<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR550S 設定例集 2.9 #183
PPPoE接続環境における2点間IPsec VPN(両側アドレス固定、SSG550対向)
PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー(以下 ISP)から固定IPアドレスが割り当てられるルーター(ルーターA:ARルーター)と固定IPアドレスが割り当てられているルーター(ルーターB:SSG550)をIPsec(ESP)トンネルで接続します。
ここでは、次のようなネットワーク構成を例に解説します。
ISPからは、次の情報が提供されているものとします。
表 1:ISPの情報
|
ルーターA |
ルーターB |
PPPユーザー名 |
user2@example |
user1@example |
PPPパスワード |
password |
password |
IPアドレス |
200.100.20.1/32(固定) |
10.10.10.1/32(固定) |
DNSサーバー |
接続時に通知される |
接続時に通知される |
ルーターA/Bは以下のように設定するものとします。
表 2:ルーターA/Bの設定
|
ルーターA |
ルーターB |
WAN側IPアドレス |
200.100.20.1/32 |
10.10.10.1/32 |
LAN側IPアドレス |
192.168.20.1/24 |
192.168.10.1/24 |
VPN接続設定 |
ローカルセキュアグループ |
192.168.20.0/24 |
192.168.10.0/24 |
リモートセキュアグループ |
192.168.10.0/24 |
192.168.20.0/24 |
ローカルゲートウェイ |
ppp0 |
ethernet0/2(pppoe) |
リモートゲートウェイ |
10.10.10.1 |
200.100.20.1 |
キープアライブ |
無効 |
IKE設定 |
交換モード |
メイン |
事前共有鍵 |
secret |
暗号化認証アルゴリズム |
3DES & SHA1-DH2 |
ローカルID/リモートID |
なし/なし |
なし/なし |
有効期限 |
1時間 |
1時間 |
IPsec設定 |
暗号化認証アルゴリズム |
ESP 3DES HMAC SHA1 |
PFSグループ |
なし |
本構成における設定のポイントは、次の通りです。
- ルーターA、Bともに固定IPアドレスを持つので、どちらからでも通信が開始できます。
- LAN側の端末からのインターネットへのアクセスは、ルーターA/B共にVPNを介さずに直接ルーティングします。
- ルーターBでは、PPPoE回線に以下の設定を行います。
自動再接続、リトライ10秒
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の 「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY USER=user2@example PASSWORD=password LQR=OFF BAP=OFF ECHO=ON ↓
- IPモジュールを有効にします。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにISPから割り当てられたIPアドレスを設定します。
ADD IP INT=ppp0 IP=200.100.20.1 MASK=255.255.255.255 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
LAN側インターフェース(vlan1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
- 相手ルーターから受信したIKEパケット(UDP500番)がファイアウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=PPP0 PROT=UDP PORT=500 IP=200.100.20.1 GBLIP=200.100.20.1 GBLPORT=500 ↓
- ルーターB宛のパケット(192.168.20.0/24→192.168.10.0/24)をNATの対象から除外するよう設定します。
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254 ↓
- 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.20.1〜192.168.20.254、つまり、自拠点宛ならばNATの対象外とする」の意味になります。
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターBと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した 事前共有鍵(鍵番号「1」)を、PEERにはルーターBのIPアドレスを指定します。
CREATE ISAKMP POLICY="i" PEER=10.10.10.1 KEY=1 SENDN=TRUE ↓
- ルーターBの設定に合わせ、暗号化方式「3DESOUTER」、認証方式「SHA」、ISAKMP SAの有効期限「3600」秒(1時間)、鍵交換時に用いるDiffie-Hellman(Oakley)グループ「2」(1024ビットMODP)に設定します。
SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA EXPIRYS=3600 GROUP=2 ↓
Note
- ルーターBとのIPsec通信を監視し通信障害を検知したい場合は、DPDMODE=BOTHパラメーターを追加してIPsec DPD機能を有効にしてください。
- IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「3DESOUTER」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定し、IPsec SAの有効期限を「3600」秒(1時間)に設定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" EXPIRYS=3600 ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- ルーターBとのIPsec通信に使用するIPsecポリシー「vpn」をPPPインターフェース「0」に対して作成します。
鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.10.10.1 ↓
- IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
- インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
Note
- インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- あらかじめ192.168.1.0/24のサブネット内のIPアドレスを設定したコンピューターを接続して「http://192.168.1.1」をWebブラウザーで開くと、「Rapid Deployment Wizard」メニュー画面が表示されます。
この設定例ではWizardを使用しませんので、[No, skip the Wizard and go straight to the WebUI management session instead.]を選択して[Next >>]をクリックします。
- LOGIN画面が表示されます。ユーザー名とパスワードを入力して[Login]をクリックします。
初期状態でのユーザー名、パスワードは「netscreen」「netscreen」です。
- Main画面が表示されます。
- まず、LAN インターフェースの設定を行います。
画面左のメニューから[Network]-[Interfaces]を選択し、インターフェースリスト画面が表示されたら、「ethernet0/0」の「Edit」をクリックします。
- インターフェース設定画面が表示されます。
以下のようにLAN側インターフェースの設定を変更し、[OK]をクリックします。
[IP Address/Netmask] 192.168.10.1/24
[Manage IP] 初期設定を削除し、空欄に変更
Note
- OKを押すと機器のIPアドレスが変更されるため、設定画面は更新されません。
- コンピューターのIPアドレス設定を「192.168.10.0/24」内のIPアドレスに変更した後、「http://192.168.10.1」をWebブラウザーで開き、再度Main画面を表示させます。
Note
- ルーターBのDHCPサーバー機能は無効になっていますので、コンピューターの設定はご自身で変更してください。
- 次に、WANインターフェースの設定を行います。
画面左のメニューから[Network]-[Interface]を選択し、インターフェースリスト画面が表示されたら、「ethernet0/2」の「Edit」をクリックします。
- インターフェース編集画面が表示されます。
以下のようにWAN側インターフェースの設定を変更したら、[OK]をクリックします。
[IP Address/Netmask] 10.10.10.1/32
[Manageable] 無効(チェックなし)
[Manage IP] 初期設定を削除し、空欄に変更
- 画面左のメニューから[Network]-[PPP]-[PPPoE Profile]を選択し、PPPoEリストが表示されたら画面右上の[New]をクリックします。
- PPPoE Profile編集画面が表示されます。
以下のようにPPPoEの設定を変更したら、[OK]をクリックします。
[PPPoE Instance] ISP-B(任意の名前)
[Bound to Interface] ethernet0/2
[Username] user1@example
[Password] password
[Auto-Connect]を選択し、[Auto-Connect右の入力ボックス]に「10」を入力
[Static IP] 有効(チェックあり)
[Automatic Update of DHCP Servers' DNS Parameters] 無効(チェックなし)
[PPP lcp Echo Retries] 5
[PPP lcp Echo Timeout] 30
- 次に、IPsecで使用するトンネルインターフェース用のゾーンを作成します。
画面左のメニューから[Network]-[Zones]を選択して、ゾーンリスト画面が表示されたら画面右上の[New]をクリックします。
- ゾーン設定編集画面が表示されます。
以下のようにゾーンの設定を変更したら、[OK]をクリックします。
[Zone Name] VPN-ZONE
[Zone Type] Layer 3
- 次に、IPsecで使用するトンネルインターフェースを作成します。
画面左のメニューから[Network]-[Interfaces]を選択し、インターフェースリスト画面が表示されたら、画面右上のリストから[Tunnel IF]を選択して[New]をクリックします。
- インターフェース設定画面が表示されます。
以下のようにトンネルインターフェースの設定を変更したら、[OK]をクリックします。
[Zone (VR)] VPN-ZONE (trust-vr)
[Unnumbered] を選択し、[Interface]で「ethernet0/2 (trust-vr)」を選択
- 次に、ルーターAと通信するためのIPsec Phase 1 Proposal設定を作成します。
画面左のメニューから[VPNs]-[Autokey Advanced]-[P1 Proposal]を選択して、P1 Proposalリスト画面が表示されたら、画面右上の[New]をクリックします。
- P1 Proposal設定画面が表示されます。
以下のようにPhase1 Proposalの設定を変更したら、[OK]をクリックします。
[Name] ar-p1
[Lifetime] 1 Hours
- 次に、ルーターAと通信するためのIPsec Phase 2 Proposal設定を作成します。
画面左のメニューから[VPNs]-[Autokey Advanced]-[P2 Proposal]を選択して、P2 Proposalリスト画面が表示されたら、画面右上の [New]をクリックします。
- P2 Proposal設定画面が表示されます。
以下のようにPhase2 Proposalの設定を変更したら、[OK]をクリックします。
[Name] ar-p2
[Perfect Forward Secrecy] NO-PFS
[Encapsulation] Encryption
[Encapsulation Algorithm] 3DES-CBC
[Authentication Algorithm] SHA-1
[Lifetime] 1 Hours
- 次に、IPsecの接続先の設定を作成します。
画面左のメニューから[VPNs]-[Autokey Advanced]-[Gateway]を選択して、Gatewayリスト画面が表示されたら、画面右上の[New]をクリックします。
- Gateway設定画面が表示されます。
以下のように設定を変更したら、さらに詳細設定を行うために[Advanced]をクリックします。
[Gateway Name] ar-gw
[Remote Gateway]-[Static IP Address] を選択し、[IP Address/Hostname]に「200.100.20.1」を入力
- 詳細設定が表示されます。
以下のように設定を変更したら、画面下部の[Return]をクリックします。
[Preshared Key] secret
[Outgoing Interface] ethernet0/2
[Security Level]で「Custom」を選択し、[Phase 1 Proposal]で「ar-p1」のみを選択、他の3つは「None」
[Mode (Initiator)] Main (ID Protection)
Note
