<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR550S 設定例集 2.9 #174
ダイナミックDNSサービスを利用したホスト名(FQDN)によるIPsec接続
通常、インターネット VPN を構築する際は、最低1拠点に固定グローバル IP アドレスが必要ですが、ダイナミックDNSサービスを利用すれば、VPNの接続先をIPアドレスではなく、ダイナミックDNSサービスサイトに登録したホスト名(FQDN)で指定できるようになります。これにより、すべての拠点が動的 IP アドレスの場合でも、インターネットVPNを構築することが可能となります。
ダイナミックDNSは、ダイナミックDNSサーバー(以下、サーバー)とダイナミックDNSクライアント(以下、クライアント)で構成されます。この設定例では、サーバーはダイナミックDNSサービス内に存在することを前提にします。クライアントは、ルーターのダイナミックDNSクライアント機能を使用します。
ルーターを始めて起動したとき、ルーターはルーターのWAN情報(IPアドレス、FQDN)をサーバーに登録します。IPアドレスが変わると、ルーターは自動的にサーバーの登録を更新します。IPアドレスの変更がない場合でも、28日(デフォルト)ごとにサーバーの登録を更新します。これにより、サーバーは常にルーターのホスト名に対応する最新のIPアドレスを保持することができます。
Note
- 検証済みダイナミックDNSサービスは弊社ホームページをご確認ください。
Note
- ダイナミックDNSサービスに障害が発生した場合、IPsec VPNの確立が行えない場合があります。信頼性が必要とされるネットワークでは、固定IPアドレス契約の利用をご検討ください。
各拠点は、ISPから次の情報を提供されているものとします。
表 1:ISPから提供された情報
|
ルーターA |
ルーターB |
PPPユーザー名 |
user@ispA |
user@ispB |
PPPパスワード |
isppasswdA |
isppasswdB |
PPPoEサービス名 |
指定なし |
指定なし |
使用できるIPアドレス |
グローバルアドレス1個を接続時に割り当て |
グローバルアドレス1個を接続時に割り当て |
接続形態 |
端末型(アドレス1個不定) |
端末型(アドレス1個不定) |
DNSサーバー |
接続時に通知される |
接続時に通知される |
表 2:ダイナミックDNSサーバー情報
サーバーのFQDN |
members.dyndns.org |
使用TCPポート番号 |
80 |
ルーターで使用するホスト名やサーバーアクセス時のアカウントは、あらかじめダイナミックDNSサーバーにて取得してあるものとします。
表 3:ダイナミックDNSクライアント情報
|
ルーターA |
ルーターB |
サーバー接続用ユーザー名 |
test |
test |
サーバー接続用パスワード |
test |
test |
ホストタイプ |
Dynamic |
Dynamic |
ホスト名 |
test1.dyndns.org |
test2.dyndns.org |
IPアドレスを登録するインターフェース |
ppp0 |
ppp0 |
PC1からPC2への通信が開始されるまでの流れは以下のようになります。
ダイナミックDNSサーバーへのIPアドレス登録までの流れ:
@ ルーターA、Bは、自身のIPアドレス登録先サーバーである members.dyndns.org のIPアドレス情報を知るため、ISP接続時に通知されたDNS サーバー宛に名前解決を行います。
A 解決したIPアドレス宛にアップデートパケット(HTTP)を投げ、自身のIPアドレスをダイナミックDNSサーバーへ登録します。
IPsec通信開始までの流れ:
B PC1→PC2への通信が発生すると、ルーターAのポリシーに設定されている該当Peerアドレス「test2.dyndns.org」の名前解決をするため、ISP接続時に通知されたDNSサーバー宛に問い合わせを行います。
C 名前解決後、取得したIPアドレス情報でIPsecの接続を開始します。
IPsec関連の設定は、次のとおりです。
表 4:IKEフェーズ1(ISAKMP SAのネゴシエーション)
ルーター間の認証方式 |
事前共有鍵(pre-shared key) |
IKE交換モード |
Mainモード |
事前共有鍵 |
secret(文字列) |
Oakleyグループ |
1(デフォルト) |
ISAKMPメッセージの暗号化方式 |
DES(デフォルト) |
ISAKMPメッセージの認証方式 |
SHA1(デフォルト) |
ISAKMP SAの有効期限(時間) |
86400秒(24時間)(デフォルト) |
ISAKMP SAの有効期限(KByte数) |
なし(デフォルト) |
起動時のISAKMPネゴシエーション |
行わない |
表 5:IKEフェーズ2(IPsec SAのネゴシエーション)
SAモード |
トンネルモード |
セキュリティープロトコル |
ESP(暗号化+認証) |
暗号化方式 |
DES |
認証方式 |
SHA1 |
IPsec SAの有効期限(時間) |
28800秒(8時間)(デフォルト) |
IPsec SAの有効期限(KByte数) |
なし(デフォルト) |
トンネリング対象IPアドレス |
192.168.1.0/24 ←→ 192.168.2.0/24 |
トンネル終端アドレス |
test1.dyndns.org(A)・test2.dyndns.org(B) |
インターネットとの平文通信 |
行う |
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISP から通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY USER=user@ispA PASSWORD=isppasswdA LQR=OFF BAP=OFF ECHO=ON IPREQUEST=ON ↓
- IPモジュールを有効にします。
- IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.1.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- DNSリレーを有効にします。
- DNSリレーの中継先を指定します。通常、中継先にはDNSサーバーのアドレスを指定しますが、IPCPによりアドレスを取得するまでは不明であるため、ここではインターフェース名を指定します。
SET IP DNSRELAY INT=ppp0 ↓
- ダイナミックDNSクライアントの機能を有効にします。
- ダイナミックDNSサーバーに登録するホスト名を設定します。
SET DDNS DYNAMICHOST=test1.dyndns.org ↓
- ダイナミックDNSサーバーへアクセスするためのアカウント情報を設定します。
SET DDNS USER=test PASSWORD=test ↓
