【設定例1】シングルスターVPN
概要
親拠点を頂点としたスター型のVPN ネットワークです。VPN 親機にSEIL[Turbo] を1 台使用し、子拠点ごとに1 台ずつ配備したSEIL[Plus] を束ねます。静的ルーティングのみでVPN を構成するため、最もコンフィギュレーションを容易に作成出来る利点があります。
IPsec-VPN の実現にはSEIL が保持するIPsec インターフェイス機能を用いるため、IPsec トンネルを仮想的に回線と見立てた柔軟なルーティング設計が可能です。
機器の構成
機器構成
シングルスターSEIL/VPNは親拠点と子拠点の二種類の拠点から構成されます。
各拠点の機器構成を下図に示します。子拠点はA, Bの2拠点ありますが、
各子拠点のIPアドレスの相違及びそれに対応するコンフィグを除き、同一の設定です。
文中の" : "のついた英数字(例S-1:)は機器の識別子として、図中の英数字と対応しています。
親拠点
- C:親拠点 VPN親機:SEIL/Turbo
-
子拠点のVPN子機(A:B:)とVPNトンネルを確立します。
ルーティングは各拠点に対する静的経路と、F:ファイアウォールのLAN側に対するデフォルト経路を設定します。
- 【配線】:
-
LAN0ポート→S-1:へ接続
LAN1ポート→S-2:へ接続
- R:インターネット接続ルータ:SEIL/Plus
- 親拠点のインターネット接続のゲートウェイとなります。 グローバルセグメントをLAN側に作成します。
- S-1:Layer-2 スイッチ
- C:とF:のLAN側を中継します。
- S-2:Layer-2スイッチ
- C:とF:のWAN側を中継します。
- F:ファイアウォール
- 親拠点、及び、親拠点経由の各子拠点のインターネット通信について、VPN親機に代わり、NAT、セキュリティコントロールを一括して実施します。 VPN装置では、顧客独自のセキュリティフィルタは記述せず、親・子拠点間をつなぐIPsecパケット、管理ホストによるTelnet・SSH、NTPサーバのアクセスを除いて通信を許可しないフィルタ設定にとどめています。
子拠点A
- A:子拠点A VPN子機:SEIL/Plus
- 親拠点のVPN親機C:と1本のVPNトンネルを確立します。
また、LAN側ローカルのアドレスはLAN側ネットワークのデフォルトゲートとして提供されます。
デフォルト経路はVPNトンネル(親拠点C:)へ向け、インターネットへのアクセスは親拠点を経由するようにします。
- 【配線】:
-
LAN0ポート→LAN側ネットワークへ接続
LAN1ポート→モデム/メディアコンバータへ接続
子拠点B
- B:子拠点B VPN子機:SEIL/Plus
-
A:と同様に、親拠点のVPN親機C:と1本のVPNトンネルを確立し、
LAN側ローカルのアドレスはLAN側ネットワークのデフォルトゲートとして提供されます。
デフォルト経路はVPNトンネル(親拠点C:)へ向け、インターネットへのアクセスは親拠点を経由するようにします。
- 【配線】:
-
LAN0ポート→LAN側ネットワークへ接続
LAN1ポート→モデム/メディアコンバータへ接続
IPアドレス設計
実際のネットワーク環境に併せて変更する必要のあるIPアドレス情報を下記に示します。
※10.x.xx.xxx:太字のアドレスはISPから割り当てられたグローバルアドレスです。
親拠点
| I/F | Address | 備考 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| lan0 | 192.168.0.1/24 | 親拠点のLAN側ローカル | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| lan1 | 10.0.0.2/29 | 親拠点のWAN側グローバル | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ipsec0 | unnumbered | 子拠点Aとのトンネル | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ipsec1 | unnumbered | 子拠点Bとのトンネル |
| I/F | Address | 備考 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| lan0 | 10.0.0.1/29 | インターネットへのゲートウェイ | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| pppoe0 | unnumbered | 接続サービスに依存 |
| I/F | Address | 備考 |
|---|---|---|
| lan0 | 192.168.0.2/24 | LAN内へのゲートウェイ |
| lan1 | 10.0.0.3/29 | WAN側グローバル |
子拠点A
| I/F | Address | 備考 |
|---|---|---|
| lan0 | 192.168.1.1/24 | 子拠点AのLAN側のローカル |
| pppoe0 | 10.0.1.1/32 | 子拠点AのWAN側グローバル |
| ipsec0 | unnumbered | 親拠点とのトンネル |
子拠点B
| I/F | Address | 備考 |
|---|---|---|
| lan0 | 192.168.2.1/24 | 子拠点BのLAN側ローカル |
| pppoe0 | 10.0.2.1/32 | 子拠点BのWAN側グローバル |
| ipsec0 | unnumbered | 親拠点とのトンネル |
その他のホスト
| I/F | Address | 備考 |
|---|---|---|
| --- | 172.31.0.1 | ホストAのグローバルアドレス |
| --- | 172.31.1.1 | ホストBのグローバルアドレス |
| I/F | Address | 備考 |
|---|---|---|
| --- | 10.123.0.1 | インターネット上のNTPサーバ |
コンフィグと解説
ここでは、以下の機器について設定内容を解説します。
- Index:
- C: 親拠点 VPN親機 コンフィグ:解説
- A: 子拠点A VPN子機 コンフィグ:解説
- B: 子拠点B VPN子機 コンフィグ:解説
