＜前頁 次頁＞ ＜＜ ＞＞ ↓ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）

IKEv2を使用したリモートアクセス型IPsec VPN（クライアントはWindows 7）＋ダイナミックDNSサービス

Windows 7標準のVPNクライアントから、インターネット経由で本製品のLAN側プライベートネットワークにアクセスさせるリモートアクセス型VPNの設定例です。さらに、ダイナミックDNSサービスを併用し、VPNクライアントの接続先をホスト名（FQDN）指定して、動的にIPアドレスが割り当てられるサイトに対してVPN接続できるようにします。

Note - 本設定例は、NAT-Traversalを利用したリモートアクセス型VPNの一構成例であり、Windows 7との接続性を保証するものではありません。

Note - Windows 7側の詳細な設定方法については、各製品のマニュアルなどをご覧ください。

Note - 検証済みダイナミックDNSサービスは弊社ホームページをご確認ください。

Note - 本製品とVPNクライアント間のIKEv2認証が完了していない状態でセッションを閉じた場合、内部でVPNクライアントのRADIUSサプリカント情報を5分間保持するため、本セッションが残っている間は他の認証を許可しません。

Note - RADIUSサプリカント情報とIKEv2 SA情報は連動していないため、RADIUSサプリカント情報が削除されてもIKEv2 SA情報は削除されません。

表 1：ISPから提供された情報

PPPユーザー名	user1@example
PPPパスワード	password
PPPoEサービス名	指定なし
使用できるIPアドレス	グローバルアドレス1個（動的割り当て）
接続形態	端末型（アドレス1個不定）
DNSサーバー	接続時に通知される

表 2：ルーターの基本設定

WAN側物理インターフェース	gigabitEthernet 0
WAN側（gigabitEthernet 0.1）IPアドレス	動的割り当て
LAN側（vlan 1）IPアドレス	192.168.10.1/24
VPN接続設定
トンネル終端アドレス	不定
IKE設定
交換モード	IKEv2
自認証方式	RSAデジタル署名認証
相手認証方式	EAP-MS-CHAPv2（PEAP）認証
暗号化認証アルゴリズム	AES256 & SHA1-DH2
疑似乱数アルゴリズム（PRF）	SHA1
有効期限	21600秒（6時間）（デフォルト）
起動時のISAKMPネゴシエーション	行わない
IPsec設定
SAモード	トンネルモード
セキュリティープロトコル	ESP
暗号化認証アルゴリズム	AES256 & SHA1
PFSグループ	なし
有効期限	3600秒（1時間）（デフォルト）

表 3：ダイナミックDNSクライアント情報

サービスプロバイダ	DynDNS.com（http://www.dyndns.com/）
サーバー接続用ユーザー名	userD
サーバー接続用パスワード	password
ホスト名	test.dyndns.org
IPアドレスを登録するインターフェース	gigabitEthernet 0.1

表 4：VPNクライアント用のユーザー名とパスワード

ユーザー名	AAA	BBB
パスワード	PasswordA	PasswordB

表 5：RADIUSサーバーの設定

RADIUSサーバー	192.168.10.254
共有パスワード	secret
認証用UDPポート番号	1812

表 6：ルーター用証明書ファイル名

自己証明書ファイル名	640cert.pem
秘密鍵ファイル名	640key.pem
TFTPサーバーのIPアドレス	192.168.10.254

表 7：ルーター用証明書必須項目

証明書の識別名（DN）	cn=test.dyndns.org
キー使用法	Digital Signature、 Key Encipherment
拡張キー使用法	Server Authentication（1.3.6.1.5.5.7.3.1）、 IP security IKE intermediate（1.3.6.1.5.5.8.2.2）

Note - 本製品は証明書および秘密鍵を作成することが出来ません。そのため、外部の認証局にてこれらのファイルを作成し、本製品のFlash File System上にコピーしてください。また秘密鍵は復号化した状態で、本製品のFlash File System上にコピーしてください。

Note - 本製品はPEMフォーマット形式の証明書ファイルのみをサポートします。

• 事前に購入時に含まれている初期設定を削除します（設定例1を参照してください）。
  
  
• ルーター側は、ファイアウォール（アクセスリスト）とダイナミックNAPTを使用した通常の端末型設定（アドレス1個不定）です。これにIPsecの設定を加えて、VPNクライアントからの接続を受け入れられるように設定します。なお、この例ではVPNクライアントのアドレスが不定なため、常にクライアントからルーターに接続する形となります。次に、ルーターの基本設定をまとめます。
  
