<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR570S 設定例集 2.9 #105
L2TP+IPsecによるリモートアクセス型VPN(LNS/LAC)
L2TP + IPsec によるリモートアクセス型 VPN 接続(L2TP LAC および L2TP LNS)の設定です。ここでは、L2TP LNS リモートユーザーからの PPP 接続を PPPoE AC 機能を使用して受け入れた後、LAC・LNS 間の L2TP トンネルを IPsec (ESP) で暗号化し、リモートユーザーからの 通信を LNS へ転送するための設定を示します。
ルーターA は ISP から次の情報を提供されているものとします。
表 1:ルーターA に対してISPから提供された情報
| PPPユーザー名 |
user@ispA |
| PPPパスワード |
isppasswdA |
| PPPoEサービス名 |
指定なし |
| IPアドレス |
192.168.100.100/32(固定) |
表 2:ルーターB に対してISPから提供された情報
| PPPユーザー名 |
user@ispB |
| PPPパスワード |
isppasswdB |
| PPPoEサービス名 |
指定なし |
| IPアドレス |
200.100.11.10/32(固定) |
表 3:ルーターAの基本設定
| WAN側物理インターフェース(ISP接続インターフェース) |
eth0 |
| AC インターフェース(PPPoE クライアント接続インターフェース) |
vlan1 |
| WAN側(ppp0)IPアドレス(ISP接続インターフェース) |
192.168.100.100/32(固定) |
表 4:ルーターBの基本設定
| WAN側物理インターフェース |
eth0 |
| WAN側(ppp0)IPアドレス |
200.100.11.10/32(固定) |
| LAN側(vlan1)IPアドレス |
192.168.5.1/24 |
L2TP関連の設定項目は次のとおりです。ルーターAはLACとして動作し、リモートユーザー(PC-1 または PC-2)からの認証パケットを受信すると、ルーターB(LNS) との間で L2TP接続を開始します。
L2TP確立後、再度、リモートユーザーとルーターB間でPPPネゴシエーションが開始されます。
この時、ルーターA(LAC)はリモートユーザーからのPPPパケットをルーターB(LNS)へ転送します。
同様に、ルーターB(LNS) からのPPPパケットはリモートユーザーへ転送します。
表 5:ルーターA(LAC)のL2TP設定
| L2TPサーバーモード |
LAC |
| L2TPサーバーパスワード |
Password! |
| L2TPユーザー名 |
remote |
| L2TPアクション |
DATABASE |
表 6:ルーターB(LNS)のL2TP設定
| L2TPサーバーモード |
LNS |
| L2TPサーバーパスワード |
Password! |
| LAC(ルーターB)のアドレス |
200.100.11.10 |
| 登録ユーザー名 |
test@example.com |
| 登録パスワード |
router-b! |
| IPアドレスプール |
100.100.10.10〜100.100.10.127 |
本設定例ではさらに、L2TP LAC・LNS 間のL2TPパケットをIPsecで暗号化します。IPsec関連の設定は次のとおりです。トランスポートモードを使用し、LAC・LNS 間の L2TPパケットのみを暗号化します。
表 7:IKEフェーズ1(ISAKMP SAのネゴシエーション)
| ルーター間の認証方式 |
事前共有鍵(pre-shared key) |
| IKE交換モード |
Mainモード |
| 事前共有鍵 |
secret(文字列) |
| Oakleyグループ |
1(デフォルト) |
| ISAKMPメッセージの暗号化方式 |
DES(デフォルト) |
| ISAKMPメッセージの認証方式 |
SHA1(デフォルト) |
| ISAKMP SAの有効期限(時間) |
86400秒(24時間)(デフォルト) |
| ISAKMP SAの有効期限(KByte数) |
なし(デフォルト) |
| 起動時のISAKMPネゴシエーション |
行わない |
表 8:IKEフェーズ2(IPsec SAのネゴシエーション)
| SAモード |
トランスポートモード |
| セキュリティープロトコル |
ESP(暗号+認証) |
| 暗号化方式 |
DES |
| 認証方式 |
SHA1 |
| IPsec SAの有効期限(時間) |
28800秒(8時間)(デフォルト) |
| IPsec SAの有効期限(KByte数) |
なし(デフォルト) |
| IPsecの適用対象IPアドレス |
200.100.11.10:1701/udp ←→ 192.168.100.100:1701/udp |
| インターネットとの平文通信 |
行わない |
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「secoff」とします。
ADD USER=secoff PASS=secoff PRIVILEGE=SECURITYOFFICER ↓
- L2TPモジュールを有効にします。
- L2TPサーバーをLACモードで起動します。
- ACTIONパラメーターでDATABASEを指定することで、IPパラメーターで指定したLNSとの間にL2TPトンネルを張ります。また、LNSへのトンネル接続要求時にLNSが認証するためのパスワード「Password!」を設定します。
ADD L2TP USER=REMOTE ACTION=DATABASE PASS=Password! IP=200.100.11.10 ↓
- WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。
SET PPP=0 OVER=eth0-ANY BAP=OFF USERNAME="user@ispA" PASSWORD="isppasswdA" LQR=OFF ECHO=ON ↓
- PPP テンプレートを作成します。本設定はPPP認証パケットを処理するために必要です。
CREATE PPP TEMPLATE=1 BAP=OFF AUTHENTICATION=CHAP ↓
- リモートユーザー側に対する設定を行います。
