<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR550S 設定例集 2.9 #191
PPPoE接続環境における2点間IPsec VPN(ARルーター側アドレス不定、SRX210対向)
PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー(以下 ISP)から動的にIPアドレスが割り当てられるルーター(ルーターA:ARルーター)と固定IPアドレスが割り当てられているルーター(ルーターB:SRX210)をIPsec(ESP)トンネルで接続します。
ここでは、次のようなネットワーク構成を例に解説します。
ISPからは、次の情報が提供されているものとします。
表 1:ISPの情報
|
ルーターA |
ルーターB |
PPPユーザー名 |
user2@example |
user1@example |
PPPパスワード |
password |
password |
IPアドレス |
不定 |
10.10.10.1/32(固定) |
DNSサーバー |
接続時に通知される |
接続時に通知される |
ルーターA/Bは以下のように設定するものとします。
表 2:ルーターA/Bの設定
|
ルーターA |
ルーターB |
WAN側IPアドレス |
自動取得(取得アドレスは不定) |
10.10.10.1/32 |
LAN側IPアドレス |
192.168.20.1/24 |
192.168.10.1/24 |
VPN接続設定 |
ローカルセキュアグループ |
192.168.20.0/24 |
192.168.10.0/24 |
リモートセキュアグループ |
192.168.10.0/24 |
192.168.20.0/24 |
ローカルゲートウェイ |
ppp0 |
ethernet0/0/0(pppoe) |
リモートゲートウェイ |
10.10.10.1 |
ANY |
キープアライブ |
無効 |
IKE設定 |
交換モード |
アグレッシブ |
事前共有鍵 |
secret |
暗号化認証アルゴリズム |
3DES & SHA1-DH2 |
ローカルID/リモートID |
client/なし |
なし/client |
有効期限 |
1時間 |
1時間 |
IPsec設定 |
暗号化認証アルゴリズム |
ESP 3DES HMAC SHA1 |
PFSグループ |
なし |
本構成における設定のポイントは、次の通りです。
- ルーターAのアドレスが不定のため、ルーターBからルーターAに接続することはできません。常にルーターAから接続を開始することになります。
- ルーターAのアドレスが不定なため、IKEフェーズ1ではアグレッシブモードを使い、ルーターAのローカルIDとして文字列(名前)を使用します。
- LAN側の端末からのインターネットへのアクセスは、ルーターA/B共にVPNを介さずに直接ルーティングします。
- ルーターBでは、PPPoE回線に以下の設定を行います。
自動再接続、リトライ10秒
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY USER=user2@example PASSWORD=password LQR=OFF BAP=OFF IPREQUEST=ON ECHO=ON ↓
- IPモジュールを有効にします。
- IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
LAN側インターフェース(vlan1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
- 相手ルーターから受信したIKEパケット(UDP500番)がファイアウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=PPP0 PROT=UDP PORT=500 ↓
- ルーターB宛のパケット(192.168.20.0/24→192.168.10.0/24)をNATの対象から除外するよう設定します。
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254 ↓
- 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.20.1〜192.168.20.254、つまり、自拠点宛ならばNATの対象外とする」の意味になります。
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターBと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERにはルーターBのIPアドレスを指定します。また、自分のアドレスが不定なため、LOCALIDで自分の認証IDを指定し、「MODE=AGGRESSIVE」でAggressiveモードを使うよう設定します。
CREATE ISAKMP POLICY="i" PEER=10.10.10.1 KEY=1 SENDN=TRUE LOCALID="client" MODE=AGGRESSIVE ↓
Note
- ルーターBとのIPsec通信を監視し通信障害を検知したい場合は、DPDMODEパラメーターを追加してIPsec DPD機能を有効にしてください。
- ルーターBの設定に合わせ、暗号化方式「3DESOUTER」、認証方式「SHA」、ISAKMP SAの有効期限「3600」秒(1時間)、鍵交換時に用いるDiffie-Hellman(Oakley)グループ「2」(1024ビットMODP)に設定します。
SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA EXPIRYS=3600 GROUP=2 ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「3DESOUTER」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定し、IPsec SAの有効期限を「3600」秒(1時間)に設定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" EXPIRYS=3600 ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- ルーターBとのIPsec通信に使用するIPsecポリシー「vpn」をPPPインターフェース「0」に対して作成します。
鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.10.10.1 ↓
- IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
- インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
Note
- インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- 初期状態でのユーザー名、「root」でログインします。(パスワードは必要ありません。)
- 動作モードをオペレーショナルモードに切り替えた後、動作モードをコンフィグレーションモードに切り替えます。
rout@% cli ↓
root> configure ↓
Note
- コンフィグレーションモードで設定したコンフィグは「Candidate Config(候補設定)」に保存されるだけであり、運用中の設定「Active Config」に保存されるわけではありません。「Candidate Config」の設定を「Active Config」に反映するには、最後に「commit」コマンドを使用します。
- 初期設定を削除します。
- ユーザー名、「root」のパスワードを設定します。パスワードは「PasswordS」とします。なお、入力したパスワードはコンソール上には表示されません。
root# set system root-authentication plain-text-password ↓
New password: PasswordS ↓