- ルーターAとのIPsec通信を監視し通信障害を検知したい場合は、以下の設定を追加で変更してください。
[Peer Status Detection]で「DPD」を選択
[Interval] 20
[Always Send]を選択
- 手順20.の画面に戻るので、[OK]をクリックします。
- 次に、IPsecトンネルの設定を行います。
画面左のメニューから[VPNs]-[Autokey IKE]を選択して以下の画面が表示されたら、画面右上の [New]をクリックします。
- VPN設定編集画面が表示されます。
以下のように設定を変更したら、さらに詳細設定を行うために[Advanced]をクリックします。
[VPN Name] ar-vpn
[Remote Gateway]−[Predefined] 「ar-gw」を選択
- 詳細設定が表示されます。
以下のように設定を変更したら、画面下部の[Return]をクリックします。
[Security Level]で「Custom」を選択し、[Phase 2 Proposal]で「ar-p2」のみを選択、他の3つは「None」
[Bind-to]-[Tunnel Interface] tunnel.1
- 手順24.の画面に戻るので、[OK]をクリックします。
- IPsecトンネルリスト画面に戻ると、先ほど作成した「ar-vpn」が表示されるので「Proxy ID」をクリックします。
- Proxy ID設定編集画面が表示されます。
以下のように設定を変更したら、[New]をクリックして追加します。
[Local IP/Netmask] 192.168.10.0/24
[Remote IP/Netmask] 192.168.20.0/24
[Service] ANY
- Proxy IDが追加されたら「Cancel」をクリックします。
- 次に、ルーティングについての設定を行います。
画面左のメニューから[Network]-[Routing]-[Destination]を選択して、Routing Entries画面が表示されたら、画面右上の リストから[trust-vr]を選択して[New]をクリックします。
- Routing設定画面が表示されます。
以下のように設定を変更したら、[OK]をクリックします。
[IP Address/Netmask] 192.168.20.0/24
[Next Hop]で「Gateway」を選択し、[Interface]で「tunnel.1」を選択
- 次に、ファイアウォールポリシーの設定を行います。
画面左のメニューから[Policy]-[Policies]を選択して、ポリシーリスト画面を表示します。
まず、LAN→IPsecトンネル方向の設定を行うため、以下のようにFrom/ToのZoneを選択して[New]をクリックします。
[From] Trust
[To] VPN-ZONE
- Policy設定編集画面が表示されるので、[OK]をクリックします。
ここでは「すべて許可」のルールを作成するので、特に設定を変更する必要はありません。
- ポリシーリスト画面が再度表示されるので、引き続きIPsec→LAN方向のファイアウォールポリシーの設定を行います。
以下のようにFrom/ToのZoneを選択して[New]をクリックします。
[From] VPN-ZONE
[To] Trust
- Policy設定編集画面が表示されるので、[OK]をクリックします。
ここでも「すべて許可」のルールを作成するので、特に設定を変更する必要はありません。
- ポリシーリスト画面が再度表示されるので、引き続きIPsec→LAN方向のファイアウォールポリシーの設定を行います。
以下のようにFrom/ToのZoneを選択して[New]をクリックします。
[From] Trust
[To] Untrust
- Policy設定編集画面が表示されるので、[OK]をクリックします。
ここでも「すべて許可」のルールを作成するので、特に設定を変更する必要はありません。
- ポリシーリスト画面が再度表示されます(手順32.〜37.で設定したポリシーが再度表示されます)。
なお、設定情報は、これまでの操作を行なった際に自動的に更新されていますので、保存操作は不要です。
■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。
たとえば、ネットワーク192.168.10.0/24、192.168.20.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。
ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓
ADD USER RSO IP=192.168.20.0 MASK=255.255.255.0 ↓
■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。
■ セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10〜3600(秒)を指定します。デフォルトは60秒です。
SET USER SECUREDELAY=300 ↓
ルーターA(ARルーター)のコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY USER=user2@example PASSWORD=password LQR=OFF BAP=OFF ECHO=ON ↓
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=200.100.20.1 MASK=255.255.255.255 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=PPP0 PROT=UDP PORT=500 IP=200.100.20.1 GBLIP=200.100.20.1 GBLPORT=500 ↓
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254 ↓
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ISAKMP POLICY="i" PEER=10.10.10.1 KEY=1 SENDN=TRUE ↓
SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA EXPIRYS=3600 GROUP=2 ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" EXPIRYS=3600 ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.10.10.1 ↓
SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
CentreCOM AR550S 設定例集 2.9 #183
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-04 Rev.P
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))