設定例集#26: NAT機器をはさむ2点間IPsec VPN(NAT-Traversal)

構成
ルーターAの設定
ルーターBの設定
設定の保存
ファイアウォールログについて
ルーターAのコンフィグ
ルーターBのコンフィグ

設定例集#26: [ 設定例集目次 ] ページ内目次

インターネット上に暗号化されたトンネルを張り、2つの拠点をIP接続するIPsec VPNの設定例です。
この例は、IPsecルーター間に既設のNAT機器(ブロードバンドルーターなど)が存在する場合の基本設定です。
ここでは、NAT機器の設定を変更することなくNAT経由でIPsec(ESP)を使用するため、NAT-Traversalを使用しています。
なお、この構成ではつねにルーターBから通信が開始されるため、NAT機器に特別な設定をする必要はありません。
ただし、無通信時にセッション情報がNAT変換テーブルから消えてしまわないよう、ルーターB側から定期的にDPDパケットを送信するようにします。

構成
設定例集#26: [ 設定例集目次 ] ページ内目次

 
ルーターA
ルーターB
ISPから提供された情報
ISP接続用ユーザー名 user@isp ISP接続はNAT機器が行うため不要
ISP接続用パスワード isppasswd
PPPoEサービス名 指定なし
WAN側IPアドレス 10.0.0.1/32
ルーターの基本設定
WAN側物理インターフェース eth1 eth1
WAN側(ppp0)IPアドレス 接続時にISPから取得 なし
WAN側(eth1)IPアドレス なし 192.168.100.254/24
LAN側(vlan1)IPアドレス 192.168.10.1/24 192.168.20.1/24
デフォルトゲートウェイ ppp0 192.168.100.1(NAT機器)
IKEフェーズ1(ISAKMP)設定
IKEバージョン・交換モード
IKEv1 Aggressiveモード
アルゴリズム
AES128 / SHA256 / Group2
ローカルID 始点アドレス(デフォルト) Client
IKEフェーズ2(IPsec)設定
アルゴリズム
AES128 / SHA256


[事前共有鍵]

ルーターAの設定
設定例集#26: [ 設定例集目次 ] ページ内目次
  1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
    スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。

    no spanning-tree rstp enable

  2. WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
    PPPの詳細は「PPP」/「一般設定」をご覧ください。

    interface eth1
 encapsulation ppp 0

  3. PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

    ・LCP EchoによるPPP接続状態の確認(keepalive
    ・ユーザー名(ppp username
    ・パスワード(ppp password
    ・IPアドレスの固定設定(ip address
    ・MSS書き換え(ip tcp adjust-mss

    PPPの詳細は「PPP」/「一般設定」をご覧ください。

    interface ppp0
 keepalive
 ppp username user@isp
 ppp password isppasswd
 ip address 10.0.0.1/32
 ip tcp adjust-mss pmtu

  4. LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
    IPインターフェースの詳細は「IPルーティング」/「IPインターフェース」をご覧ください。

    interface vlan1
 ip address 192.168.10.1/24

  5. ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

    内部ネットワークを表すゾーン「private」を作成します。
    これには、zonenetworkip subnetの各コマンドを使います。

    zone private
 network lan
  ip subnet 192.168.2.0/30
  ip subnet 192.168.10.0/24
  ip subnet 192.168.20.0/24

  6. 外部ネットワークを表すゾーン「public」を作成します。
    前記コマンドに加え、ここではhostip addressの各コマンドも使います。

    zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.1

  7. ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
    これには、applicationprotocolsportdporticmp-typeicmp-codeの各コマンドを使います。
    アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

    IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。 

    application esp
 protocol 50

  8. ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。 

    application isakmp
 protocol udp
 dport 500

  9. NAT-Traversalパケットを表すカスタムアプリケーション「nat-t」を定義します。

    application nat-t
 protocol udp
 dport 4500

  10. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewallruleprotectの各コマンドを使います。

    ・rule 10 - 内部から内部への通信を許可します
    ・rule 20 - 内部から外部への通信を許可します
    ・rule 30, 40 - ISAKMPパケットを許可します
    ・rule 50, 60 - IPsec(ESP)パケットを許可します
    ・rule 70 - NAT-Traversalパケットを許可します

    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。

    firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan to public.wan.ppp0
 rule 40 permit isakmp from public.wan.ppp0 to public.wan 
 rule 50 permit esp from public.wan to public.wan.ppp0
 rule 60 permit esp from public.wan.ppp0 to public.wan 
 rule 70 permit nat-t from public.wan to public.wan.ppp0
 protect

