<前頁 次頁> << >> ↓ 目次 (番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細))
CentreCOM ARX640S 設定例集 5.1.5 #29
PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー(以下ISP)から固定IPアドレスが割り当てられるルーター(ルーターA:ARXルーター)と動的にIPアドレスが割り当てられるルーター(ルーターB:ARルーター)をIPsec(ESP)トンネルで接続します。
PPPユーザー名 | user1@isp | user2@isp |
PPPパスワード | isppasswd | |
PPPoEサービス名 | 指定なし | |
使用できるIPアドレス | 10.10.10.1/32 | グローバルアドレス1個(動的割り当て) |
接続形態 | 端末型(アドレス1個固定) | 端末型(アドレス1個不定) |
DNSサーバー | DNSサーバー 12.34.11.11、12.34.11.22 | 接続時に通知される |
WAN側物理インターフェース | gigabitEthernet 0 | eth0 |
WAN側IPアドレス | 10.10.10.1/32 | 動的割り当て |
LAN側IPアドレス | 192.168.10.1/24 | 192.168.20.1/24 |
VPN接続設定 | ||
ローカルセキュアグループ | 192.168.10.0/24 | 192.168.20.0/24 |
リモートセキュアグループ | 192.168.20.0/24 | 192.168.10.0/24 |
トンネル終端アドレス | ANY | 10.10.10.1/32 |
IKE設定 | ||
交換モード | Aggressiveモード | |
認証方式 | 事前共有鍵(pre-shared key) | |
事前共有鍵 | secret(文字列) | |
ローカルID/リモートID | なし/client | client/なし |
暗号化認証アルゴリズム | 3DES & SHA1-DH2 | |
有効期限 | 3600秒(1時間) | 3600秒(1時間) |
DPDによる死活監視 | 行う | |
起動時のISAKMPネゴシエーション | 行わない | |
IPsec設定 | ||
SAモード | トンネルモード | |
セキュリティープロトコル | ESP | |
暗号化認証アルゴリズム | 3DES & SHA1 | |
PFSグループ | なし | |
有効期限 | 3600秒(1時間)(デフォルト) | 3600秒(1時間) |
ルーターA(ARXルーター)の設定 |
ppp profile pppoe0 ↓ my-username user1@isp password isppasswd ↓
interface gigabitEthernet 0 ↓ no shutdown ↓
interface gigabitEthernet 0.1 ↓ ip address 10.10.10.1/32 ↓ ip tcp mss auto ↓ no shutdown ↓ pppoe enable ↓ ppp bind-profile pppoe0 ↓ ip napt inside any ↓ ip ids in protect ↓
interface vlan 1 ↓ ip address 192.168.10.1/24 ↓
ip address-up-always ↓
ip route default gigabitEthernet 0.1 ↓
proxydns server 12.34.11.11 ↓ proxydns server 12.34.11.22 ↓ proxydns ip enable ↓
access-list ip extended pppoe0-in ↓ dynamic permit udp any interface gigabitEthernet 0.1 eq 500 ↓ access-list ip extended pppoe0-out ↓ dynamic permit ip any any ↓ interface gigabitEthernet 0.1 ↓ ip traffic-filter pppoe0-in in ↓ ip traffic-filter pppoe0-out out ↓
isakmp proposal isakmp encryption 3des hash sha1 group 2 ↓ isakmp proposal isakmp lifetime 3600 ↓ isakmp policy i ↓ peer any ↓ mode aggressive ↓ auth preshared key secret ↓ remote-id client ↓ proposal isakmp ↓ keepalive enable ↓
access-list ip extended ipsec ↓ permit ip any any ↓ ipsec proposal ipsec esp encryption 3des hash sha1 ↓ ipsec policy vpn ↓ peer any ↓ access-list ipsec ↓ local-id 192.168.10.0/24 ↓ remote-id 192.168.20.0/24 ↓ proposal ipsec ↓ always-up-sa ↓
interface tunnel 0 ↓ tunnel mode ipsec ↓ ip unnumbered vlan 1 ↓ ip tcp mss auto ↓ no shutdown ↓ tunnel policy vpn ↓
ip route 192.168.20.0/24 tunnel 0 ↓ ip route 192.168.20.0/24 Null 254 ↓
copy running-config startup-config ↓
ルーターB(ARルーター)の設定 |
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY IPREQUEST=ON USER=user2@isp PASSWORD=isppasswd LQR=OFF BAP=OFF ECHO=ON ↓
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE IP DNSRELAY ↓
SET IP DNSRELAY INT=ppp0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
Note - デフォルト設定では、ICMPはファイアウォールを通過できません。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net RULE=1 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓ SET FIREWALL POLICY=net RULE=1 REMOTEIP=192.168.10.1-192.168.10.254 ↓
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