Retype new password: PasswordS ↓
Note
- 本設定を行わないと「Candidate Config」を「Active Config」に反映する「commit」コマンドが使用できません。
- LAN側インターフェース(ge-0/0/1.0)にIPアドレスを設定します。
root# set interfaces ge-0/0/1 unit 0 family inet address 192.168.10.1/24 ↓
- WAN側Ethernetインターフェース(ge-0/0/0.0)上にてPPPoEを使用するよう設定します。
root# set interfaces ge-0/0/0 unit 0 encapsulation ppp-over-ether ↓
- PPPoEインターフェース(pp0.0)上にISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。またPPPoEを使用するインターフェース(ge-0/0/0.0)を指定し、再接続時には10秒間の待ち時間を指定します。
root# set interfaces pp0 unit 0 ppp-options chap local-name user1@example default-chap-secret password passive ↓
root# set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/0.0 auto-reconnect 10 client ↓
root# set interfaces pp0 unit 0 family inet negotiate-address ↓
- デフォルトルートを設定します。
root# set routing-options static route 0.0.0.0/0 next-hop pp0.0 ↓
- ファイアウォールの適用対象となるインターフェースを指定します。
LAN側インターフェース(ge-0/0/1.0)をセキュリティーゾーンTRUST(内部)に設定します。
root# set security zones security-zone trust interfaces ge-0/0/1.0 ↓
WAN側インターフェース(pp0.0)をセキュリティーゾーンUNTRUST(外部)に設定します。
root# set security zones security-zone untrust interfaces pp0.0 ↓
- 各セキュリティーゾーンに管理アクセスを設定します。
セキュリティーゾーンTRUST(内部)では、全てのサービスを許可するように設定します。
root# set security zones security-zone trust host-inbound-traffic system-services all ↓
セキュリティーゾーンUNTRUST(外部)では、PING及びISAKMPのみ許可するように設定します。
root# set security zones security-zone untrust host-inbound-traffic system-services ping ↓
root# set security zones security-zone untrust host-inbound-traffic system-services ike ↓
- LAN側ネットワークに接続されているすべてのコンピューターがNAT機能を使用できるよう設定します。グローバルアドレスには、pp0.0のIPアドレスを使用します。
root# edit security nat source rule-set TrustToUntrust ↓
root# set from zone trust ↓
root# set to zone untrust ↓
root# set rule match1 match source-address 0.0.0.0/0 ↓
root# set rule match1 then source-nat interface ↓
root# top ↓
- セキュリティーゾーンでアドレスブックを作成します。
Trust-zoneに「192.168.10.0/24」のアドレスと「192.168.20.0/24」のアドレスを登録します。
root# set security zones security-zone trust address-book address net10 192.168.10.0/24 ↓
root# set security zones security-zone trust address-book address net20 192.168.20.0/24 ↓
- IPsecで使用するトンネルインターフェースを作成します。また、トンネルインターフェースをTrust-zoneに割り当てます。
root# set interfaces st0 unit 0 family inet ↓
root# set security zones security-zone trust interfaces st0.0 ↓
- VPNの設定を行っていきます。まず、不正なSPIを検知する設定をします。
root# set security ike respond-bad-spi 5 ↓
- Phase 1で提案するISAKMPのProposal設定「ar-p1」を作成します。
IKEの認証方式に「事前共有鍵(pre-shared key)」を設定し、暗号化方式「3DES-CBC」、認証方式「SHA1」、ISAKMP SAの有効期限「3600」秒(1時間)、鍵交換時に用いるDiffie-Hellman(Oakley)グループ「2」(1024ビットMODP)に設定します。
root# set security ike proposal ar-p1 authentication-method pre-shared-keys ↓
root# set security ike proposal ar-p1 dh-group group2 ↓
root# set security ike proposal ar-p1 encryption-algorithm 3des-cbc ↓
root# set security ike proposal ar-p1 authentication-algorithm sha1 ↓
root# set security ike proposal ar-p1 lifetime-seconds 3600 ↓
- Phase 2で提案するIPsecのProposal設定「ar-p2」を作成します。
プロトコル「ESP」、暗号化方式「3DES-CBC」、認証方式「HMAC-SHA1-96」、ISAKMP SAの有効期限「3600」秒(1時間)に設定します。
root# set security ipsec proposal ar-p2 protocol esp ↓
root# set security ipsec proposal ar-p2 encryption-algorithm 3des-cbc ↓
root# set security ipsec proposal ar-p2 authentication-algorithm hmac-sha1-96 ↓
root# set security ipsec proposal ar-p2 lifetime-seconds 3600 ↓
- ルーターAとのIKEネゴシエーション要求を受け入れるPhase 1のPolicy設定「p1-policy」を作成します。相手のアドレスが不定なため、Aggressiveモードを使うよう設定し、前の手順で作成したPhase 1 Proposal設定「ar-p1」を使うよう設定します。また、事前共有鍵(pre-shared key)の値は「secret」という文字列で指定します(ルーターAと同じに設定)
root# set security ike policy p1-policy mode aggressive ↓
root# set security ike policy p1-policy proposals ar-p1 ↓