親拠点 VPN親機:コンフィグ
1| hostname "Center" 2| timezone "Japan" 3| environment login-timer 300 4| option ip monitor-linkstate on 5| option ip redirects off 6| interface lan0 media auto 7| interface lan0 add 192.168.0.1/24 8| interface lan1 media auto 9| interface lan1 queue normal 10| interface lan1 add 10.0.0.2/29 11| interface lan2 media auto 12| interface ipsec0 tunnel 10.0.0.2 10.0.1.1 13| interface ipsec0 mtu 1500 14| interface ipsec0 tcp-mss 1358 15| interface ipsec0 unnumbered 16| interface ipsec1 tunnel 10.0.0.2 10.0.2.1 17| interface ipsec1 mtu 1500 18| interface ipsec1 tcp-mss 1358 19| interface ipsec1 unnumbered 20| bridge disable 21| bridge ip-bridging on 22| bridge ipv6-bridging on 23| route add default 192.168.0.2 24| route add 10.123.0.1/32 10.0.0.1 25| route add 172.31.0.1/32 10.0.0.1 26| route add 172.31.1.1/32 10.0.0.1 27| route add 10.0.1.1/32 10.0.0.1 28| route add 10.0.2.1/32 10.0.0.1 29| route add 192.168.1.0/24 ipsec0 30| route add 192.168.2.0/24 ipsec0 31| route dynamic rip disable 32| route dynamic ospf disable 33| route dynamic redistribute static-to-rip disable 34| route dynamic redistribute static-to-ospf disable 35| route dynamic redistribute ospf-to-rip disable 36| route dynamic redistribute rip-to-ospf disable 37| route dynamic redistribute connected-to-rip enable 38| route dynamic redistribute connected-to-ospf enable 39| route dynamic pim-sparse disable 40| route6 dynamic ripng disable 41| route6 dynamic redistribute static-to-ripng disable 42| route6 dynamic redistribute connected-to-ripng enable 43| route6 dynamic pim-sparse disable 44| filter add Operation01 interface lan1 direction in action pass protocol 50 src 10.0.1.1/32 dst 10.0.0.2/32 state disable logging on enable 45| filter add Operation02 interface lan1 direction in action pass protocol 50 src 10.0.2.1/32 dst 10.0.0.2/32 state disable logging on enable 46| filter add Operation03 interface lan1 direction in action pass protocol tcpudp src 10.0.1.1/32 srcport 500 dst 10.0.0.2/32 dstport 500 state disable logging on enable 47| filter add Operation04 interface lan1 direction in action pass protocol tcpudp src 10.0.2.1/32 srcport 500 dst 10.0.0.2/32 dstport 500 state disable logging on enable 48| filter add Operation05 interface lan1 direction in action pass protocol tcp src 172.31.0.1/32 srcport 0-65535 dstport 22-23 state disable logging on enable 49| filter add Operation06 interface lan1 direction in action pass protocol tcp src 172.31.1.1/32 srcport 0-65535 dstport 22-23 state disable logging on enable 50| filter add Operation07 interface lan1 direction in action pass protocol tcp src 10.123.0.1/32 srcport 0-65535 dstport 123 state disable logging off enable 51| filter add Deny01 interface lan1 direction in action block state disable logging on enable 52| nat timeout 900 53| nat