<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR550S 設定例集 2.9 #191

PPPoE接続環境における2点間IPsec VPN(ARルーター側アドレス不定、SRX210対向)


PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー(以下 ISP)から動的にIPアドレスが割り当てられるルーター(ルーターA:ARルーター)と固定IPアドレスが割り当てられているルーター(ルーターB:SRX210)をIPsec(ESP)トンネルで接続します。

ここでは、次のようなネットワーク構成を例に解説します。

ISPからは、次の情報が提供されているものとします。

表 1:ISPの情報
 
ルーターA
ルーターB
PPPユーザー名 user2@example user1@example
PPPパスワード password password
IPアドレス 不定 10.10.10.1/32(固定)
DNSサーバー 接続時に通知される 接続時に通知される

ルーターA/Bは以下のように設定するものとします。

表 2:ルーターA/Bの設定
 
ルーターA
ルーターB
WAN側IPアドレス 自動取得(取得アドレスは不定) 10.10.10.1/32
LAN側IPアドレス 192.168.20.1/24 192.168.10.1/24
VPN接続設定
ローカルセキュアグループ 192.168.20.0/24 192.168.10.0/24
リモートセキュアグループ 192.168.10.0/24 192.168.20.0/24
ローカルゲートウェイ ppp0 ethernet0/0/0(pppoe)
リモートゲートウェイ 10.10.10.1 ANY
キープアライブ 無効
IKE設定
交換モード アグレッシブ
事前共有鍵 secret
暗号化認証アルゴリズム 3DES & SHA1-DH2
ローカルID/リモートID client/なし なし/client
有効期限 1時間 1時間
IPsec設定
暗号化認証アルゴリズム ESP 3DES HMAC SHA1
PFSグループ なし

本構成における設定のポイントは、次の通りです。

ルーターA(ARルーター)の設定

  1. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。

    Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。

  2. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  3. ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


  4. IPモジュールを有効にします。


  5. IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。


  6. LAN側(vlan1)インターフェースにIPアドレスを設定します。


  7. WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません。


  8. デフォルトルートを設定します。


  9. ファイアウォール機能を有効にします。


  10. ファイアウォールの動作を規定するファイアウォールポリシーを作成します。


  11. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。

    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

  12. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。


  13. ファイアウォールポリシーの適用対象となるインターフェースを指定します。
    LAN側インターフェース(vlan1)をPRIVATE(内部)に設定します。


    WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。


  14. LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。


  15. 相手ルーターから受信したIKEパケット(UDP500番)がファイアウォールを通過できるように設定します。


  16. ルーターB宛のパケット(192.168.20.0/24→192.168.10.0/24)をNATの対象から除外するよう設定します。


  17. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.20.1〜192.168.20.254、つまり、自拠点宛ならばNATの対象外とする」の意味になります。


  18. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターBと同じに設定)。


    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。

    Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。

  19. ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERにはルーターBのIPアドレスを指定します。また、自分のアドレスが不定なため、LOCALIDで自分の認証IDを指定し、「MODE=AGGRESSIVE」でAggressiveモードを使うよう設定します。


    Note - ルーターBとのIPsec通信を監視し通信障害を検知したい場合は、DPDMODEパラメーターを追加してIPsec DPD機能を有効にしてください。

  20. ルーターBの設定に合わせ、暗号化方式「3DESOUTER」、認証方式「SHA」、ISAKMP SAの有効期限「3600」秒(1時間)、鍵交換時に用いるDiffie-Hellman(Oakley)グループ「2」(1024ビットMODP)に設定します。


  21. IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「3DESOUTER」、認証方式「SHA」に設定します。


  22. SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定し、IPsec SAの有効期限を「3600」秒(1時間)に設定します。


  23. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。

    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

  24. ルーターBとのIPsec通信に使用するIPsecポリシー「vpn」をPPPインターフェース「0」に対して作成します。
    鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。


  25. IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。


  26. インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。

    Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。

  27. IPsecモジュールを有効にします。


  28. ISAKMPモジュールを有効にします。


  29. Security Officerレベルのユーザーでログインしなおします。


  30. 動作モードをセキュリティーモードに切り替えます。

    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。

  31. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

ルーターB(SRX210)の設定

  1. 初期状態でのユーザー名、「root」でログインします。(パスワードは必要ありません。)

  2. 動作モードをオペレーショナルモードに切り替えた後、動作モードをコンフィグレーションモードに切り替えます。


    Note - コンフィグレーションモードで設定したコンフィグは「Candidate Config(候補設定)」に保存されるだけであり、運用中の設定「Active Config」に保存されるわけではありません。「Candidate Config」の設定を「Active Config」に反映するには、最後に「commit」コマンドを使用します。

