<前頁 次頁> << >> ↓ 目次 (回線別 (詳細)・ 機能別 (詳細)・ 番号順 (詳細) )
CentreCOM AR450S 設定例集 2.9 #105
L2TPによるリモートアクセス型VPNの設定です。この例では、LAC・LNS間のL2TPトンネルをトランスポートモードIPsec(ESP)で暗号化し、インターネット上を流れるデータの安全性を確保しています。ここでは、トンネル経由でリモートユーザーからのPPP接続を受け入れるLNS(L2TP Network Server)の基本設定を示します。
ISPからは次の情報を提供されているものとします。
PPPユーザー名 | user@isp |
PPPパスワード | isppasswd |
PPPoEサービス名 | 指定なし |
IPアドレス | 200.100.10.1/32(固定) |
WAN側物理インターフェース | eth0 |
WAN側(ppp0)IPアドレス | 200.100.10.1/32(固定) |
LAN側(vlan1)IPアドレス | 192.168.10.1/24 |
L2TPサーバーモード | LNS |
L2TPサーバーパスワード | l2tpA |
LAC(ルーターB)のアドレス | 200.100.10.20 |
IPアドレスプール | POOL(192.168.10.20〜192.168.10.30) |
登録ユーザー(パスワード)(1) | AAA(PasswordA) |
登録ユーザー(パスワード)(2) | BBB(PasswordB) |
ルーター間の認証方式 | 事前共有鍵(pre-shared key) |
IKE交換モード | Mainモード |
事前共有鍵 | secret(文字列) |
Oakleyグループ | 1(デフォルト) |
ISAKMPメッセージの暗号化方式 | DES(デフォルト) |
ISAKMPメッセージの認証方式 | SHA1(デフォルト) |
ISAKMP SAの有効期限(時間) | 86400秒(24時間)(デフォルト) |
ISAKMP SAの有効期限(Kbyte数) | なし(デフォルト) |
起動時のISAKMPネゴシエーション | 行わない |
SAモード | トランスポートモード |
セキュリティープロトコル | ESP(暗号+認証) |
暗号化方式 | DES |
認証方式 | SHA1 |
IPsec SAの有効期限(時間) | 28800秒(8時間)(デフォルト) |
IPsec SAの有効期限(Kbyte数) | なし(デフォルト) |
IPsecの適用対象IPアドレス | 200.100.10.1:1701/udp ←→ 200.100.20.1:1701/udp |
インターネットとの平文通信 | 行わない |
ルーターA(LNS)の設定 |
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY USER=user@isp PASSWORD=isppasswd LQR=OFF BAP=OFF ECHO=ON ↓
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=200.100.10.1 MASK=255.255.255.255 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ADD USER=AAA PASSWORD=PasswordA LOGIN=NO ↓
ADD USER=BBB PASSWORD=PasswordB LOGIN=NO ↓
CREATE PPP TEMPLATE=1 IPPOOL=POOL AUTHENTICATION=EITHER ↓
CREATE IP POOL=POOL IP=192.168.10.20-192.168.10.30 ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=LNS ↓
ADD L2TP PASSWORD=l2tpA ↓
ADD L2TP IP=200.100.20.1 PPPTEMPLATE=1 ↓
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
CREATE ISAKMP POLICY="i" PEER=200.100.20.1 KEY=1 SENDN=TRUE ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
CREATE IPSEC POLICY="L2" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.20.1 ↓
SET IPSEC POLICY="L2" LAD=200.100.10.1 LPORT=1701 RAD=200.100.20.1 RPORT=1701 TRANSPORT=UDP ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
LOGIN secoff ↓
ENABLE SYSTEM SECURITY_MODE ↓
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
メモ |
ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓
まとめ |
ルーターA(LNS)のコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ |
(C) 2003 - 2009 アライドテレシスホールディングス株式会社
PN: J613-M3069-04 Rev.L