logging off 54| nat upnp off 55| nat upnp interface lan1 56| dhcp disable 57| dhcp mode server 58| dns forwarder disable 59| ntp enable 60| ntp server add 10.123.0.1 61| ike interval 40s phase1-timeout 01m phase2-timeout 02m20s 62| ike auto-initiation enable 63| ike preshared-key add 10.0.1.1 "IKEpresharedKEY" 64| ike preshared-key add 10.0.2.1 "IKEpresharedKEY" 65| ike proposal add IKEP01 encryption 3des hash sha1 authentication preshared-key dh-group modp1024 lifetime-of-time 1d 66| ike peer add EdgeA address 10.0.1.1 exchange-mode main proposals IKEP01 tunnel-interface enable 67| ike peer add EdgeB address 10.0.2.1 exchange-mode main proposals IKEP01 tunnel-interface enable 68| ipsec security-association proposal add SAP01 pfs-group modp1024 authentication-algorithm hmac-sha1 encryption-algorithm 3des lifetime-of-time 03h 69| ipsec security-association add EdgeA tunnel-interface ipsec0 ike SAP01 esp enable 70| ipsec security-association add EdgeB tunnel-interface ipsec1 ike SAP01 esp enable 71| cbq link-bandwidth 100Mbps 72| snmp disable 73| snmp community "public" 74| snmp trap disable 75| syslog debug-level off 76| syslog facility local1 77| syslog remote off 78| translator timeout 300 79| encrypted-password admin ADMINPASSWD 80| encrypted-password user USERPASSWD 81| resolver disable 82| rtadvd disable 83| httpd disable 84| sshd hostkey rsa1 auto 85| sshd hostkey rsa none 86| sshd hostkey dsa none 87| sshd enable 88| telnetd disable 89| remote-console disable 90| vendor OEM
親拠点 VPN親機:解説
- 7| interface lan0
- VPN親機C:のLAN側プライベートアドレスを設定します。 lan0インターフェイスに親拠点LAN内に対応するIPアドレスとサブネットマスクを設定します。
- 10| interface lan1
- VPN親機C:のWAN側グローバルアドレスを設定してください。 lan1インターフェイスに親拠点WANに対応するIPアドレスとサブネットマスクを設定します。
- 12|~15| interface ipsec0
-
VPN親機C:とVPN子機A:間のトンネル(IPsecインターフェイス)を設定します。
子機ごとにそれぞれに対するIPsecインターフェイスの設定が必要です。
- tunnel
始点はVPN親機C:のWAN側グローバルアドレス、終点はVPN子機A:のWAN側グローバルアドレスを設定します。- mtu
IPsecインターフェイスのMTUを指定します。- tcp-mss
IPsecインターフェイスのTCP MSS調整値を指定します。 フレッツ回線は1358、専用線接続やYahoo!BBは1460、それら以外(不明な場合を含む)は1280を指定します。- unnumbered
IPsecインターフェイスにはIPアドレスを付与せずunnumberedとします。 - 15|~19| interface ipsec1
- ipsec0インターフェイスと同様に、VPN親機C:とVPN子機B:間のトンネルを設定します。
- 23|~30| route
-
VPN親機C:のルーティングを設定します。
- add default 192.168.0.2
VPN親機C:のデフォルト経路は、ファイアウォールのLAN側へ向けます。- add 10.0.1.1/32 10.0.0.1 add 10.0.2.1/32 10.0.0.1
VPN子機A:及びB:のグローバルアドレス(IPsecインターフェイスのトンネル終点)宛の経路を インターネット接続ルータのアドレスへ向けます。- add 192.168.1.0/24 ipsec0 add 192.168.2.0/24 ipsec0
子拠点A及び子拠点BのLAN側ローカルネットワーク宛の経路をIPsecインターフェイスへ向けます。- add 10.123.0.1/32 10.0.0.1 add 172.31.0.1/32 10.0.0.1 add 172.31.1.1/32 10.0.0.1
NTPサーバ及び管理ホスト宛の経路をインターネット接続ルータのアドレスへ向けます。 - 44|~53| filter
-
VPN親機C:のIPフィルタを設定します。前提として、親拠点LAN内及び親拠点経由の子拠点と、インターネット間の通信は、ファイアウォール装置を必ず経由させる構成としています。そこで、VPN親機へ設定するIPフィルタは、拠点間の通信と管理ホストによる遠隔保守管理を最低限許可する設定にとどめています。