CREATE ISAKMP POLICY="i" PEER=10.10.10.1 ENCALG=3DESOUTER KEY=1 DPDMODE=BOTH GROUP=2 SENDN=TRUE LOCALID="client" MODE=AGGRESSIVE EXPIRYSECOND=3600 ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" EXPIRYSECOND=3600 ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.10.10.1 ↓
SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
LOGIN secoff ↓
ENABLE SYSTEM SECURITY_MODE ↓
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(お使いのARルーターのコマンドリファレンスの「運用・管理 / セキュリティー」を参照)。
CREATE CONFIG=router.cfg ↓ SET CONFIG=router.cfg ↓
まとめ |
ルーターA(ARXルーター)のコンフィグ
! service password-encryption ! clock timezone JST 9 ! ! ! ! ip address-up-always ppp profile pppoe0 my-username user1@isp password 8 e$QNKMe2ohmPDFnghyVppETegAA ! interface gigabitEthernet 0 no shutdown ! interface gigabitEthernet 0.1 ip address 10.10.10.1/32 ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip napt inside any ip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect ! interface gigabitEthernet 1 shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface tunnel 0 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy vpn ! interface vlan 1 ip address 192.168.10.1/24 no shutdown ! ip route default gigabitEthernet 0.1 ip route 192.168.20.0/24 tunnel 0 ip route 192.168.20.0/24 Null 254 ! access-list ip extended ipsec permit ip any any access-list ip extended pppoe0-in dynamic permit udp any interface gigabitEthernet 0.1 eq 500 access-list ip extended pppoe0-out dynamic permit ip any any ! isakmp proposal isakmp encryption 3des hash sha1 group 2 isakmp proposal isakmp lifetime 3600 ! isakmp policy i peer any mode aggressive auth preshared key 8 e$I3eQu7yNuLxQA remote-id client proposal isakmp keepalive enable ! ipsec proposal ipsec esp encryption 3des hash sha1 ! ipsec policy vpn peer any access-list ipsec local-id 192.168.10.0/24 remote-id 192.168.20.0/24 proposal ipsec always-up-sa ! proxydns server 12.34.11.11 proxydns server 12.34.11.22 proxydns ip enable ! ! ! end |
ルーターB(ARルーター)のコンフィグ
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER CREATE PPP=0 OVER=eth0-ANY SET PPP=0 OVER=eth0-ANY IPREQUEST=ON USER=user2@isp PASSWORD=isppasswd LQR=OFF BAP=OFF ECHO=ON ENABLE IP ENABLE IP REMOTEASSIGN ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ADD IP INT=ppp0 IP=0.0.0.0 ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ENABLE IP DNSRELAY SET IP DNSRELAY INT=ppp0 ENABLE FIREWALL CREATE FIREWALL POLICY=net ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH DISABLE FIREWALL POLICY=net IDENTPROXY ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ADD FIREWALL POLICY=net RULE=1 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.20.1-192.168.20.254 SET FIREWALL POLICY=net RULE=1 REMOTEIP=192.168.10.1-192.168.10.254 ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC # CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" CREATE ISAKMP POLICY="i" PEER=10.10.10.1 ENCALG=3DESOUTER KEY=1 DPDMODE=BOTH GROUP=2 SENDN=TRUE LOCALID="client" MODE=AGGRESSIVE EXPIRYSECOND=3600 CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" EXPIRYSECOND=3600 CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.10.10.1 SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ENABLE IPSEC ENABLE ISAKMP # LOGIN secoff # ENABLE SYSTEM SECURITY_MODE |
(C) 2011-2014 アライドテレシスホールディングス株式会社
PN: 613-001568 Rev.E