ cre ipsec poli="isa" int=ppp0 ac=permit lport=500 rport=500 transport=udp ↓ cre ipsec poli="vpn_ab" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=10.0.0.2 ↓ set ipsec poli="vpn_ab" lad=192.168.10.0 lma=255.255.255.0 rad=192.168.20.0 rma=255.255.255.0 ↓ cre ipsec poli="vpn_cb" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=10.0.0.2 ↓ set ipsec poli="vpn_cb" lad=192.168.30.0 lma=255.255.255.0 rad=192.168.20.0 rma=255.255.255.0 ↓ cre ipsec poli="vpn_ac" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=dynamic ↓ set ipsec poli="vpn_ac" lad=192.168.10.0 lma=255.255.255.0 rad=192.168.30.0 rma=255.255.255.0 ↓ cre ipsec poli="vpn_bc" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=dynamic ↓ set ipsec poli="vpn_bc" lad=192.168.20.0 lma=255.255.255.0 rad=192.168.30.0 rma=255.255.255.0 ↓ cre ipsec poli="inet" int=ppp0 ac=permit ↓ ena ipsec ↓ ena isakmp ↓ # login secoff ↓ # enable system security_mode ↓

(C) 2008-2012 アライドテレシスホールディングス株式会社

PN: 613-000902 Rev.G

＜前頁 次頁＞ ＜＜ ＞＞ ↑ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）