<設定例> 2拠点間でインターネット VPN を構築したい(IKE メインモード) MR1000 と MR504DV とで IPSec によるインターネット VPN を構築する例を示します。 IPSec 通信のための鍵交換には、自動鍵交換プロトコル IKE を使用します。本例では、VPN ルータ間に 1 台のル ータを挟んでネットワークを分け、インターネットに見立てたテスト環境で VPN を構築します。真ん中のルータはネ ットワークを分けているだけであるため、実際のブロードバンド接続では必要となる PPPoE 設定を本例では行いま せん。拠点 1、拠点 2 ともに ISP から固定のグローバル IP アドレスが割り当てられているという前提で、IKE メイン モードを使用します。 ■設定概要 【IPSec 設定(MR1000、MR504DV 共通)】 ・IKE(フェーズ1)設定 鍵交換モード: メインモード 暗号化/認証アルゴリズム: 3DES/SHA-1 事前共有キー: vpntest DH グループ: group2 (modp1024) PFS: 有効 SA 生存時間:28800 秒 ・IPSec(フェーズ2)設定 プロトコル: ESP トンネルモード 暗号化/認証アルゴリズム: 3DES/SHA-1 PFS 使用時 DH グループ: group2 (modp1024) SA 生存時間:28800 秒 【MR1000 の設定】 ・IP 関連 ルータ(LAN0)の IP アドレス: 202.238.75.174/27 ルータ(LAN1)の IP アドレス: 10.1.1.254/24 デフォルトルート、および DNS 問い合わせ転送先: 202. 238.75.175 ・DHCP サーバ機能 LAN 内のクライアントに IP アドレス、デフォルトゲートウェイ、DNS アドレスの情報を配布します。 配布する IP アドレス範囲: 10.1.1.1 ∼ 10.1.1.99 デフォルトゲートウェイアドレス、DNS アドレス: 10.1.1.254 ・NAPT 設定 LAN の複数のクライアントからインターネット接続できるようにするため、マルチ NAT を有効にします。 また、IKE ネゴシエーションを NAPT 越しに行えるようにするための静的 NAT を追加します。 【MR504DV の設定】 ・IP 関連 ルータの IP アドレス: 10.2.1.254/24 -1© 2006 SOGEN デフォルトルート: WAN ・DHCP サーバ機能 LAN 内のクライアントに IP アドレス、デフォルトゲートウェイ、DNS アドレスの情報を配布します。 配布する IP アドレス範囲: 10.2.1.1 ∼ 10.2.1.99 ※デフォルトゲートウェイ、DNS アドレスはルータの IP アドレスが通知されます (補足) LAN のクライアントがインターネットへ接続できるようにするための NAPT(IP マスカレード)機能、および IKE ネゴシ エーションパケットを通すための静的 NAT については、MR504DV では工場出荷時の状態で有効になっていますの で、改めて設定する必要はありません。 ■設定 【MR1000 の設定】 lan 1 ip address 10.1.1.254/24 3 lan 1 ip dhcp service server lan 1 ip dhcp info dns 10.1.1.254 lan 1 ip dhcp info address 10.1.1.1/24 99 lan 1 ip dhcp info time 1d lan 1 ip dhcp info gateway 10.1.1.254 lan 0 mode auto lan 0 ip address 202.238.75.174/27 3 lan 0 ip route 0 default 202.238.75.175 1 0 proxydns domain 0 any * any static 202.238.75.175 proxydns address 0 any static 202.238.75.175 lan 0 ip nat mode multi 202.238.75.174 1 5m lan 0 ip nat static 0 202.238.75.174 500 202.238.75.174 500 17 lan 0 ip nat static 1 202.238.75.174 any 202.238.75.174 any 50 remote 0 name VPN remote 0 ap 0 name mr504dv remote 0 ap 0 datalink type ipsec remote 0 ap 0 ipsec type ike remote 0 ap 0 ike mode main remote 0 ap 0 tunnel local 202.238.75.174 remote 0 ap 0 tunnel remote 165.86.201.245 remote 0 ap 0 ike shared key text vpntest remote 0 ap 0 ike proposal 0 encrypt 3des-cbc remote 0 ap 0 ike proposal 0 hash hmac-sha1 remote 0 ap 0 ike proposal 0 pfs modp1024 remote 0 ap 0 ike proposal 0 lifetime 8h remote 0 ap 0 ike sessionwatch 10.2.1.254 10s 3m 5s remote 