- add Operation01 add Operation02 add Operation03 add Operation04 add Operation05 add Operation06 add Operation07 add Deny01
親・子拠点間をつなぐIPsecパケット、管理ホストによるTelnet・SSH、NTPサーバによるアクセスはPass、その他すべての通信はBlockします。
| I/F | direction | action | protocol | src : srcport | dst : dstport |
|---|---|---|---|---|---|
| lan1 | in | pass | 50(esp) | 10.0.1.1/32 : --- | 10.0.0.2/32 : --- |
| lan1 | in | pass | 50(esp) | 10.0.2.1/32 : --- | 10.0.0.2/32 : --- |
| lan1 | in | pass | tcpudp | 10.0.1.1/32 : 500 | 10.0.0.2/32 : 500 |
| lan1 | in | pass | tcpudp | 10.0.2.1/32 : 500 | 10.0.0.2/32 : 500 |
| lan1 | in | pass | tcp | 172.31.0.1/32 : 0-65535 | --- : 22-23 |
| lan1 | in | pass | tcp | 172.31.1.1/32 : 0-65535 | --- : 22-23 |
| lan1 | in | pass | tcp | 10.123.0.1/32 : 0-65535 | --- : 123 |
| lan1 | in | block | --- | --- : --- | --- : --- |
- 61|,62| ntp
- VPN親機C:のNTP機能を設定します。 保守・管理やトラブルシュート時に正しい時刻の情報を取得可能になります。
- 63| ike interval , phase1/2-timeout
- IKEセッションのネゴシエーションのリトライ間隔、応答待ち時間を調整します。
- 64| ike auto-initiation enable
- VPN親機C:が起動/再起動した際に自動的にIKEセッションを開始します。
- 65|,66| ike preshared-key
- 識別子をVPN子機それぞれのグローバルアドレス(トンネル終端アドレス)とし、そのVPN子機に対応する(子機の台数分の)事前共有鍵を設定します。 事前共有鍵の文字列はVPN子機ごとに異なる文字列を割り当てることも出来ます。
- 67| ike proposal
- 鍵交換時の安全性を確保するための暗号アルゴリズムの組み合わせなどを指定するIKEプロポーザルを設定します。 鍵交換を行う機器同士では共通のプロポーザルが設定されている必要がありますが、対ごとに(使用する機器に合わせて)異なるプロポーザルを設定することも可能です。 ここでは全拠点で共通のプロポーザルを使用するため、1行のみ設定しています。
- 68|,69| ike peer
- 鍵交換を行う相手(peer)について設定します。 子機ごとに、トンネル終端のグローバルアドレスや使用するIKEプロポーザルを指定します。 鍵交換モード(exchange-mode)はメインモードとし、IPsecインターフェイスを使用するため "tunnel-interface enable"を設定します。
- 70| ipsec security-association proposal
- IPsec通信で実際に使用する暗号アルゴリズムの組み合わせなどを指定するIPsec-SAプロポーザルを設定します。 IKEプロポーザル同様、拠点の対ごとに異なるパラメータを指定することも可能ですが、ここでは共通のプロポーザルを使用します。
- 71|,72| ipsec security-association
- 子機と暗号パケットの送受信を行うIPsecトンネルを定義するセキュリティアソシエーション(IPsec-SA)を設定します。 親機と子機の対応ごとに設定し、IPsecインターフェイスを使用するため"tunnel-interface ipsecX "、 IPsec-SAプロポーザルは前段で設定した"SAP01"、IKEで鍵交換を行い、ESPを有効にすることを指定します。
- 81|,82| encrypted-password
- 機器の管理パスワードを設定します。 コンフィグ上では暗号化された状態となり、実際のパスワード文字列とは異なるものが表示されます。 設定時は"password admin","password user"コマンドを使用し、必ずadmin,user両方の管理パスワードを設定してください。
子拠点A-VPN子機:コンフィグ
1| hostname "EdgeA" 2| timezone "Japan" 3| environment login-timer 300 4| option ip monitor-linkstate on 5| option ip redirects off 6| ppp add IIJ keepalive 30 ipcp enable ipcp-address on ipcp-dns on ipv6cp disable authentication-method chap identifier pppaccount1@example.jp passphrase PPPPASSWD tcp-mss auto 7| interface lan0 media auto 8| interface lan0 add 192.168.1.1/24 9| interface lan1 media auto 10| interface lan1 queue normal 11| interface pppoe0 over lan1 12| interface pppoe0 ppp-configuration IIJ 13| interface ipsec0 tunnel 10.0.1.1 10.0.0.2 14| interface ipsec0 mtu 1500 15| interface ipsec0 tcp-mss 1358 16| interface ipsec0 unnumbered 17| bridge disable 18| bridge ip-bridging on 