AC サービス名、PPP 受信インターフェース、PPP 最大接続数を登録します。また、動的に作成された PPPインターフェースに対しては、PPP テンプレート「1」を適用します。また、リモートユーザー最大接続数を2台とします。
ADD PPP ACSERVICE=REMOTE TEMPLATE=1 ACINTERFACE=vlan1 MAXSESSION=2 ↓
- Access Concentrator モジュールを有効にします。
ENABLE PPP ACCESSCONCENTRATOR ↓
- IPモジュールを有効にします。
- WAN側(ppp0)インターフェースにISPから割り当てられるIPアドレスを設定します。
ADD IP INT=ppp0 IP=192.168.100.100 MASK=255.255.255.255 ↓
- デフォルトルートをインターネット(ISP)側に向けます。
ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
- 最初にISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターBと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERには対向ルーターのIPアドレスを指定します。
CREATE ISAKMP POLICY="i" PEER=200.100.11.10 KEY=1 SENDN=TRUE ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。この例ではすでにL2TPのトンネルが存在するため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。相手ルーターのUDP1701番ポート宛に送受信されるL2TPパケットだけを暗号化する形になります。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- L2TPパケットを暗号化するIPsecポリシー「vpn」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスを、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LAD、LPORT、RAD、RPORTで対象となるパケットの条件を指定します。
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.11.10 ↓
SET IPSEC POLICY="vpn" LAD=192.168.100.100 LPORT=1701 RAD=200.100.11.10 RPORT=1701 TRANSPORT=UDP ↓
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「secoff」とします。
ADD USER=secoff PASS=secoff PRIVILEGE=SECURITYOFFICER ↓
- L2TPトンネル経由で接続してくるリモートユーザーのための設定を行います。
リモートユーザーをユーザー認証データベースに登録します。
ADD USER=test@example.com PASS=router-b! LOGIN=no ↓
- L2TPの設定を行います。L2TPモジュールを有効にします。
- L2TPサーバーをLNSモードで起動します。
- LAC(ルーターA)からのトンネル接続要求時に認証するためのパスワード「Password!」を設定します。
ADD L2TP PASSWORD=Password! ↓
- PPP テンプレートを作成します。本設定はPPP認証パケットを処理するために必要です。
トンネル経由でユーザーが接続してきたときに動的に作成するPPPインターフェースのテンプレート「1」を作成します。
接続時の認証はCHAP、PAPのどちらでも行えるようにし、アドレス割り当てにはIPアドレスプール「POOL」を使用します。
CREATE PPP TEMPLATE=1 BAP=OFF MULTI=OFF IPPOOL="POOL" AUTHENTICATION=EITHER ↓
- IPアドレスプール「POOL」を作成し、リモートユーザーに割り当てるアドレスの範囲を指定します。
CREATE IP POOL="POOL" IP=100.100.10.10-100.100.10.127 ↓
- LAC(ルーターB)からの接続時に動的作成するPPPインターフェースの雛形として、PPPテンプレート「1」を使うよう指定します。
ADD L2TP IP=0.0.0.0-255.255.255.255 PPPTEMPLATE=1 ↓
- WAN側 Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。
「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY USER=user@ispB PASSWORD=isppasswdB LQR=OFF BAP=OFF ECHO=ON ↓
- IPモジュールを有効にします。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.5.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにISPから割り当てられたIPアドレスを設定します。
ADD IP INT=ppp0 IP=200.100.11.10 MASK=255.255.255.255 ↓
- デフォルトルートを設定します。
ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
- 最初にISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターAと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERには対向ルーターのIPアドレスを指定します。