0 ap 0 ipsec ike protocol esp remote 0 ap 0 ipsec ike range 10.1.1.0/24 10.2.1.0/24 remote 0 ap 0 ipsec ike encrypt 3des-cbc remote 0 ap 0 ipsec ike auth hmac-sha1 remote 0 ap 0 ipsec ike pfs modp1024 remote 0 ip route 0 10.2.1.0/24 1 0 【MR504DV の設定】 ip address 10.2.1.254/24 ip dhcp address 10.2.1.1/99 ip dhcp server on wan ether ip address 165.86.201.245/30 wan ether ip gateway 165.86.201.246 -2© 2006 SOGEN wan ether ip dnsserver 165.86.201.246 ip route 0.0.0.0/0/7 wanether ipsec mode on ipsec 1 valid on ipsec 1 policy keymode ike ipsec 1 policy localip 10.2.1.0/24 ipsec 1 policy remoteip 10.1.1.0/24 ipsec 1 policy dstgwip 202.238.75.174 ipsec 1 ike mode main ipsec 1 ike dir interactiv ipsec 1 ike localid ip ipsec 1 ike remoteid ip ipsec 1 ike enc 3des ipsec 1 ike hash sha1 ipsec 1 ike psk vpntest ipsec 1 ike dh grp2 ipsec 1 ike pfs on grp2 ipsec 1 ike lifetime isakmp 28800 ipsec 1 ike keepalive on d=10.1.1.254 r=5 i=4 ipsec 1 policy enc esp ipsec 1 policy auth esp ipsec 1 esp enc 3des ipsec 1 esp auth sha1 ipsec 1 ike lifetime ipsec 28800 ■解説 【MR1000 の設定】 lan 1 ip address 10.1.1.254/24 3 ルータの LAN 側(LAN1)IP アドレスを 10.1.1.254/24 に設定します。 lan 1 ip dhcp service server lan 1 ip dhcp info dns 10.1.1.254 lan 1 ip dhcp info address 10.1.1.1/24 99 lan 1 ip dhcp info time 1d lan 1 ip dhcp info gateway 10.1.1.254 DHCP サーバ機能を有効にし、配布するアドレス範囲、通知する DNSアドレス、デフォルトゲートウェイアドレスを設 定します。 lan 0 mode auto LAN0 ポートの通信速度/モードをオートネゴシエーションに設定します。 lan 0 ip address 202.238.75.174/27 3 lan 0 ip route 0 default 202.238.75.175 1 0 ルータの WAN 側(LAN0)IP アドレスを 202.238.75.174/27 に設定します。 またルータのデフォルトルートを 202.238.75.175 に向けます。 proxydns domain 0 any * any static 202.238.75.175 proxydns address 0 any static 202.238.75.175 DNS 問い合わせの転送先を 202.238.75.175 とします。 lan 0 ip nat mode multi 202.238.75.174 1 5m -3© 2006 SOGEN LAN のクライアントがインターネットに接続できるようにするためのマルチ NAT(IP マスカレード、NAPT)設定を行い ます。 lan 0 ip nat static 0 202.238.75.174 500 202.238.75.174 500 17 lan 0 ip nat static 1 202.238.75.174 any 202.238.75.174 any 50 拠点 2 から発信される IKE ネゴシエーションを NAT 越しに受け付けるための静的 NAT を設定します。 remote 0 name VPN IPSec 通信を行う宛先ネットワークを相手先番号 0(remote 0)として定義します。名称を「VPN」とします。 remote 0 ap 0 name mr504dv remote 0 ap 0 datalink type ipsec 拠点 2 のルータ(MR504DV)との接続を接続先番号 0(ap 0)として定義します。名称を「mr504dv」とします。 パケット転送方式に”ipsec”を指定します。 remote 0 ap 0 ipsec type ike remote 0 ap 0 ike mode main IPSec の鍵交換に自動鍵交換プロトコル IKE を使用します。IKE はメインモードに設定します。 