  
• ルーターで使用するホスト名やサーバーアクセス時のアカウントは、あらかじめダイナミックDNSサービスにて取得してあるものとします。
  
  
• 接続してきたVPNクライアントはRADIUSサーバーにて認証を実施し、アドレスを動的に割り当てます。
  
  
• ルーター・VPNクライアント間は、IKEv2を使用して接続します。
  

ルーターの設定

1. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
   

   ppp profile pppoe0 ↓
    my-username user1@example password password ↓
       

   
   
2. WAN0インターフェース（gigabitEthernet 0）を有効にします。
   

   interface gigabitEthernet 0 ↓
    no shutdown ↓
       

   
   
3. WAN0インターフェース上にPPPoEインターフェース（gigabitEthernet 0.1）を作成し、インターフェースを使用できるようにします。
   接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
   また、LAN側ネットワークに接続されているすべてのコンピューターがENAT（NAPT）機能を使用できるよう設定します。
   外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。
   

   interface gigabitEthernet 0.1 ↓
    ip address ipcp ↓
    ip tcp mss auto ↓
    no shutdown ↓
    pppoe enable ↓
     ppp bind-profile pppoe0 ↓
    ip napt inside any ↓
    ip ids in protect ↓
       

   
   
4. LAN側インターフェース（vlan 1）にIPアドレスを設定します。
   

   interface vlan 1 ↓
    ip address 192.168.10.1/24 ↓
       

   
   
5. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。
   

   ip address-up-always ↓
       

   
   
6. デフォルトルートを設定します。
   

   ip route default gigabitEthernet 0.1 ↓
       

   
   
7. ISAKMPパケットおよびNAT-Tパケットは通しつつ、他の外側からの通信を遮断し、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、PPPoEインターフェース上に割り当てます。
   

   access-list ip extended pppoe0-in ↓
    dynamic permit udp any interface gigabitEthernet 0.1 eq 500 ↓
    dynamic permit udp any interface gigabitEthernet 0.1 eq 4500 ↓
   access-list ip extended pppoe0-out ↓
    dynamic permit ip any any ↓
   interface gigabitEthernet 0.1 ↓
    ip traffic-filter pppoe0-in in ↓
    ip traffic-filter pppoe0-out out ↓
       

   
   
8. 接続してくるVPNクライアントの認証に使用するRADIUSサーバーを指定します。
   また、RADIUSパケットの始点IPアドレスにvlan 1インターフェースのIPアドレスを使用するよう設定します。
   

   radius-server host 192.168.10.254 key secret ↓
   ip radius source-interface vlan 1 ↓
       

   
   
9. VPNクライアントが自装置を認証する際に使用する証明書ファイルをTFTPサーバーよりFlash File System上にコピーします。
   また、対となる秘密鍵ファイルもFlash File System上にコピーします。
   

   copy tftp 192.168.10.254 640cert.pem flash 640cert.pem ↓
   copy tftp 192.168.10.254 640key.pem flash 640key.pem ↓
       

   
   
10. Phase1のProposal、およびISAKMPポリシーを設定します。
    

    isakmp proposal isakmp encryption aes256 prf sha1 hash sha1 group 2 ↓
    isakmp policy isakmp ↓
     peer any ↓
     mode ikev2 ↓
     self-auth rsa ↓
     peer-auth eap-mschap radius ↓
     peer-auth eap-id-request enable ↓
     certificate self-certificate 640cert.pem self-private 640key.pem ↓
     proposal isakmp ↓
     nat-traversal enable ↓
     config-service enable ↓
     config-service radius ↓
     config-service add-route enable ↓
        

    
    

    Note - 複数のWindowsクライアントを接続する場合、上記に加えて、フェーズ2のネゴシエーションに使用するIPsecポリシーとして、 フェーズ1のネゴシエーションに使用したISAKMPポリシーと同一名のIPsecポリシーを優先的に選択するよう設定する必要があります。

    ipsec policy-name-link enable ↓
        

    
    
11. Phase2のProposal、およびIPsecポリシーを設定します。
    

    access-list ip extended ipsec ↓
     permit ip any any ↓
    ipsec proposal ipsec esp encryption aes256 hash sha1 ↓
    ipsec policy ipsec ↓
     peer any ↓
     access-list ipsec ↓
     proposal ipsec ↓
     always-up-sa ↓
        

    
    
12. トンネルインターフェース（tunnel 0）を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースに対応するIPsecポリシーを設定します。
    

    interface tunnel 0 ↓
     tunnel mode ipsec ↓
     ip unnumbered vlan 1 ↓
     ip tcp mss auto ↓
     no shutdown ↓
     tunnel policy ipsec ↓
        

    
    
13. ダイナミックDNSクライアントの機能を設定し、有効にします。
    

    dynamic-dns DynDNS ↓
     provider dyndns fqdn test.dyndns.org username userD password password ↓
     external-interface gigabitEthernet 0.1 ↓
     dynamic-dns-enable ↓
        

