<前頁 次頁> << >> ↓ 目次 (番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細))
CentreCOM AR410 V2 設定例集 2.6 #132
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は行わないものとします。また、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています。
Note - IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに別売の暗号・圧縮ボード(AR011 V2)を装着する必要があります。
PPPユーザー名 | user@ispA | user@ispB | user@ispC |
PPPパスワード | isppasswdA | isppasswdB | isppasswdC |
PPPoEサービス名 | 指定なし | 指定なし | 指定なし |
使用できるIPアドレス | 200.100.10.1/32 | 200.100.20.1/32 | 200.100.30.1/32 |
接続形態 | 端末型(アドレス1個固定) | 端末型(アドレス1個固定) | 端末型(アドレス1個固定) |
WAN側物理インターフェース | eth0 | eth0 | eth0 |
WAN側IPアドレス | 200.100.10.1/32(ppp0) | 200.100.20.1/32(ppp0) | 200.100.30.1/32(ppp0) |
LAN側IPアドレス | 192.168.10.1/24(vlan1) | 192.168.20.1/24(vlan1) | 192.168.30.1/24(vlan1) |
ルーター間の認証方式 | 事前共有鍵(pre-shared key) |
IKE交換モード | Mainモード |
事前共有鍵(1) | secret-ab(ルーターA・B間) |
事前共有鍵(2) | secret-ac(ルーターA・C間) |
Oakleyグループ | 1(デフォルト) |
ISAKMPメッセージの暗号化方式 | DES(デフォルト) |
ISAKMPメッセージの認証方式 | SHA1(デフォルト) |
ISAKMP SAの有効期限(時間) | 86400秒(24時間)(デフォルト) |
ISAKMP SAの有効期限(Kbyte数) | なし(デフォルト) |
起動時のISAKMPネゴシエーション | 行わない |
SAモード | トンネルモード |
セキュリティープロトコル | ESP(暗号化+認証) |
暗号化方式 | DES |
認証方式 | SHA1 |
IPsec SAの有効期限(時間) | 28800秒(8時間)(デフォルト) |
IPsec SAの有効期限(Kbyte数) | なし(デフォルト) |
トンネリング対象IPアドレス(1) | 192.168.10.0/24 ←→ 192.168.20.0/24 |
トンネル終端アドレス(1) | 200.100.10.1(A)・200.100.20.1(B) |
トンネリング対象IPアドレス(2) | 192.168.10.0/24 ←→ 192.168.30.0/24 |
トンネル終端アドレス(2) | 200.100.10.1(A)・200.100.30.1(C) |
インターネットとの平文通信 | 行う |
ルーターAの設定 |
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY USER=user@ispA PASSWORD=isppasswdA LQR=OFF BAP=OFF ECHO=ON ↓
Note - ファームウェアバージョン2.6以降、「IDLE=OFF」(デフォルト)に設定されたPPPoEインターフェースでは、PPPoEセッションキープアライブ機能が働くため、リンクダウン時に自動的に再接続を試みます(リンクダウンを検出するため「ECHO=ON」の設定は必要)。そのため、以前のバージョンで使用していた自動再接続のためのインターフェーストリガーは必要なくなりました。ただし、トリガーの設定があっても問題はありません。以前の設定もそのまま使用できます。
Note - バージョン2.6よりも前のファームウェアでPPPoEの自動再接続を行うにはインターフェーストリガーの設定が必要です。設定方法については、ご使用中のバージョンに対応したマニュアルをご覧ください。
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=200.100.10.1 MASK=255.255.255.255 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
Note - デフォルト設定では、ICMPはファイアウォールを通過できません。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PORT=500 IP=200.100.10.1 GBLIP=200.100.10.1 GBLPORT=500 ↓
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.10.1-192.168.10.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.20.1-192.168.20.254 ↓
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.10.1-192.168.10.254 ↓
SET FIREWALL POLICY=net RULE=3 REMOTEIP=192.168.30.1-192.168.30.254 ↓
ADD FIREWALL POLICY=net RULE=4 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.10.1-192.168.10.254 ENCAP=IPSEC ↓
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret-ab" ↓
CREATE ENCO KEY=2 TYPE=GENERAL VALUE="secret-ac" ↓
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
CREATE ISAKMP POLICY="i_B" PEER=200.100.20.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE ISAKMP POLICY="i_C" PEER=200.100.30.1 KEY=2 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
CREATE IPSEC POLICY="vpn_B" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.20.1 ↓
SET IPSEC POLICY="vpn_B" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY="vpn_C" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.30.1 ↓
SET IPSEC POLICY="vpn_C" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.30.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
LOGIN secoff ↓
ENABLE SYSTEM SECURITY_MODE ↓
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