remote 0 ap 0 tunnel local 202.238.75.174 remote 0 ap 0 tunnel remote 165.86.201.245 VPN トンネルのエンドポイント IP アドレスを指定します。(local:拠点 1 側 remote:拠点 2 側) remote 0 ap 0 ike shared key text vpntest remote 0 ap 0 ike proposal 0 encrypt 3des-cbc remote 0 ap 0 ike proposal 0 hash hmac-sha1 remote 0 ap 0 ike proposal 0 pfs modp1024 remote 0 ap 0 ike proposal 0 lifetime 8h IKE(フェーズ1)の事前共有キー、暗号化・認証アルゴリズム、DH グループ、SA 生存時間を指定します。 remote 0 ap 0 ike sessionwatch 10.2.1.254 10s 3m 5s ping による IKE セッション監視機能を有効にします。 remote 0 ap 0 ipsec ike protocol esp remote 0 ap 0 ipsec ike range 10.1.1.0/24 10.2.1.0/24 remote 0 ap 0 ipsec ike encrypt 3des-cbc remote 0 ap 0 ipsec ike auth hmac-sha1 remote 0 ap 0 ipsec ike pfs modp1024 IPSec(フェーズ2)のオプション設定です。プロトコル、IPSec 通信を行うネットワーク範囲、暗号化・認証アルゴリズ ム、PFS 有効時の DH グループ、SA 生存時間を指定します。 remote 0 ip route 0 10.2.1.0/24 1 0 拠点 2(10.2.1.0/24)宛のスタティックルートを定義します。 【MR504DV の設定】 ip address 10.2.1.254/24 ルータの LAN 側 IP アドレスを 10.2.1.254 に設定します。 ip dhcp address 10.2.1.1/99 ip dhcp server on DHCP で配布するアドレス範囲を設定し、DHCP サーバ機能を有効にします。 -4© 2006 SOGEN wan ether ip address 165.86.201.245/30 wan ether ip gateway 165.86.201.246 wan ether ip dnsserver 165.86.201.246 ip route 0.0.0.0/0/7 wanether ルータの WAN 側 IP アドレスを 165.86.201.245/30 に設定します。 またルータのデフォルトルート、および DNS 問い合わせ転送先を 165.86.201.246 とします。 ipsec mode on ipsec 1 valid on IPSec 機能を有効にし、ポリシー番号 1 を作成します。 ipsec 1 policy keymode ike IPSec の鍵交換に自動鍵交換プロトコル IKE を使用します。 (デフォルト定義のため、コンフィグには表示されません) ipsec 1 policy localip 10.2.1.0/24 ipsec 1 policy remoteip 10.1.1.0/24 ipsec 1 policy dstgwip 202.238.75.174 IPSec 通信を行うネットワーク範囲を指定します。(local:拠点 2、remote:拠点 1) 相手側(拠点 1)のゲートウェイアドレスを指定します。 ipsec 1 ike mode main ipsec 1 ike dir interactiv IKE はメインモードを使用します。セッションは双方向とします。 (デフォルト定義のため、コンフィグには表示されません) ipsec 1 ike localid ip ipsec 1 ike remoteid ip IKE メインモードのため、ローカルおよびリモートの認証 ID にはエンドポイント IP アドレスを使用します。 (デフォルト定義のため、コンフィグには表示されません) ipsec 1 ike enc 3des ・・・(*) ipsec 1 ike hash sha1 ipsec 1 ike psk vpntest ipsec 1 ike dh grp2 ・・・(*) ipsec 1 ike pfs on grp2 ipsec 1 ike lifetime isakmp 28800 ・・・(*) IKE(フェーズ1)オプションを設定します。暗号化・認証アルゴリズム、事前共有キー、DH グループ、PFS、SA 生存 時間を指定します。 ((*)はデフォルト設定値のため、コンフィグには表示されません) ipsec 1 ike keepalive on d=10.1.1.254 r=5 i=4 ping による IKE セッション監視機能を有効にします。 ipsec 1 policy enc esp ・・・(*) ipsec 1 policy auth esp ・・・(*) ipsec 1 esp enc 3des ・・・(*) ipsec 1 esp auth sha1 ipsec 1 ike lifetime ipsec 28800 IPSec(フェーズ2)のオプション設定です。カプセル化プロトコル、認証・暗号化アルゴリズム、SA 生存時間を指定 します。 ((*)はデフォルト設定値のため、コンフィグには表示されません) -5© 2006 SOGEN
© Copyright 2024 Paperzz