  3. 初期設定を削除します。


  4. ユーザー名、「root」のパスワードを設定します。パスワードは「PasswordS」とします。なお、入力したパスワードはコンソール上には表示されません。


    Note - 本設定を行わないと「Candidate Config」を「Active Config」に反映する「commit」コマンドが使用できません。

  5. LAN側インターフェース(ge-0/0/1.0)にIPアドレスを設定します。


  6. WAN側Ethernetインターフェース(ge-0/0/0.0)上にてPPPoEを使用するよう設定します。


  7. PPPoEインターフェース(pp0.0)上にISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。またPPPoEを使用するインターフェース(ge-0/0/0.0)を指定し、再接続時には10秒間の待ち時間を指定します。


  8. デフォルトルートを設定します。


  9. ファイアウォールの適用対象となるインターフェースを指定します。
    LAN側インターフェース(ge-0/0/1.0)をセキュリティーゾーンTRUST(内部)に設定します。


    WAN側インターフェース(pp0.0)をセキュリティーゾーンUNTRUST(外部)に設定します。


  10. 各セキュリティーゾーンに管理アクセスを設定します。
    セキュリティーゾーンTRUST(内部)では、全てのサービスを許可するように設定します。


    セキュリティーゾーンUNTRUST(外部)では、PING及びISAKMPのみ許可するように設定します。


  11. LAN側ネットワークに接続されているすべてのコンピューターがNAT機能を使用できるよう設定します。グローバルアドレスには、pp0.0のIPアドレスを使用します。


  12. セキュリティーゾーンでアドレスブックを作成します。
    Trust-zoneに「192.168.10.0/24」のアドレスと「192.168.20.0/24」のアドレスを登録します。


  13. IPsecで使用するトンネルインターフェースを作成します。また、トンネルインターフェースをTrust-zoneに割り当てます。


  14. VPNの設定を行っていきます。まず、不正なSPIを検知する設定をします。


  15. Phase 1で提案するISAKMPのProposal設定「ar-p1」を作成します。
    IKEの認証方式に「事前共有鍵(pre-shared key)」を設定し、暗号化方式「3DES-CBC」、認証方式「SHA1」、ISAKMP SAの有効期限「3600」秒(1時間)、鍵交換時に用いるDiffie-Hellman(Oakley)グループ「2」(1024ビットMODP)に設定します。


  16. Phase 2で提案するIPsecのProposal設定「ar-p2」を作成します。
    プロトコル「ESP」、暗号化方式「3DES-CBC」、認証方式「HMAC-SHA1-96」、ISAKMP SAの有効期限「3600」秒(1時間)に設定します。


  17. ルーターAとのIKEネゴシエーション要求を受け入れるPhase 1のPolicy設定「p1-policy」を作成します。相手のアドレスが不定なため、Aggressiveモードを使うよう設定し、前の手順で作成したPhase 1 Proposal設定「ar-p1」を使うよう設定します。また、事前共有鍵(pre-shared key)の値は「secret」という文字列で指定します(ルーターAと同じに設定)


  18. Phase 2のpolicy設定「p2-policy」を作成します。前の手順で作成したPhase 2 Proposal設定「ar-p2」を使うよう設定します。


  19. IPsecの接続先の設定「ar-gw」を作成します。
    Phase 1ポリシーには前の手順で作成した「p1-policy」を使うよう設定します。ルーターAのIPアドレスが不定なためdynamicを指定し、HOSTNAMEで相手の認証IDを指定します。また、VPN接続を行うインターフェースを指定します。

    Note - ルーターAとのIPsec通信を監視し通信障害を検知したい場合は、以下の設定を追加しIPsec DPD機能を有効にしてください。


  20. これまでに設定したVPN設定を纏める設定「ar-vpn」を作成します。ルーターAとの接続に関する設定「ar-gw」を割り当て、Phase 2 Policyには、前の手順で作成した「p2-policy」を使うよう設定します。また、設定後、即座にVPN接続を開始するようにします。


  21. 次に、IPsecトンネルを割り当て、Proxy-idを設定します。


  22. 次に、IPsec通信を行うIPアドレスの範囲を指定します。
    Trust-zone:192.168.10.0/24からTrust-zone:192.168.20.0/24へのすべての通信を許可する設定をします。


    Trust-zone:192.168.20.0/24からTrust-zone:192.168.10.0/24へのすべての通信を許可する設定をします。


  23. 192.168.20.0/24ネットワーク宛の通信をトンネルインターフェース経由で行うために、ルーティングについての設定を行います。


  24. 最後に、入力した全てのコンフィグを運用中のコンフィグに反映させます。


メモ

■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。
たとえば、ネットワーク192.168.10.0/24、192.168.20.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。