    
    
14. 設定は以上です。設定内容をstartup-configに保存します。
    

    copy running-config startup-config ↓
        

メモ

Note - 本設定例は、NAT-Traversalを利用したリモートアクセス型IPsec VPNの一構成例であり、Windows 7との接続性を保証するものではありません。

Note - 以下に述べる手順は一例です。サービスパックや修正プログラムの適用状況、環境設定の仕方などによっては、以下の手順で接続できない可能性もあります。詳しくは、Windows 7のマニュアルなどをご参照ください。

1. 「コントロールパネル」の「ネットワークと共有センター」を開き、「新しい接続またはネットワークのセットアップ」をクリックします。
   

   

   
   
2. 「接続またはネットワークのセットアップ」ダイアログが開くので「職場に接続します」を選択して「次へ」をクリックします。
   

   

   
   
3. 「インターネット接続（VPN）を使用します（I）」を選択します。
   

   

   
   
4. 「インターネットアドレス（I）」に接続先IPsecルーターのIPアドレスと「接続先の名前（E）」を入力し、「今は接続しない。 自分が後で接続できるようにセットアップのみを行う（D）」にチェックを入れ「次へ」をクリックします。
   本例では、「インターネットアドレス（I）」はルーターのWAN側のホスト名である「test.dyndns.org」になります。
   接続先名は例として「OfficeAR」と入力しています。
   

   

   
   
5. 「ユーザー名（U）」、「パスワード（P）」にRADIUSサーバー上で設定したPPPユーザー名とパスワードを入力し、「このパスワードを記憶する（R）」にチェックを入れ「次へ」をクリックします。
   

   

   
   
6. 「閉じる」をクリックします。
   

   

   
   
7. 「コントロールパネル」の「ネットワークと共有センター」を開き、「アクティブなネットワークの表示」の「接続または切断」をクリックします。
   

   

   
   
8. 「現在の接続先」ダイアログが立ち上がりますので、手順4の接続名で指定した接続を選択しダブルクリックします。
   

   

   
   
9. 「XXXX へ接続」ダイアログが開くので「プロパティ」をクリックします（XXXX は手順4で入力した「接続先の名前」）。
   

   

   
   
10. 「セキュリティ」タブを開き、「詳細設定（S）」をクリックします。
    

    

    
    
11. 「詳細プロパティ」ダイアログが開くので、「IKEv2」タグの「モビリティ（M）」のチェックを外し「OK」をクリックします。
    

    

    
    
12. 「VPNの種類」から「IKEv2」を選択して、「OK」をクリックします。
    

    

    
    
13. 以上で設定は完了です。
    「XXXX へ接続」ダイアログに戻ったら、「接続」をクリックすると、接続が開始されます。
    

    

まとめ

ルーターのコンフィグ

! service password-encryption ! clock timezone JST 9 ! ! ip address-up-always ppp profile pppoe0 my-username user1@example password 8 e$QOccTYhEXbMdnN4uqTQgYCAAA ip radius source-interface vlan 1 ! radius-server host 192.168.10.254 key secret ! interface gigabitEthernet 0 no shutdown ! interface gigabitEthernet 0.1 ip address ipcp ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip napt inside any ip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect ! interface gigabitEthernet 1 shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface tunnel 0 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy ipsec ! interface vlan 1 ip address 192.168.10.1/24 no shutdown ! ip route default gigabitEthernet 0.1 ! access-list ip extended ipsec permit ip any any access-list ip extended pppoe0-in dynamic permit udp any interface gigabitEthernet 0.1 eq 500 dynamic permit udp any interface gigabitEthernet 0.1 eq 4500 access-list ip extended pppoe0-out dynamic permit ip any any ! isakmp proposal isakmp encryption aes256 prf sha1 hash sha1 group 2 ! isakmp policy isakmp peer any mode ikev2 self-auth rsa peer-auth eap-mschap radius peer-auth eap-id-request enable certificate self-certificate 640cert.pem self-private 640key.pem proposal isakmp nat-traversal enable config-service enable config-service radius config-service add-route enable ! ipsec proposal ipsec esp encryption aes256 hash sha1 ! ipsec policy ipsec peer any access-list ipsec proposal ipsec always-up-sa ! ! ! ! dynamic-dns DynDNS provider dyndns fqdn test.dyndns.org username userD password 8 e$QOccTYhEXbMdnN4uqTQgYCAAA external-interface gigabitEthernet 0.1 dynamic-dns-enable ! end

(C) 2011-2014 アライドテレシスホールディングス株式会社

PN: 613-001568 Rev.E

＜前頁 次頁＞ ＜＜ ＞＞ ↑ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）