  11. LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
    これには、natruleenableの各コマンドを使います。
    NATの詳細は「UTM」/「NAT」をご覧ください。

    nat
 rule 10 masq any from private to public
 enable

  12. IPsecの通信方式を規定するIPsecプロファイルを作成します。
    IPsecプロファイルの詳細は「VPN」/「IPsec」をご覧ください。

    ここでは、crypto ipsec profileコマンドでIPsecプロファイルを作成し、以下の情報を設定します。

    ・アルゴリズム(transform

    crypto ipsec profile ipsec1
 transform 1 protocol esp integrity SHA256 encryption AES128

  13. ISAKMPの通信方式を規定するISAKMPプロファイルを作成します。
    ISAKMPプロファイルの詳細は「VPN」/「IPsec」をご覧ください。

    ここでは、crypto isakmp profileコマンドでISAKMPプロファイルを作成し、以下の情報を設定します。

    ・IKEバージョン(version
    ・アルゴリズム(transform

    crypto isakmp profile isakmp1
 version 1 mode aggressive
 transform 1 integrity SHA256 encryption AES128 group 2

  14. 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
    ここでは対向ルーターのIPアドレスが不定のため、対向ルーターをID文字列で指定しています。

    crypto isakmp key secret hostname Client

  15. 対向ルーターとの間で使用するISAKMPプロファイルを指定します。これにはcrypto isakmp peerコマンドを使います。
    キーワードdynamicは、IPアドレスが不定なすべての対向ルーターを意味しています。

    crypto isakmp peer dynamic profile isakmp1

  16. IPsecトンネルインターフェースtunnel1を作成します。
    トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

    これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

    ・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source
    ・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination
    ・トンネルインターフェースにおける対向装置ID(リモートID)(tunnel remote name
    ・トンネルインターフェースに対するIPsec保護の適用とIPsecプロファイルの指定(tunnel protection ipsec
    ・トンネリング方式(tunnel mode ipsec
    ・トンネルインターフェースのIPアドレス(ip address
    ・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss
    ・トンネルインターフェースのMTU(mtu

    interface tunnel1
 tunnel source ppp0
 tunnel destination dynamic
 tunnel remote name Client
 tunnel protection ipsec profile ipsec1
 tunnel mode ipsec ipv4
 ip address 192.168.2.1/30
 ip tcp adjust-mss 1260
 mtu 1300

  17. デフォルト経路(0.0.0.0/0)とルーターBのLAN側(192.168.20.0/24)への経路を設定します。これにはip routeコマンドを使います。
    ただし、ルーター間のVPN接続が有効になるまでは、対向側LANへの経路は使用できないように設定します。
    IP経路設定の詳細は「IPルーティング」/「経路制御」をご覧ください。

    ip route 0.0.0.0/0 ppp0
ip route 192.168.20.0/24 tunnel1
ip route 192.168.20.0/24 Null 254

  18. 以上で設定は完了です。

    end


ルーターBの設定
設定例集#26: [ 設定例集目次 ] ページ内目次
  1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
    スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。

    no spanning-tree rstp enable

  2. WANポートeth1にIPアドレスを設定します。これにはip addressコマンドを使います。
    IPインターフェースの詳細は「IPルーティング」/「IPインターフェース」をご覧ください。

    interface eth1
 ip address 192.168.100.254/24

  3. LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
    IPインターフェースの詳細は「IPルーティング」/「IPインターフェース」をご覧ください。

    interface vlan1
 ip address 192.168.20.1/24

  4. IPsecの通信方式を規定するIPsecプロファイルを作成します。
    IPsecプロファイルの詳細は「VPN」/「IPsec」をご覧ください。

    ここでは、crypto ipsec profileコマンドでIPsecプロファイルを作成し、以下の情報を設定します。

    ・アルゴリズム(transform

    crypto ipsec profile ipsec1
 transform 1 protocol esp integrity SHA256 encryption AES128

  5. ISAKMPの通信方式を規定するISAKMPプロファイルを作成します。
    ISAKMPプロファイルの詳細は「VPN」/「IPsec」をご覧ください。

    ここでは、crypto isakmp profileコマンドでISAKMPプロファイルを作成し、以下の情報を設定します。

    ・IKEバージョン(version
    ・アルゴリズム(transform

    crypto isakmp profile isakmp1
 version 1 mode aggressive
 transform 1 integrity SHA256 encryption AES128 group 2