■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。

■ セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10〜3600(秒)を指定します。デフォルトは60秒です。

まとめ

ルーターA(ARルーター)のコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 OVER=eth0-ANY USER=user2@example PASSWORD=password LQR=OFF BAP=OFF IPREQUEST=ON ECHO=ON
ENABLE IP
ENABLE IP REMOTEASSIGN
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0
ADD IP INT=ppp0 IP=0.0.0.0
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=PPP0 PROT=UDP PORT=500
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.20.1-192.168.20.254
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
CREATE ISAKMP POLICY="i" PEER=10.10.10.1 KEY=1 SENDN=TRUE LOCALID="client" MODE=AGGRESSIVE
SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA EXPIRYS=3600 GROUP=2
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" EXPIRYS=3600
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.10.10.1
SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT
ENABLE IPSEC
ENABLE ISAKMP
# LOGIN secoff
# ENABLE SYSTEM SECURITY_MODE


ルーターB(SRX210)のコンフィグ [テキスト版]
rout@% cli
root> configure
root# delete
root# set system root-authentication plain-text-password
New password: PasswordS
Retype new password: PasswordS
root# set interfaces ge-0/0/1 unit 0 family inet address 192.168.10.1/24
root# set interfaces ge-0/0/0 unit 0 encapsulation ppp-over-ether
root# set interfaces pp0 unit 0 ppp-options chap local-name user1@example default-chap-secret password passive
root# set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/0.0 auto-reconnect 10 client
root# set interfaces pp0 unit 0 family inet negotiate-address
root# set routing-options static route 0.0.0.0/0 next-hop pp0.0
root# set security zones security-zone trust interfaces ge-0/0/1.0
root# set security zones security-zone untrust interfaces pp0.0
root# set security zones security-zone trust host-inbound-traffic system-services all
root# set security zones security-zone untrust host-inbound-traffic system-services ping
root# set security zones security-zone untrust host-inbound-traffic system-services ike
root# edit security nat source rule-set TrustToUntrust
root# set from zone trust
root# set to zone untrust
root# set rule match1 match source-address 0.0.0.0/0
root# set rule match1 then source-nat interface
root# top
root# set security zones security-zone trust address-book address net10 192.168.10.0/24
root# set security zones security-zone trust address-book address net20 192.168.20.0/24
root# set interfaces st0 unit 0 family inet
root# set security zones security-zone trust interfaces st0.0
root# set security ike respond-bad-spi 5
root# set security ike proposal ar-p1 authentication-method pre-shared-keys
root# set security ike proposal ar-p1 dh-group group2
root# set security ike proposal ar-p1 encryption-algorithm 3des-cbc
root# set security ike proposal ar-p1 authentication-algorithm sha1
root# set security ike proposal ar-p1 lifetime-seconds 3600
root# set security ipsec proposal ar-p2 protocol esp
root# set security ipsec proposal ar-p2 encryption-algorithm 3des-cbc
root# set security ipsec proposal ar-p2 authentication-algorithm hmac-sha1-96
root# set security ipsec proposal ar-p2 lifetime-seconds 3600
root# set security ike policy p1-policy mode aggressive
root# set security ike policy p1-policy proposals ar-p1
root# set security ike policy p1-policy pre-shared-key ascii-text secret
root# set security ipsec policy p2-policy proposals ar-p2
root# set security ike gateway ar-gw ike-policy p1-policy
root# set security ike gateway ar-gw dynamic hostname client
root# set security ike gateway ar-gw external-interface pp0.0
root# set security ike gateway ar-gw dead-peer-detection always-send interval 20 threshold 5
root# set security ipsec vpn ar-vpn ike gateway ar-gw
root# set security ipsec vpn ar-vpn ike ipsec-policy p2-policy
root# set security ipsec vpn ar-vpn establish-tunnels immediately
root# set security ipsec vpn ar-vpn bind-interface st0.0
root# set security ipsec vpn ar-vpn ike proxy-identity local 192.168.10.0/24
root# set security ipsec vpn ar-vpn ike proxy-identity remote 192.168.20.0/24
root# set security ipsec vpn ar-vpn ike proxy-identity service any
root# edit security policies from-zone trust to-zone trust policy vpn-policy
root# set match source-address net10
root# set match destination-address net20
root# set match application any
root# set then permit
root# top
root# edit security policies from-zone trust to-zone trust policy vpn-policy-re
root# set match source-address net20
root# set match destination-address net10
root# set match application any
root# set then permit
root# top
root# set routing-options static route 192.168.20.0/24 next-hop st0.0
root# commit





CentreCOM AR550S 設定例集 2.9 #191

(C) 2005-2014 アライドテレシスホールディングス株式会社

PN: J613-M0710-04 Rev.P

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)