19| bridge ipv6-bridging on 20| route add default ipsec0 21| route add 10.123.0.1/32 pppoe0 22| route add 172.31.0.1/32 pppoe0 23| route add 172.31.1.1/32 pppoe0 24| route add 10.0.0.2/32 pppoe0 25| route dynamic rip disable 26| route dynamic ospf disable 27| route dynamic redistribute static-to-rip disable 28| route dynamic redistribute static-to-ospf disable 29| route dynamic redistribute ospf-to-rip disable 30| route dynamic redistribute rip-to-ospf disable 31| route dynamic redistribute connected-to-rip enable 32| route dynamic redistribute connected-to-ospf enable 33| route dynamic pim-sparse disable 34| route6 dynamic ripng disable 35| route6 dynamic redistribute static-to-ripng disable 36| route6 dynamic redistribute connected-to-ripng enable 37| route6 dynamic pim-sparse disable 38| filter add Operation01 interface pppoe0 direction in action pass protocol 50 src 10.0.0.2/32 dst 10.0.1.1/32 state disable logging on enable 39| filter add Operation02 interface pppoe0 direction in action pass protocol tcpudp src 10.0.0.2/32 srcport 500 dst 10.0.1.1/32 dstport 500 state disable logging on enable 40| filter add Operation03 interface pppoe0 direction in action pass protocol tcp src 172.31.0.1/32 srcport 0-65535 dstport 22-23 state disable logging on enable 41| filter add Operation04 interface pppoe0 direction in action pass protocol tcp src 172.31.1.1/32 srcport 0-65535 dstport 22-23 state disable logging on enable 42| filter add Operation05 interface pppoe0 direction in action pass protocol tcp src 10.123.0.1/32 srcport 0-65535 dstport 123 state disable logging off enable 43| filter add Deny01 interface pppoe0 direction in action block state disable logging on enable 44| nat timeout 900 45| nat logging off 46| nat upnp off 47| nat upnp interface lan1 48| dhcp disable 49| dhcp mode server 50| dns forwarder disable 51| ntp enable 52| ntp server add 10.123.0.1 53| ike interval 40s phase1-timeout 01m phase2-timeout 02m20s 54| ike auto-initiation enable 55| ike preshared-key add 10.0.0.2 "IKEpresharedKEY" 56| ike proposal add IKEP01 encryption 3des hash sha1 authentication preshared-key dh-group modp1024 lifetime-of-time 1d 57| ike peer add Center address 10.0.0.2 exchange-mode main proposals IKEP01 tunnel-interface enable 58| ipsec security-association proposal add SAP01 pfs-group modp1024 authentication-algorithm hmac-sha1 encryption-algorithm 3des lifetime-of-time 03h 59| ipsec security-association add Center tunnel-interface ipsec0 ike SAP01 esp enable 59| cbq link-bandwidth 10Mbps 60| snmp disable 61| snmp community "public" 62| snmp trap disable 63| syslog debug-level off 64| syslog facility local1 65| syslog remote off 66| translator timeout 300 67| encrypted-password admin ADMINPASSWD 68| encrypted-password user USERPASSWD 69| resolver disable 70| rtadvd disable 71| httpd disable 72| sshd hostkey rsa1 auto 73| sshd hostkey rsa none 74| sshd hostkey dsa none 75| sshd enable 76| telnetd disable 77| remote-console disable 78| vendor OEM