- 登録したいIPアドレスのインターフェースをppp0に指定します。
SET DDNS PRIMARYINT=ppp0 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
LAN側インターフェース(vlan1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
- 相手ルーターから受信したIKEパケット(UDP500番)がファイアウォールを通過できるように設定します。ISPとの接続が確立するまで、IPアドレスは確定しないため、GBLIP, IPには「0.0.0.0」を設定します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPO=500 GBLIP=0.0.0.0 PO=500 IP=0.0.0.0 ↓
- ローカルLANからリモートLANへのパケットにはNATをかけないように設定します。
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.1.1-192.168.1.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.2.1-192.168.2.254 ↓
- 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.1.1〜192.168.1.254、つまり、ローカル側LANならばNATの対象外とする」の意味になります。
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.1.1-192.168.1.254 ENCAP=IPSEC ↓
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターBと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERにはIPアドレスの代わりに相手ルーターのホスト名(FQDN)を指定します。また、HEARTBEATMODEにBOTHを指定して、ISAKMPハートビートを使用します。
CREATE ISAKMP POLICY="i" PEER=test2.dyndns.org KEY=1 HEARTBEATMODE=BOTH SENDN=TRUE ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- 実際のIPsec通信に使用するIPsecポリシー「vpn」を、PPPインターフェース「0」に対して作成します。
鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスの代わりにホスト名(FQDN)を、BUNDLEにはSAバンドルスペック「1」を指定します。
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=test2.dyndns.org ↓
- IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
SET IPSEC POLICY="vpn" LAD=192.168.1.0 LMA=255.255.255.0 RAD=192.168.2.0 RMA=255.255.255.0 ↓
- インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
Note
- インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISP から通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY USER=user@ispB PASSWORD=isppasswdB LQR=OFF BAP=OFF ECHO=ON IPREQUEST=ON ↓
- IPモジュールを有効にします。
- IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.2.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- DNSリレーを有効にします。
- DNSリレーの中継先を指定します。通常、中継先にはDNSサーバーのアドレスを指定しますが、IPCPによりアドレスを取得するまでは不明であるため、ここではインターフェース名を指定します。
SET IP DNSRELAY INT=ppp0 ↓
- ダイナミックDNSクライアントの機能を有効にします。
- ダイナミックDNSサーバーに登録するホスト名を設定します。
SET DDNS DYNAMICHOST=test2.dyndns.org ↓
- ダイナミックDNSサーバーへアクセスするためのアカウント情報を設定します。
SET DDNS USER=test PASSWORD=test ↓
- 登録したいIPアドレスのインターフェースをppp0に指定します。
SET DDNS PRIMARYINT=ppp0 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
LAN側インターフェース(vlan1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
- 相手ルーターから受信したIKEパケット(UDP500番)がファイアウォールを通過できるように設定します。ISPとの接続が確立するまで、IPアドレスは確定しないため、GBLIP, IPには「0.0.0.0」を設定します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPO=500 GBLIP=0.0.0.0 PO=500 IP=0.0.0.0 ↓
- ローカルLANからリモートLANへのパケットにはNATをかけないように設定します。
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.2.1-192.168.2.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.1.1-192.168.1.254 ↓
- 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.2.1〜192.168.2.254、つまり、ローカル側LANならばNATの対象外とする」の意味になります。
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.2.1-192.168.2.254 ENCAP=IPSEC ↓
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターAと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERにはIPアドレスの代わりに相手ルーターのホスト名(FQDN)を指定します。また、HEARTBEATMODEにBOTHを指定して、ISAKMPハートビートを使用します。