root# set security ike policy p1-policy pre-shared-key ascii-text secret ↓
- Phase 2のpolicy設定「p2-policy」を作成します。前の手順で作成したPhase 2 Proposal設定「ar-p2」を使うよう設定します。
root# set security ipsec policy p2-policy proposals ar-p2 ↓
- IPsecの接続先の設定「ar-gw」を作成します。
Phase 1ポリシーには前の手順で作成した「p1-policy」を使うよう設定します。ルーターAのIPアドレスが不定なためdynamicを指定し、HOSTNAMEで相手の認証IDを指定します。また、VPN接続を行うインターフェースを指定します。
root# set security ike gateway ar-gw ike-policy p1-policy ↓
root# set security ike gateway ar-gw dynamic hostname client ↓
root# set security ike gateway ar-gw external-interface pp0.0 ↓
Note
- ルーターAとのIPsec通信を監視し通信障害を検知したい場合は、以下の設定を追加しIPsec DPD機能を有効にしてください。
root# set security ike gateway ar-gw dead-peer-detection always-send interval 20 threshold 5 ↓
- これまでに設定したVPN設定を纏める設定「ar-vpn」を作成します。ルーターAとの接続に関する設定「ar-gw」を割り当て、Phase 2 Policyには、前の手順で作成した「p2-policy」を使うよう設定します。また、設定後、即座にVPN接続を開始するようにします。
root# set security ipsec vpn ar-vpn ike gateway ar-gw ↓
root# set security ipsec vpn ar-vpn ike ipsec-policy p2-policy ↓
root# set security ipsec vpn ar-vpn establish-tunnels immediately ↓
- 次に、IPsecトンネルを割り当て、Proxy-idを設定します。
root# set security ipsec vpn ar-vpn bind-interface st0.0 ↓
root# set security ipsec vpn ar-vpn ike proxy-identity local 192.168.10.0/24 ↓
root# set security ipsec vpn ar-vpn ike proxy-identity remote 192.168.20.0/24 ↓
root# set security ipsec vpn ar-vpn ike proxy-identity service any ↓
- 次に、IPsec通信を行うIPアドレスの範囲を指定します。
Trust-zone:192.168.10.0/24からTrust-zone:192.168.20.0/24へのすべての通信を許可する設定をします。
root# edit security policies from-zone trust to-zone trust policy vpn-policy ↓
root# set match source-address net10 ↓
root# set match destination-address net20 ↓
root# set match application any ↓
root# set then permit ↓
root# top ↓
Trust-zone:192.168.20.0/24からTrust-zone:192.168.10.0/24へのすべての通信を許可する設定をします。
root# edit security policies from-zone trust to-zone trust policy vpn-policy-re ↓
root# set match source-address net20 ↓
root# set match destination-address net10 ↓
root# set match application any ↓
root# set then permit ↓
root# top ↓
- 192.168.20.0/24ネットワーク宛の通信をトンネルインターフェース経由で行うために、ルーティングについての設定を行います。
root# set routing-options static route 192.168.20.0/24 next-hop st0.0 ↓
- 最後に、入力した全てのコンフィグを運用中のコンフィグに反映させます。
■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。
たとえば、ネットワーク192.168.10.0/24、192.168.20.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。
ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓
ADD USER RSO IP=192.168.20.0 MASK=255.255.255.0 ↓
■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。
■ セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10〜3600(秒)を指定します。デフォルトは60秒です。
SET USER SECUREDELAY=300 ↓
ルーターA(ARルーター)のコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY USER=user2@example PASSWORD=password LQR=OFF BAP=OFF IPREQUEST=ON ECHO=ON ↓
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=PPP0 PROT=UDP PORT=500 ↓
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254 ↓
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ISAKMP POLICY="i" PEER=10.10.10.1 KEY=1 SENDN=TRUE LOCALID="client" MODE=AGGRESSIVE ↓
SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA EXPIRYS=3600 GROUP=2 ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" EXPIRYS=3600 ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.10.10.1 ↓
SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
ルーターB(SRX210)のコンフィグ
[テキスト版]
rout@% cli ↓
root> configure ↓
root# delete ↓
root# set system root-authentication plain-text-password ↓
New password: PasswordS ↓
Retype new password: PasswordS ↓
root# set interfaces ge-0/0/1 unit 0 family inet address 192.168.10.1/24 ↓
root# set interfaces ge-0/0/0 unit 0 encapsulation ppp-over-ether ↓