子拠点A VPN子機:解説
- 6| ppp
- 子拠点におけるVPN子機がインターネットに接続するため、PPPoE接続を設定します。 利用する接続サービスに応じて、適切なアカウント情報を設定します。
- 8| interface lan0
- VPN子機A:のLAN側プライベートアドレスを設定します。 lan0インターフェイスに子拠点AのLAN内に対応するIPアドレスとサブネットマスクを設定します。
- 11|,12| interface pppoe0
- pppoe0インターフェイスをインターネット接続に使用するよう設定します。 unnumbered接続の接続サービスを利用する場合には、"interface pppoe0 unnumbered"を追加設定し、 ppp設定の"ipcp-address"は"off"とします。
- 13|~16| interface ipsec0
- VPN子機A: とVPN親機C: 間のトンネル(IPsecインターフェイス)を設定します。 子拠点間の通信は親拠点を経由させるため、トンネルは親拠点に対する1つだけ設定します。
- 20|~24| route
-
VPN子機A:のルーティングを設定します。
- add default ipsec0
VPN子機のデフォルト経路はVPN親機とトンネルを張るIPsecインターフェイスへ向けます。 他の拠点宛の通信やインターネット上のホストへの通信も、VPN越しに親拠点を経由して行います。- add 10.0.0.2/32 pppoe0
IPsecトンネルの終端(親機のWAN側グローバルアドレス)宛の経路は インターネット(PPPoEインターフェイス)へ向けます。 デフォルト経路のみの設定では、IPsec通信を確立するための通信も未確立の IPsecインターフェイスへ向けられIPsec通信が確立しません。- add 10.123.0.1/32 pppoe0 add 172.31.0.1/32 pppoe0 add 172.31.1.1/32 pppoe0
NTPサーバ及び管理ホスト宛の経路はインターネット(PPPoEインターフェイス)へ向けます。 - 37|~46| filter
- VPN子機A:のIPフィルタを設定します。 子拠点と、各拠点間及びインターネット間の通信は、親拠点を必ず経由する構成としています。そこで、IPフィルタは、拠点間の通信と管理ホストによる遠隔保守管理を最低限許可する設定にとどめています。具体的には、親・子拠点間をつなぐIPsecパケット、管理ホストによるTelnet・SSH、NTPサーバによるアクセスはPass、その他すべての通信はBlockします。
- 54|,55| ntp
- VPN子機A:のNTP機能を、VPN親機C:と同様に設定します。 保守・管理やトラブルシュート時に正しい時刻の情報を取得可能になります。
- 56|,57| ike interval , phase1/2-timeout , auto-initiation
- VPN親機C:と同様に、ike の調整パラメータを設定します。
- 58| ike preshared-key
- 識別子をVPN親機C:のグローバルアドレス(トンネル終端アドレス)とし、 VPN親機C:に対応する事前共有鍵を設定します。
- 59| ike proposal
- VPN親機C:で設定するものと同じIKEプロポーザルを設定します。 VPN親機側で拠点ごとに異なるIKEプロポーザルを設定する場合には、子拠点A向けの設定に合わせて設定します。
- 60| ike peer
- VPN親機C:を鍵交換相手とするike peerを設定します。 トンネル終端となるのVPN親機のグローバルアドレスを指定し、VPN親機の設定と同様に使用するIKEプロポーザルや鍵交換モード等を設定します。
- 61| ipsec security-association proposal
- VPN親機で設定するものと同じIPsec-SAプロポーザルを設定します。 IKEプロポーザル同様、VPN親機で拠点ごとに異なるIPsec-SAプロポーザルを設定する場合には、 子拠点A向けの設定に合わせて設定します。
- 62| ipsec security-association
- VPN親機と暗号パケットの送受信を行うIPsecトンネルを定義する、 IPsecセキュリティアソシエーション(IPsec-SA)を設定します。 VPN親機と接続するipsec0インターフェイスについて、IPsec-SAプロポーザルやIKE、ESPの使用を指定します。
- 71|,72| encrypted-password
- VPN親機と同様に、VPN子機A:の管理パスワードを設定します。 VPN親機と同じパスワード文字列である必要はありません。
子拠点B VPN子機:コンフィグ
1| hostname "EdgeB" 2| timezone "Japan" 3| environment login-timer 300 4| option ip monitor-linkstate on 5| option ip redirects off 6| ppp add IIJ keepalive 30 ipcp enable ipcp-address on ipcp-dns on ipv6cp disable authentication-method chap identifier pppaccount2@example.jp passphrase PPPPASSWD tcp-mss auto 7| interface lan0 media auto 8| interface lan0 add 192.168.2.1/24 9| interface lan1 media auto 10| interface lan1 queue normal 11| interface pppoe0 over lan1 12| interface pppoe0 ppp-configuration IIJ 13| interface ipsec0 tunnel 10.0.2.1 10.0.0.2 