[index] AT-NFV-APL Ver.1.13.1 リファレンスマニュアル

| ISP接続用ユーザー名 | user@isp |
| ISP接続用パスワード | isppasswd |
| PPPoEサービス名 | 指定なし |
| WAN側IPアドレス | 動的割り当て(IPCP) |
| 接続形態 | 端末型(アドレスは動的割り当て) |
| WAN側物理インターフェース | eth2 |
| WAN側(ppp0)IPアドレス | 接続時にISPから取得 |
| LAN側(eth0)IPアドレス(1) | 192.168.10.1/24 |
| LAN側(eth1)IPアドレス(2) | 192.168.30.1/24 |
| OpenVPNトンネルインターフェース | tunnel0(Tun(L3)モード) |
| OpenVPNトンネルインターフェースIPアドレス | 192.168.20.1/24 |
| ユーザー01 | user01 | passwd01 | 192.168.20.11~192.168.20.20から割り当て |
| ユーザー02 | user02 | passwd02 | |
| ユーザー03 | user03 | passwd03 | |
| user01 | 電子メール |
| user02 | 電子メール |
| user03 | 電子メール |
| 更新専用URL | https://example.com |
| サーバー接続用ユーザー名 | ddns_user |
| サーバー接続用パスワード | ddns_pass |
| ホスト名 | test.example.com |
| SMTPサーバーアドレス | 198.51.100.1 |
| SMTPサーバー認証方式 | PLAIN認証 |
| ユーザー名 | reporter |
| パスワード | s3|=123+ |
| デバイスの電子メールアドレス | reporter@example.com |

Note10ポート構成(eth1~eth10)のAT-NFV-APL-GTXを想定した例になっていますので、6ポート(eth1~eth6)構成のAT-NFV-APL-GTをご使用の場合は、使用するポートを適宜読み替えてください。
| br0 | 192.168.10.254/24 |
| eth1~eth6 | 1 | 1 |
| eth7~eth9 | 2 | 2 |
| eth10 | ||
インターフェース名 |
タイプ |
VLAN ID |
インターフェース |
|
| eth0 | Virtual | 1 | - | 192.168.10.1/24 |
| eth1 | Virtual | 2 | - | 192.168.30.1/24 |
| eth2 | Physical | - | eth10 | 未指定 |
ddns enable
?」をCLIから入力するには、Ctrl/V キーを入力してから ? を入力してください。単に ? を入力するとCLIヘルプが表示されてしまうためご注意ください。ddns-update-method dyn_update update-url https://example.com?user=<USERNAME>&pwd=<PASSWORD>&host=<HOST-NAME> host-name test.example.com username ddns_user password ddns_pass update-interval 3600
interface eth2 encapsulation ppp 0
interface ppp0 ip ddns-update-method dyn_update ppp ipcp dns request keepalive ip address negotiated ppp username user@isp ppp password isppasswd ip tcp adjust-mss pmtu
interface eth0 ip address 192.168.10.1/24 interface eth1 ip address 192.168.30.1/24
zone private network lan ip subnet 192.168.10.0/24 ip subnet 192.168.20.0/24 ip subnet 192.168.30.0/24
zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host ppp0 ip address dynamic interface ppp0
firewall rule 10 permit any from private to private rule 20 permit any from private to public rule 30 permit any from public.wan.ppp0 to public.wan rule 40 permit openvpn from public.wan to public.wan.ppp0 protect
nat rule 10 masq any from private to public enable
crypto pki trustpoint local subject-alt-name test.example.com subject-name /O=AlliedTelesis/CN=test.example.com
radius-server host localhost key awplus-local-radius-server
aaa authentication openvpn default group radius 2fa
crypto pki trustpoint local crypto pki enroll local radius-server local server enable nas 127.0.0.1 key awplus-local-radius-server group route attribute Framed-Route "192.168.10.0/24 192.168.20.1" attribute Framed-Route "192.168.30.0/24 192.168.20.1" user user01 password passwd01 group route user user02 password passwd02 group route user user03 password passwd03 group route
service 2fa 2fa skew-adjust 2fa totp-window-size 5 2fa email-otp
mail smtpserver 198.51.100.1 mail smtpserver authentication plain username reporter password s3|=123+ mail from reporter@example.com
interface tunnel0 tunnel openvpn ip-pool range 192.168.20.11 192.168.20.20 mask 255.255.255.0 tunnel mode openvpn tun ip address 192.168.20.1/24 ip tcp adjust-mss pmtu
ip route 0.0.0.0/0 ppp0
end
copy running-config startup-config」の書式で実行します。awplus# copy running-config startup-config ↓ Building configuration... [OK]
awplus# write memory ↓ Building configuration... [OK]
awplus(config)# log buffered level informational facility local5 ↓
awplus# show log | include Firewall ↓