CREATE ISAKMP POLICY="i" PEER=192.168.100.100 KEY=1 SENDN=TRUE ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。この例ではすでにL2TPのトンネルが存在するため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。相手ルーターのUDP1701番ポート宛に送受信されるL2TPパケットだけを暗号化する形になります。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- L2TPパケットを暗号化するIPsecポリシー「vpn」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスを、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LAD、LPORT、RAD、RPORTで対象となるパケットの条件を指定します。
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=192.168.100.100 ↓
SET IPSEC POLICY="vpn" LAD=200.100.11.10 LPORT=1701 RAD=192.168.100.100 RPORT=1701 TRANSPORT=UDP ↓
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
■ セキュリティーモードに移行すると、Telnet経由でルーターにログインすることができなくなります。セキュリティーモードでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。
たとえば、ネットワーク192.168.10.0/24上のすべてのホストからTelnetログインを許可する場合は、次のようにします。
ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓
ルーターA(LAC)のコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASS=secoff PRIVILEGE=SECURITYOFFICER ↓
ENABLE L2TP ↓
ENA L2TP SERVER=LAC ↓
ADD L2TP USER=REMOTE ACTION=DATABASE PASS=Password! IP=200.100.11.10 ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF USERNAME="user@ispA" PASSWORD="isppasswdA" LQR=OFF ECHO=ON ↓
CREATE PPP TEMPLATE=1 BAP=OFF AUTHENTICATION=CHAP ↓
ADD PPP ACSERVICE=REMOTE TEMPLATE=1 ACINTERFACE=vlan1 MAXSESSION=2 ↓
ENABLE PPP ACCESSCONCENTRATOR ↓
ENABLE IP ↓
ADD IP INT=ppp0 IP=192.168.100.100 MASK=255.255.255.255 ↓
ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ISAKMP POLICY="i" PEER=200.100.11.10 KEY=1 SENDN=TRUE ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.11.10 ↓
SET IPSEC POLICY="vpn" LAD=192.168.100.100 LPORT=1701 RAD=200.100.11.10 RPORT=1701 TRANSPORT=UDP ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN SECOFF ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
ルーターB(LNS)のコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASS=secoff PRIVILEGE=SECURITYOFFICER ↓
ADD USER=test@example.com PASS=router-b! LOGIN=no ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=LNS ↓
ADD L2TP PASSWORD=Password! ↓
CREATE PPP TEMPLATE=1 BAP=OFF MULTI=OFF IPPOOL="POOL" AUTHENTICATION=EITHER ↓
CREATE IP POOL="POOL" IP=100.100.10.10-100.100.10.127 ↓
ADD L2TP IP=0.0.0.0-255.255.255.255 PPPTEMPLATE=1 ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY USER=user@ispB PASSWORD=isppasswdB LQR=OFF BAP=OFF ECHO=ON ↓
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.5.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=200.100.11.10 MASK=255.255.255.255 ↓
ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ISAKMP POLICY="i" PEER=192.168.100.100 KEY=1 SENDN=TRUE ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=192.168.100.100 ↓
SET IPSEC POLICY="vpn" LAD=200.100.11.10 LPORT=1701 RAD=192.168.100.100 RPORT=1701 TRANSPORT=UDP ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN SECOFF ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
CentreCOM AR570S 設定例集 2.9 #105
(C) 2006-2013 アライドテレシスホールディングス株式会社
PN: 613-000274 Rev.N
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))