14| interface ipsec0 mtu 1500 15| interface ipsec0 tcp-mss 1358 16| interface ipsec0 unnumbered 17| bridge disable 18| bridge ip-bridging on 19| bridge ipv6-bridging on 20| route add default ipsec0 21| route add 10.123.0.1/32 pppoe0 22| route add 172.31.0.1/32 pppoe0 23| route add 172.31.1.1/32 pppoe0 24| route add 10.0.0.2/32 pppoe0 25| route dynamic rip disable 26| route dynamic ospf disable 27| route dynamic redistribute static-to-rip disable 28| route dynamic redistribute static-to-ospf disable 29| route dynamic redistribute ospf-to-rip disable 30| route dynamic redistribute rip-to-ospf disable 31| route dynamic redistribute connected-to-rip enable 32| route dynamic redistribute connected-to-ospf enable 33| route dynamic pim-sparse disable 34| route6 dynamic ripng disable 35| route6 dynamic redistribute static-to-ripng disable 36| route6 dynamic redistribute connected-to-ripng enable 37| route6 dynamic pim-sparse disable 38| filter add Operation01 interface pppoe0 direction in action pass protocol 50 src 10.0.0.2/32 dst 10.0.2.1/32 state disable logging on enable 39| filter add Operation02 interface pppoe0 direction in action pass protocol tcpudp src 10.0.0.2/32 srcport 500 dst 10.0.2.1/32 dstport 500 state disable logging on enable 40| filter add Operation03 interface pppoe0 direction in action pass protocol tcp src 172.31.0.1/32 srcport 0-65535 dstport 22-23 state disable logging on enable 41| filter add Operation04 interface pppoe0 direction in action pass protocol tcp src 172.31.1.1/32 srcport 0-65535 dstport 22-23 state disable logging on enable 42| filter add Operation05 interface pppoe0 direction in action pass protocol tcp src 10.123.0.1/32 srcport 0-65535 dstport 123 state disable logging off enable 43| filter add Deny01 interface pppoe0 direction in action block state disable logging on enable 44| nat timeout 900 45| nat logging off 46| nat upnp off 47| nat upnp interface lan1 48| dhcp disable 49| dhcp mode server 50| dns forwarder disable 51| ntp enable 52| ntp server add 10.123.0.1 53| ike interval 40s phase1-timeout 01m phase2-timeout 02m20s 54| ike auto-initiation enable 55| ike preshared-key add 10.0.0.2 "IKEpresharedKEY" 56| ike proposal add IKEP01 encryption 3des hash sha1 authentication preshared-key dh-group modp1024 lifetime-of-time 1d 57| ike peer add Center address 10.0.0.2 exchange-mode main proposals IKEP01 tunnel-interface enable 58| ipsec security-association proposal add SAP01 pfs-group modp1024 authentication-algorithm hmac-sha1 encryption-algorithm 3des lifetime-of-time 03h 59| ipsec security-association add Center tunnel-interface ipsec0 ike SAP01 esp enable 60| cbq link-bandwidth 10Mbps 61| snmp disable 62| snmp community "public" 63| snmp trap disable 64| syslog debug-level off 65| syslog facility local1 66| syslog remote off 67| translator timeout 300 68| encrypted-password admin ADMINPASSWD 69| encrypted-password user USERPASSWD 70| resolver disable 71| rtadvd disable 72| httpd disable 73| sshd hostkey rsa1 auto 74| sshd hostkey rsa none 75| sshd hostkey dsa none 76| sshd enable 77| telnetd disable 79| remote-console disable 80| vendor OEM