  6. 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。

    crypto isakmp key secret address 10.0.0.1

  7. 対向ルーターとの間で使用するISAKMPプロファイルを指定します。これにはcrypto isakmp peerコマンドを使います。

    crypto isakmp peer address 10.0.0.1 profile isakmp1

  8. IPsecトンネルインターフェースtunnel1を作成します。
    トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

    これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

    ・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source
    ・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination
    ・トンネルインターフェースにおける自装置ID(ローカルID)(tunnel local name
    ・トンネルインターフェースに対するIPsec保護の適用とIPsecプロファイルの指定(tunnel protection ipsec
    ・トンネリング方式(tunnel mode ipsec
    ・トンネルインターフェースのIPアドレス(ip address
    ・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss
    ・トンネルインターフェースのMTU(mtu

    interface tunnel1
 tunnel source eth1
 tunnel destination 10.0.0.1
 tunnel local name Client
 tunnel protection ipsec profile ipsec1
 tunnel mode ipsec ipv4
 ip address 192.168.2.2/30
 ip tcp adjust-mss 1260
 mtu 1300

  9. デフォルト経路(0.0.0.0/0)とルーターAのLAN側(192.168.10.0/24)への経路を設定します。これにはip routeコマンドを使います。
    ただし、ルーター間のVPN接続が有効になるまでは、対向側LANへの経路は使用できないように設定します。
    IP経路設定の詳細は「IPルーティング」/「経路制御」をご覧ください。

    ip route 0.0.0.0/0 eth1
ip route 192.168.10.0/24 tunnel1
ip route 192.168.10.0/24 Null 254

  10. 以上で設定は完了です。

    end


設定の保存
設定例集#26: [ 設定例集目次 ] ページ内目次
■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。

awplus# copy running-config startup-config
Building configuration...
[OK]


また、write fileコマンド、write memoryコマンドでも同じことができます。

awplus# write memory
Building configuration...
[OK]


その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

 ■ ファイアウォールのログをとるには、次のコマンド(log(filter))を実行します。

awplus(config)# log buffered level informational program kernel msgtext Firewall


■ 記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。

awplus# show log | include firewall


ルーターAのコンフィグ
設定例集#26: [ 設定例集目次 ] ページ内目次

!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
!
interface ppp0
 keepalive
 ppp username user@isp
 ppp password isppasswd
 ip address 10.0.0.1/32
 ip tcp adjust-mss pmtu
!
interface vlan1
 ip address 192.168.10.1/24
!
zone private
 network lan
  ip subnet 192.168.2.0/30
  ip subnet 192.168.10.0/24
  ip subnet 192.168.20.0/24
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.1
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 dport 500
!
application nat-t
 protocol udp
 dport 4500
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan to public.wan.ppp0
 rule 40 permit isakmp from public.wan.ppp0 to public.wan 
 rule 50 permit esp from public.wan to public.wan.ppp0
 rule 60 permit esp from public.wan.ppp0 to public.wan 
 rule 70 permit nat-t from public.wan to public.wan.ppp0
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
crypto ipsec profile ipsec1
 transform 1 protocol esp integrity SHA256 encryption AES128
!
crypto isakmp profile isakmp1
 version 1 mode aggressive
 transform 1 integrity SHA256 encryption AES128 group 2
!
crypto isakmp key secret hostname Client
!
crypto isakmp peer dynamic profile isakmp1
!
interface tunnel1
 tunnel source ppp0
 tunnel destination dynamic
 tunnel remote name Client
 tunnel protection ipsec profile ipsec1
 tunnel mode ipsec ipv4
 ip address 192.168.2.1/30
 ip tcp adjust-mss 1260
 mtu 1300
!
ip route 0.0.0.0/0 ppp0
ip route 192.168.20.0/24 tunnel1
ip route 192.168.20.0/24 Null 254
!
end


ルーターBのコンフィグ
設定例集#26: [ 設定例集目次 ] ページ内目次

!
no spanning-tree rstp enable
!
interface eth1
 ip address 192.168.100.254/24
!
interface vlan1
 ip address 192.168.20.1/24
!
crypto ipsec profile ipsec1
 transform 1 protocol esp integrity SHA256 encryption AES128
!
crypto isakmp profile isakmp1
 version 1 mode aggressive
 transform 1 integrity SHA256 encryption AES128 group 2
!
crypto isakmp key secret address 10.0.0.1
!
crypto isakmp peer address 10.0.0.1 profile isakmp1
!
interface tunnel1
 tunnel source eth1
 tunnel destination 10.0.0.1
 tunnel local name Client
 tunnel protection ipsec profile ipsec1
 tunnel mode ipsec ipv4
 ip address 192.168.2.2/30
 ip tcp adjust-mss 1260
 mtu 1300
!
ip route 0.0.0.0/0 eth1
ip route 192.168.10.0/24 tunnel1
ip route 192.168.10.0/24 Null 254
!
end



設定例集#26: [ 設定例集目次 ] ページ内目次

(C) 2015 - 2016 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.K