<前頁 次頁> << >> ↓ 目次 (番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細))
CentreCOM AR550S 設定例集 2.9 #105
L2TP + IPsec によるリモートアクセス型 VPN 接続(L2TP LAC および L2TP LNS)の設定です。ここでは、L2TP LNS リモートユーザーからの PPP 接続を PPPoE AC 機能を使用して受け入れた後、LAC・LNS 間の L2TP トンネルを IPsec (ESP) で暗号化し、リモートユーザーからの 通信を LNS へ転送するための設定を示します。
PPPユーザー名 | user@ispA |
PPPパスワード | isppasswdA |
PPPoEサービス名 | 指定なし |
IPアドレス | 192.168.100.100/32(固定) |
PPPユーザー名 | user@ispB |
PPPパスワード | isppasswdB |
PPPoEサービス名 | 指定なし |
IPアドレス | 200.100.11.10/32(固定) |
WAN側物理インターフェース(ISP接続インターフェース) | eth0 |
AC インターフェース(PPPoE クライアント接続インターフェース) | vlan1 |
WAN側(ppp0)IPアドレス(ISP接続インターフェース) | 192.168.100.100/32(固定) |
WAN側物理インターフェース | eth0 |
WAN側(ppp0)IPアドレス | 200.100.11.10/32(固定) |
LAN側(vlan1)IPアドレス | 192.168.5.1/24 |
L2TPサーバーモード | LAC |
L2TPサーバーパスワード | Password! |
L2TPユーザー名 | remote |
L2TPアクション | DATABASE |
L2TPサーバーモード | LNS |
L2TPサーバーパスワード | Password! |
LAC(ルーターB)のアドレス | 200.100.11.10 |
登録ユーザー名 | test@example.com |
登録パスワード | router-b! |
IPアドレスプール | 100.100.10.10〜100.100.10.127 |
ルーター間の認証方式 | 事前共有鍵(pre-shared key) |
IKE交換モード | Mainモード |
事前共有鍵 | secret(文字列) |
Oakleyグループ | 1(デフォルト) |
ISAKMPメッセージの暗号化方式 | DES(デフォルト) |
ISAKMPメッセージの認証方式 | SHA1(デフォルト) |
ISAKMP SAの有効期限(時間) | 86400秒(24時間)(デフォルト) |
ISAKMP SAの有効期限(KByte数) | なし(デフォルト) |
起動時のISAKMPネゴシエーション | 行わない |
SAモード | トランスポートモード |
セキュリティープロトコル | ESP(暗号+認証) |
暗号化方式 | DES |
認証方式 | SHA1 |
IPsec SAの有効期限(時間) | 28800秒(8時間)(デフォルト) |
IPsec SAの有効期限(KByte数) | なし(デフォルト) |
IPsecの適用対象IPアドレス | 200.100.11.10:1701/udp ←→ 192.168.100.100:1701/udp |
インターネットとの平文通信 | 行わない |
ルーターA(LAC)の設定 |
ADD USER=secoff PASS=secoff PRIVILEGE=SECURITYOFFICER ↓
ENABLE L2TP ↓
ENA L2TP SERVER=LAC ↓
ADD L2TP USER=REMOTE ACTION=DATABASE PASS=Password! IP=200.100.11.10 ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF USERNAME="user@ispA" PASSWORD="isppasswdA" LQR=OFF ECHO=ON ↓
CREATE PPP TEMPLATE=1 BAP=OFF AUTHENTICATION=CHAP ↓
ADD PPP ACSERVICE=REMOTE TEMPLATE=1 ACINTERFACE=vlan1 MAXSESSION=2 ↓
ENABLE PPP ACCESSCONCENTRATOR ↓
ENABLE IP ↓
ADD IP INT=ppp0 IP=192.168.100.100 MASK=255.255.255.255 ↓
ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
CREATE ISAKMP POLICY="i" PEER=200.100.11.10 KEY=1 SENDN=TRUE ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.11.10 ↓
SET IPSEC POLICY="vpn" LAD=192.168.100.100 LPORT=1701 RAD=200.100.11.10 RPORT=1701 TRANSPORT=UDP ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
LOGIN SECOFF ↓
ENABLE SYSTEM SECURITY_MODE ↓
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
ルーターB(LNS)の設定 |
ADD USER=secoff PASS=secoff PRIVILEGE=SECURITYOFFICER ↓
ADD USER=test@example.com PASS=router-b! LOGIN=no ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=LNS ↓
ADD L2TP PASSWORD=Password! ↓
CREATE PPP TEMPLATE=1 BAP=OFF MULTI=OFF IPPOOL="POOL" AUTHENTICATION=EITHER ↓
CREATE IP POOL="POOL" IP=100.100.10.10-100.100.10.127 ↓
ADD L2TP IP=0.0.0.0-255.255.255.255 PPPTEMPLATE=1 ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY USER=user@ispB PASSWORD=isppasswdB LQR=OFF BAP=OFF ECHO=ON ↓
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.5.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=200.100.11.10 MASK=255.255.255.255 ↓
ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
CREATE ISAKMP POLICY="i" PEER=192.168.100.100 KEY=1 SENDN=TRUE ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=192.168.100.100 ↓
SET IPSEC POLICY="vpn" LAD=200.100.11.10 LPORT=1701 RAD=192.168.100.100 RPORT=1701 TRANSPORT=UDP ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
LOGIN SECOFF ↓
ENABLE SYSTEM SECURITY_MODE ↓
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
メモ |
ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓
まとめ |
ルーターA(LAC)のコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASS=secoff PRIVILEGE=SECURITYOFFICER ↓ |
ルーターB(LNS)のコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASS=secoff PRIVILEGE=SECURITYOFFICER ↓ |
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-04 Rev.P