ルーターBの設定 |
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY USER=user@ispB PASSWORD=isppasswdB LQR=OFF BAP=OFF ECHO=ON ↓
Note - ファームウェアバージョン2.6以降、「IDLE=OFF」(デフォルト)に設定されたPPPoEインターフェースでは、PPPoEセッションキープアライブ機能が働くため、リンクダウン時に自動的に再接続を試みます(リンクダウンを検出するため「ECHO=ON」の設定は必要)。そのため、以前のバージョンで使用していた自動再接続のためのインターフェーストリガーは必要なくなりました。ただし、トリガーの設定があっても問題はありません。以前の設定もそのまま使用できます。
Note - バージョン2.6よりも前のファームウェアでPPPoEの自動再接続を行うにはインターフェーストリガーの設定が必要です。設定方法については、ご使用中のバージョンに対応したマニュアルをご覧ください。
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=200.100.20.1 MASK=255.255.255.255 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
Note - デフォルト設定では、ICMPはファイアウォールを通過できません。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PORT=500 IP=200.100.20.1 GBLIP=200.100.20.1 GBLPORT=500 ↓
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254 ↓
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret-ab" ↓
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
CREATE ISAKMP POLICY="i_A" PEER=200.100.10.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
CREATE IPSEC POLICY="vpn_A" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.10.1 ↓
SET IPSEC POLICY="vpn_A" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
LOGIN secoff ↓
ENABLE SYSTEM SECURITY_MODE ↓
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
ルーターCの設定 |
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY USER=user@ispC PASSWORD=isppasswdC LQR=OFF BAP=OFF ECHO=ON ↓
Note - ファームウェアバージョン2.6以降、「IDLE=OFF」(デフォルト)に設定されたPPPoEインターフェースでは、PPPoEセッションキープアライブ機能が働くため、リンクダウン時に自動的に再接続を試みます(リンクダウンを検出するため「ECHO=ON」の設定は必要)。そのため、以前のバージョンで使用していた自動再接続のためのインターフェーストリガーは必要なくなりました。ただし、トリガーの設定があっても問題はありません。以前の設定もそのまま使用できます。
Note - バージョン2.6よりも前のファームウェアでPPPoEの自動再接続を行うにはインターフェーストリガーの設定が必要です。設定方法については、ご使用中のバージョンに対応したマニュアルをご覧ください。
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.30.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=200.100.30.1 MASK=255.255.255.255 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
Note - デフォルト設定では、ICMPはファイアウォールを通過できません。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PORT=500 IP=200.100.30.1 GBLIP=200.100.30.1 GBLPORT=500 ↓
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.30.1-192.168.30.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254 ↓
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.30.1-192.168.30.254 ENCAP=IPSEC ↓
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret-ac" ↓
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
CREATE ISAKMP POLICY="i_A" PEER=200.100.10.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
CREATE IPSEC POLICY="vpn_A" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.10.1 ↓
SET IPSEC POLICY="vpn_A" LAD=192.168.30.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
LOGIN secoff ↓
ENABLE SYSTEM SECURITY_MODE ↓
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
メモ |
ENABLE FIREWALL POLICY=net LOG=DENY ↓
SHOW LOG TYPE=FIRE ↓
ADD IP FILTER=0 SO=0.0.0.0 PROTO=ICMP ICMPTYPE=ECHO LOG=HEADER ACTION=EXCLUDE ↓
ADD IP FILTER=0 SO=0.0.0.0 ACTION=INCLUDE ↓
SET IP INT=ppp0 FILTER=0 ↓
SHOW LOG TYPE=IPFIL ↓
ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓
ADD USER RSO IP=192.168.20.0 MASK=255.255.255.0 ↓
ADD USER RSO IP=192.168.30.0 MASK=255.255.255.0 ↓
SET USER SECUREDELAY=300 ↓
まとめ |
ルーターAのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ |
ルーターBのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ |
ルーターCのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ |
(C) 2002 - 2008 アライドテレシスホールディングス株式会社
PN: J613-M3048-02 Rev.M