CREATE ISAKMP POLICY="i" PEER=test1.dyndns.org KEY=1 HEARTBEATMODE=BOTH SENDN=TRUE ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- 実際のIPsec通信に使用するIPsecポリシー「vpn」を、PPPインターフェース「0」に対して作成します。
鍵管理方式には「ISAKMP」を、PEERにはルーターAのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。PEERのアドレスにはIPアドレスの代わりに、相手ルーターのホスト名(FQDN)を設定します。
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=test1.dyndns.org ↓
- IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
SET IPSEC POLICY="vpn" LAD=192.168.2.0 LMA=255.255.255.0 RAD=192.168.1.0 RMA=255.255.255.0 ↓
- インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
Note
- インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
■ 複数の端末で同一のVPNクライアント用PPPユーザー名を使用する場合、以下の設定を追加します。
SET PPP TEMPLATE=1 MULTILINK=OFF ↓
ルーターAのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY USER=user@ispA PASSWORD=isppasswdA LQR=OFF BAP=OFF ECHO=ON IPREQUEST=ON ↓
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=vlan1 IP=192.168.1.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE IP DNSRELAY ↓
SET IP DNSRELAY INT=ppp0 ↓
ENABLE DDNS ↓
SET DDNS DYNAMICHOST=test1.dyndns.org ↓
SET DDNS USER=test PASSWORD=test ↓
SET DDNS PRIMARYINT=ppp0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPO=500 GBLIP=0.0.0.0 PO=500 IP=0.0.0.0 ↓
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.1.1-192.168.1.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.2.1-192.168.2.254 ↓
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.1.1-192.168.1.254 ENCAP=IPSEC ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ISAKMP POLICY="i" PEER=test2.dyndns.org KEY=1 HEARTBEATMODE=BOTH SENDN=TRUE ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=test2.dyndns.org ↓
SET IPSEC POLICY="vpn" LAD=192.168.1.0 LMA=255.255.255.0 RAD=192.168.2.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
ルーターBのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY USER=user@ispB PASSWORD=isppasswdB LQR=OFF BAP=OFF ECHO=ON IPREQUEST=ON ↓
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=vlan1 IP=192.168.2.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE IP DNSRELAY ↓
SET IP DNSRELAY INT=ppp0 ↓
ENABLE DDNS ↓
SET DDNS DYNAMICHOST=test2.dyndns.org ↓
SET DDNS USER=test PASSWORD=test ↓
SET DDNS PRIMARYINT=ppp0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPO=500 GBLIP=0.0.0.0 PO=500 IP=0.0.0.0 ↓
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.2.1-192.168.2.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.1.1-192.168.1.254 ↓
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.2.1-192.168.2.254 ENCAP=IPSEC ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ISAKMP POLICY="i" PEER=test1.dyndns.org KEY=1 HEARTBEATMODE=BOTH SENDN=TRUE ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=test1.dyndns.org ↓
SET IPSEC POLICY="vpn" LAD=192.168.2.0 LMA=255.255.255.0 RAD=192.168.1.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
CentreCOM AR550S 設定例集 2.9 #174
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-04 Rev.P
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))