# OpenVPNサーバー(ルーター)と接続先ポートの指定 remote test.example.com 1194 udp # 経路情報等をサーバーから取得する pull # TLSクライアントを有効にする tls-client # 使用する暗号形式 cipher AES-128-CBC # デジタル署名形式 auth SHA1 # TLSのバージョン tls-version-min 1.2 # TLSの形式 tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA explicit-exit-notify # ユーザー名・パスワード認証を有効にする auth-user-pass # ルーターから取得したローカルCAの自署ルート証明書 ca cacert.pem # keepaliveの送信間隔とタイムアウトの時間 keepalive 10 120 # 使用するモード(Tunモード) dev tun # インターフェースのIPをサーバーから取得する float # IPv6のトンネリングを有効にする(Tunモードのみ) tun-ipv6 # トンネルを有効にする topology subnet # 暗号化前のパケットのTOS値を暗号化後のパケットにコピーする passtos # 接続に使用するポート番号 port 1194 # ログのレベル(0~7)。0はログを生成せず、数が大きくなるほど詳細なログを表示する verb 3 # パスワードの保存を無効にする setenv ALLOW_PASSWORD_SAVE 0なお、iOS版クライアントを使用する場合は、上記クライアント設定ファイルに下記の2行を追加してください。
route 192.168.10.0 255.255.255.0 setenv CLIENT_CERT 0
Note上記の設定ファイル例は参考のために示した最小限の設定であり、動作を保証するものではありません。使用するクライアントやそのバージョン、OS、ネットワーク環境などによって必要な設定は異なりますので、あらかじめご了承ください。
awplus# 2fa create user user01 email user01@example.com ↓ awplus# 2fa create user user02 email user02@example.com ↓ awplus# 2fa create user user03 email user03@example.com ↓
NoteAndroid版およびiOS版クライアントではTap(L2)モードでのOpenVPN接続は未サポートです。
radius-server local server enable nas 127.0.0.1 key awplus-local-radius-server user user01 password passwd01 user user02 password passwd02 user user03 password passwd03 ! interface tunnel0 ip address 192.168.20.1/24 tunnel mode openvpn tap ip tcp adjust-mss 1260 ! ip dhcp option 121 name Classless-Static-Route hex ! ip dhcp pool pool10 network 192.168.20.0 255.255.255.0 range 192.168.20.2 192.168.20.10 option Classless-Static-Route 18c0a80ac0a8140118c0a81ec0a81401 lease 0 2 0 subnet-mask 255.255.255.0 ! service dhcp-server
Note本製品のDHCPサーバー機能を利用してOpenVPNクライアントにIPアドレスを提供する場合は、ip dhcp optionコマンドで定義した DHCPオプション121(Classless Static Route Option)を用いてスタティック経路を通知してください。
optionコマンドで指定している18c0a80ac0a8140118c0a81ec0a81401は、各経路の「宛先ネットワークマスク長、宛先ネットワークアドレス、ネクストホップアドレス」を16進数表記で連結したもので、次のように解釈します。
16進表記 10進表記 説明 経路エントリー #1 (宛先 192.168.10/24 ネクストホップ 192.168.20.1) 1824宛先マスク長 c0 a8 0a192 168 10宛先アドレス c0 a8 14 01192 168 20 1ネクストホップアドレス 経路エントリー #2 (宛先 192.168.30/24 ネクストホップ 192.168.20.1) 1824宛先マスク長 c0 a8 1e192 168 30宛先アドレス c0 a8 14 01192 168 20 1ネクストホップアドレス
! ddns enable ! ddns-update-method dyn_update update-url https://example.com?user=<USERNAME>&pwd=<PASSWORD>&host=<HOST-NAME> host-name test.example.com username ddns_user password ddns_pass update-interval 3600 ! interface eth2 encapsulation ppp 0 ! interface ppp0 ip ddns-update-method dyn_update ppp ipcp dns request keepalive ip address negotiated ppp username user@isp ppp password isppasswd ip tcp adjust-mss pmtu ! interface eth0 ip address 192.168.10.1/24 interface eth1 ip address 192.168.30.1/24 ! zone private network lan ip subnet 192.168.10.0/24 ip subnet 192.168.20.0/24 ip subnet 192.168.30.0/24 ! zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host ppp0 ip address dynamic interface ppp0 ! firewall rule 10 permit any from private to private rule 20 permit any from private to public rule 30 permit any from public.wan.ppp0 to public.wan rule 40 permit openvpn from public.wan to public.wan.ppp0 protect ! nat rule 10 masq any from private to public enable ! crypto pki trustpoint local subject-alt-name test.example.com subject-name /O=AlliedTelesis/CN=test.example.com ! radius-server host localhost key awplus-local-radius-server ! aaa authentication openvpn default group radius 2fa ! crypto pki trustpoint local crypto pki enroll local radius-server local server enable nas 127.0.0.1 key awplus-local-radius-server group route attribute Framed-Route "192.168.10.0/24 192.168.20.1" attribute Framed-Route "192.168.30.0/24 192.168.20.1" user user01 password passwd01 group route user user02 password passwd02 group route user user03 password passwd03 group route ! service 2fa 2fa skew-adjust 2fa totp-window-size 5 2fa email-otp ! mail smtpserver 198.51.100.1 mail smtpserver authentication plain username reporter password s3|=123+ mail from reporter@example.com ! interface tunnel0 tunnel openvpn ip-pool range 192.168.20.11 192.168.20.20 mask 255.255.255.0 tunnel mode openvpn tun ip address 192.168.20.1/24 ip tcp adjust-mss pmtu ! ip route 0.0.0.0/0 ppp0 ! end
(C) 2021 - 2025 アライドテレシスホールディングス株式会社
PN: 613-002993 Rev.Q