root# set interfaces pp0 unit 0 ppp-options chap local-name user1@example default-chap-secret password passive ↓
root# set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/0.0 auto-reconnect 10 client ↓
root# set interfaces pp0 unit 0 family inet negotiate-address ↓
root# set routing-options static route 0.0.0.0/0 next-hop pp0.0 ↓
root# set security zones security-zone trust interfaces ge-0/0/1.0 ↓
root# set security zones security-zone untrust interfaces pp0.0 ↓
root# set security zones security-zone trust host-inbound-traffic system-services all ↓
root# set security zones security-zone untrust host-inbound-traffic system-services ping ↓
root# set security zones security-zone untrust host-inbound-traffic system-services ike ↓
root# edit security nat source rule-set TrustToUntrust ↓
root# set from zone trust ↓
root# set to zone untrust ↓
root# set rule match1 match source-address 0.0.0.0/0 ↓
root# set rule match1 then source-nat interface ↓
root# top ↓
root# set security zones security-zone trust address-book address net10 192.168.10.0/24 ↓
root# set security zones security-zone trust address-book address net20 192.168.20.0/24 ↓
root# set interfaces st0 unit 0 family inet ↓
root# set security zones security-zone trust interfaces st0.0 ↓
root# set security ike respond-bad-spi 5 ↓
root# set security ike proposal ar-p1 authentication-method pre-shared-keys ↓
root# set security ike proposal ar-p1 dh-group group2 ↓
root# set security ike proposal ar-p1 encryption-algorithm 3des-cbc ↓
root# set security ike proposal ar-p1 authentication-algorithm sha1 ↓
root# set security ike proposal ar-p1 lifetime-seconds 3600 ↓
root# set security ipsec proposal ar-p2 protocol esp ↓
root# set security ipsec proposal ar-p2 encryption-algorithm 3des-cbc ↓
root# set security ipsec proposal ar-p2 authentication-algorithm hmac-sha1-96 ↓
root# set security ipsec proposal ar-p2 lifetime-seconds 3600 ↓
root# set security ike policy p1-policy mode aggressive ↓
root# set security ike policy p1-policy proposals ar-p1 ↓
root# set security ike policy p1-policy pre-shared-key ascii-text secret ↓
root# set security ipsec policy p2-policy proposals ar-p2 ↓
root# set security ike gateway ar-gw ike-policy p1-policy ↓
root# set security ike gateway ar-gw dynamic hostname client ↓
root# set security ike gateway ar-gw external-interface pp0.0 ↓
root# set security ike gateway ar-gw dead-peer-detection always-send interval 20 threshold 5 ↓
root# set security ipsec vpn ar-vpn ike gateway ar-gw ↓
root# set security ipsec vpn ar-vpn ike ipsec-policy p2-policy ↓
root# set security ipsec vpn ar-vpn establish-tunnels immediately ↓
root# set security ipsec vpn ar-vpn bind-interface st0.0 ↓
root# set security ipsec vpn ar-vpn ike proxy-identity local 192.168.10.0/24 ↓
root# set security ipsec vpn ar-vpn ike proxy-identity remote 192.168.20.0/24 ↓
root# set security ipsec vpn ar-vpn ike proxy-identity service any ↓
root# edit security policies from-zone trust to-zone trust policy vpn-policy ↓
root# set match source-address net10 ↓
root# set match destination-address net20 ↓
root# set match application any ↓
root# set then permit ↓
root# top ↓
root# edit security policies from-zone trust to-zone trust policy vpn-policy-re ↓
root# set match source-address net20 ↓
root# set match destination-address net10 ↓
root# set match application any ↓
root# set then permit ↓
root# top ↓
root# set routing-options static route 192.168.20.0/24 next-hop st0.0 ↓
root# commit ↓
|
CentreCOM AR550S 設定例集 2.9 #191
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-04 Rev.P
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))