子拠点B VPN子機:解説
VPN子機B:のコンフィグについては、VPN子機A:と異なる点(子拠点(子機)をさらに追加する場合に 最低限変更が必要な点)についてのみ解説します。- 6| ppp
- 一般的なPPPoE接続サービスでは接続拠点ごとにアカウントが必要となりますので、 拠点B用に用意したアカウント情報を設定します。
- 8| interface lan0
- VPN子機B:のLAN側プライベートアドレスを設定します。 lan0インターフェイスに子拠点BのLAN内に対応するIPアドレスとサブネットマスクを設定します。
- 13| interface ipsec0
- VPN子機B:とVPN親機C:間のトンネル(IPsecインターフェイス)を設定します。 始点にVPN子機B:のWAN側グローバルアドレス、終点にVPN親機C:のWAN側グローバルアドレスを指定します。
- 38|,39| filter
- VPN親機C:からのIPsecパケットをPASSするフィルタ設定につき、宛先アドレスをVPN子機B:のWAN側グローバルアドレスに設定します。
シングルスターSEIL/VPNの動作確認項目
設置した装置について、使用している機能が想定通りに動作しているか確認していきます。確認項目
- 同拠点内(LAN内)の近隣装置への到達性を確認 LAN内の同セグメントの装置など、設置時点で疎通がとれるはずの装置へ到達性を確認します。
- インターネット接続の状態を確認 インターネット接続を終端する装置は、インターネット接続が正常に確立しているか確認します。
- IPsec/IKEのステータスを確認 VPN親機/VPN子機となる装置は、IPsec/IKEのセッションが正常に確立しているか確認します。
- ルーティングテーブルを確認 ルーティングテーブルを参照し、適切な状態となっているか確認します。
- 拠点間通信の疎通性を確認 VPNトンネルを経由する拠点間通信の疎通性を確認します。
※ 設置される順序や構成に併せた順序で確認してください。
親拠点での動作確認
- インターネット接続のステータスを確認
- インターネット接続ルータR:において、"show status ppp pppoe0", "show status interface pppoe0"コマンドを実行してPPPoE接続が正常に確立しているか確認します。 また、pingコマンド等でインターネット上のホスト(NTPサーバ等)への到達性を確認します。
- 親拠点内各装置への到達性確認
- VPN親機C:において、インターネット接続ルータR:、ファイアウォールF:宛のpingコマンドを実行して 正常に応答があるか確認します。また、親拠点内に接続されている端末などからも同様に各装置への到達性を確認します。
- VPNトンネル終端(対向装置)への到達性を確認
- VPN親機から子拠点の各VPN子機のグローバルアドレス宛のpingコマンドを実行し、 IPsecインターフェイスのトンネル終端への到達性を確認します。
- IPsec/IKEのステータスを確認
- VPN親機C:において"show status ike"コマンドを実行し、各子拠点のVPN子機との IKEによる鍵交換が完了していることを確認します。 また、"show status ipsec"コマンドを実行し、各子拠点のVPN子機それぞれに対して IPsecセッションが確立されていることを確認します。
- ルーティングテーブルを確認
- VPN親機C:において"show status route"コマンドを実行し、静的経路設定にしたがってデフォルト経路、 IPsecトンネル終端向け経路、各子拠点向け経路などがルーティングテーブルに登録されていることを確認します。
- 拠点間通信の到達性を確認
- 親拠点LAN内の端末から各子拠点LAN内の任意の端末への到達性を、 pingコマンドや拠点間VPNを利用するアプリケーションの実行等により確認します。
子拠点での動作確認
子拠点での動作確認は各拠点とも共通です。- 子拠点内各装置への到達性確認
- VPN子機から所属する子拠点LAN内の端末等に対して、また子拠点LAN内のホストからVPN子機に対して pingコマンドを実行し、正常に到達することを確認します。
- インターネット接続のステータスを確認
- VPN子機において"show status ppp pppoe0","show status interface pppoe0"コマンドを実行し、 PPPoE接続が正常に確立しているか確認します。 また、宛先の経路が静的にPPPoEインターフェイスに向けられているNTPサーバなどへ宛てた pingコマンドでインターネット上のホストへの到達性を確認します。
- VPNトンネル終端(対向装置)への到達性を確認
- VPN親機C:のグローバルアドレス宛のpingコマンドを実行し、IPsecインターフェイスのトンネル終端への 到達性を確認します。
- IPsec/IKEのステータスを確認
- VPN子機において"show status ike"コマンドを実行し、VPN親機C:とのIKEによる鍵交換が完了しているか確認します。 また、"show status ipsec"コマンドを実行してVPN親機C:とのIPsecセッションが確立しているか確認します。
- ルーティングテーブルを確認
- VPN子機において"show status route"コマンドを実行し、静的経路設定にしたがってデフォルト経路、 IPsecトンネル終端向け経路などがルーティングテーブルに登録されていることを確認します。
- 拠点間通信の到達性を確認
- 子拠点LAN内の端末から親拠点LAN内の端末へ、また他の子拠点のLAN内の端末へといったVPN越しの通信の到達性を pingコマンド等で確認します。