<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR415S 設定例集 2.9 #186
IPsecパススルー機能
IPsecパススルー機能とは、NAT機器配下にあるIPsec端末が、NAT機器の先にあるIPsec端末とIPsec通信ができるようにするための機能です。この例では、接続時にアドレスを1つ割り当てられる端末型の基本的な構成でIPsecパススルー機能を設定します。
ISPからは次の情報を提供されているものとします。
表 1:ISPから提供された情報
PPPユーザー名 |
user@isp |
PPPパスワード |
isppasswd |
PPPoEサービス名 |
指定なし |
IPアドレス |
グローバルアドレス1個(動的割り当て) |
DNSサーバー |
接続時に通知される |
ルーターには、次のような方針で設定を行います。
- ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
- ファイアウォールのダイナミックENAT機能を使用して、LAN側ネットワークのプライベートIPアドレスを、ISPから与えられたグローバルIPアドレスに変換します。これにより、LANに接続された複数のコンピューターからインターネットへの同時アクセスが可能になります。
- ファイアウォールのIPsecパススルー機能を使用してLAN側ネットワークに接続されたIPsec端末がWAN側ネットワークにあるIPsec端末に対してIPsec通信を開始できるようにします。
- ルーターのDNSリレー機能をオンにして、LAN側コンピューターからのDNSリクエストを、ISPのDNSサーバーに転送します。
以下、ルーターの基本設定についてまとめます。
表 2:ルーターの基本設定
WAN側物理インターフェース |
eth0 |
WAN側(ppp0)IPアドレス |
接続時にISPから取得する |
LAN側(vlan1)IPアドレス |
192.168.10.1/24 |
- WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=ON ↓
- IPモジュールを有効にします。
- IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- DNSリレー機能を有効にします。
- DNSリレーの中継先を指定します。通常、中継先にはDNSサーバーのアドレスを指定しますが、IPCPによりアドレスを取得するまでは不明であるため、ここではインターフェース名を指定します。
SET IP DNSRELAY INT=ppp0 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側(vlan1)インターフェースをPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
- WAN側(ppp0)インターフェースをPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- ppp0に割り当てられたグローバルアドレスをIPsecパススルー機能で使用できるようインターフェースENATを設定します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
- PROTOCOLパラメーターに "ESP" を指定したファイアウォール エンハンス NAT ルールを追加しIPsecパススルー機能を使用できるようにします。
ADD FIREWALL POLICY=net RULE=1 AC=NAT NATTYPE=ENHANCED INT=vlan1 PROTO=ESP ↓
Note
- マッチするInitiateセッションが存在しない場合(Public側から通信が開始された場合)、ESPパケットは破棄されます。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
■ 動的にグローバルIPアドレスが割り当てられる構成でIPsecパススルー機能を使用する場合、IPsecパススルー向けのエンハンスNATルールに加え、インターフェースエンハンスNATを設定する必要があります。
■ PublicインターフェースのIPアドレスが固定されている構成、または、インターフェースENATを使用しない構成では、GBLIPを指定する必要があります。
ADD FIREWALL POLICY=net RULE=1 AC=NAT NATTYPE=ENHANCED INT=vlan1 PROTO=ESP GBLIP=4.4.4.4 ↓
■ IPsecパススルー機能ではESPパケットの送信元/宛先IPアドレスとSPI値を元に組み合わせを推定しています。よって、以下のような場合、登録したSPIの上り/下りのペアが必ず正しいという保障ができません。
- 同一宛先のInitiateセッションが複数存在する場合
一度、間違った組み合わせでFirewall Sessionが作成された場合、該当するFirewall Sessionが削除されるまで誤った宛先にESPパケットを転送します。
■ NAT対象となっているSAのLifetimeとESPのFirewall Session 保持時間は同期していません。そのため、これらの時間の組み合わせにより以下のような事象が発生します。
- パススルー対象のIPsec SAのLifetimeがESP Firewall Session 保持時間よりも短い場合
IPsec SAのRekey後に新しいSPIで通信を開始されると新しいFirewall Sessionが生成されますが、不要になった古いFirewall Sessionもタイムアウトするまで保持されたままになります。SAのRekeyが頻繁に行われる環境では余分なセッションが数多く存在することになる場合があります。
- パススルー対象のIPsec SAのLifetimeがESP Firewall Session 保持時間よりも長い場合
IPsec SAが存在していても無通信状態がSession Timer以上続くとESPのFirewall Sessionは削除されます。このとき、Private側からのESPパケットを受信しない限りPublic側からのESPパケットは破棄し続けます。
Note
- ESPのFirewall Session保持時間はSET FIREWALL POLICYコマンドのESPTIMEOUTパラメーターで変更可能です。
■ IPsec パススルー機能とIPsec機能の併用は可能です。
■ IPsec パススルー機能とNAT-Traversal機能の併用は可能です。
ルーターのコンフィグ
[テキスト版]
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=ON ↓
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE IP DNSRELAY ↓
SET IP DNSRELAY INT=ppp0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net RULE=1 AC=NAT NATTYPE=ENHANCED INT=vlan1 PROTO=ESP ↓
|
CentreCOM AR415S 設定例集 2.9 #186
(C) 2006-2017 アライドテレシスホールディングス株式会社
PN: 613-000668 Rev.N
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))