【設定例2】デュアルスターVPN

概要

親拠点と子拠点の各装置及び回線が冗長化された二重のスター型のVPN ネットワークです。
親拠点及び子拠点の回線・機器はメイン系（Active 系）とバックアップ系（Standby系）の2 系統分配備します。
親拠点側のメイン系と子拠点側のメイン系、親拠点側のバックアップ系と対向の子拠点側バックアップ系がそれぞれ対応したVPN セッションを構成します。
メイン系の機器および回線いずれの障害の場合も、OSPF により障害を検出して自動でバックアップ系の経路に迂回する非常に可用性の高い構成です。また、障害復旧と共にバックアップ系からメイン系への切り戻しも自動で行われます。シングルスターSEIL/VPN の場合と同様に、IPsec インターフェイス機能を用いてVPN を実現するため柔軟なルーティング設計を可能にした構成です。

機器の構成

デュアルスターSEIL/VPNは親拠点と子拠点の二種類の拠点から構成されます。各拠点の機器構成を下図に示します。子拠点はA, Bの2拠点ありますが、各子拠点のIPアドレスの相違及びそれに対応するコンフィグを除き、同一の設定です。文中のコロンのついた英数字(例S-1:)は機器の識別子として、図中の英数字と対応しています。

親拠点

C-a:親拠点 VPN親機（Active機）：SEIL/Turbo

各子拠点のActive系VPN子機（A-a:B-a:）とVPNトンネルを確立します。各拠点とOSPFで経路を交換し、親拠点VRRP機（V-a: V-s:）からOSPFでデフォルト経路を受信します。

【配線】：: LAN0ポート→S-2:へ接続
LAN1ポート→S-1:へ接続

C-s:親拠点 VPN親機（Standby機）：SEIL/Turbo

各子拠点のStandby系VPN子機（A-s:B-s:）とVPNトンネルを確立します。 C-a:同様にOSPFで経路を交換し、親拠点VRRP機（V-a: V-s:）からOSPFでデフォルト経路を受信します。

【配線】：: LAN0ポート→S-2:へ接続
LAN1ポート→S-1:へ接続

R-a: R-s:インターネット接続ルータ

VPN親機を複数セット設置する必要がある場合に設置し、LAN側がグローバルセグメントとなるよう（VPN親機のWAN側インターフェイスにグローバルアドレスを使用できるよう）設定します。

S-1:Layer-2 スイッチ

親機とインターネット接続ルータとを中継します。

S-2:Layer-2 スイッチ

親拠点のVPN親機とVRRP機間でOSPFのHelloパケットやLSAを交換するためのスイッチです。複数台設置した場合、スイッチ間はケーブルで接続します。

V-a:親拠点 VRRP機（Active機）：SEIL/Plus

VRRPのマスターとして、親拠点のLAN側ネットワーク端末やFirewallに対して子拠点宛通信の単一のゲートウェイアドレスを提供するためのVRRP機（Active機）です。また、VPN親機に対してデフォルト経路をOSPFで配布します。

【配線】：: LAN0ポート→S-3:へ接続
LAN1ポート→S-2:へ接続

V-s:親拠点 VRRP機（Standby機）：SEIL/Plus

VRRPのマスターV-a:の障害時に、バックアップとして親拠点のLAN側ネットワーク端末やFirewallに対して子拠点宛通信の単一のゲートウェイアドレスを提供するためのVRRP機（Standby）です。また、VPN親機に対してデフォルト経路をOSPFで配布します。

【配線】：: LAN0ポート→S-3:へ接続
LAN1ポート→S-2:へ接続

S-3:Layer-3 スイッチ

親拠点VRRP機のVRRP広告、及び、OSPFのHelloパケット等を交換するためのスイッチです。また、親拠点LAN側ネットワークとの接点となります。複数台設置した場合、スイッチ間はケーブルで接続します。

F:ファイアウォール

親拠点、及び、親拠点経由の各子拠点のインターネット通信について、VPN親機に代わってNAT、セキュリティコントロールを一括して実施するとともに、インターネットアクセスのゲートウェイとなります。
VPN機器では、顧客独自のセキュリティフィルタは記述せず、親・子拠点間をつなぐIPsecパケット、管理ホストによるTelnet・SSH、NTPサーバのアクセスを除いて通信を許可しないフィルタ設定にとどめています。

子拠点A

A-a:子拠点A VPN子機（Active機）：SEIL/Plus

親拠点のActive機C-a:と1本のVPNトンネルを確立します。OSPFを使用してVPNトンネル経由で動的に経路を受信します。また、平常時はVRRPのマスターとして、単一のデフォルトゲートウェイアドレスをLAN側に提供します。

【配線】：: LAN0ポート→LAN側ネットワークへ接続
LAN1ポート→モデム/メディアコンバータへ接続

A-s:子拠点A VPN子機（Standby機）：SEIL/Plus

親拠点のStandby機C-s:と1本のVPNトンネルを確立します。OSPFを使用してVPNトンネル経由で動的に経路を受信します。また、マスターA-a:の障害時に、VRRPのバックアップとして、単一のデフォルトゲートウェイアドレスをLAN側に提供します。

【配線】：: LAN0ポート→LAN側ネットワークへ接続
LAN1ポート→モデム/メディアコンバータへ接続

子拠点B

B-a:子拠点B VPN子機（Active機）：SEIL/Plus

A-a:同様、親拠点のActive機C-a:と1本のVPNトンネルを確立します。

【配線】：: LAN0ポート→LAN側ネットワークへ接続
LAN1ポート→モデム/メディアコンバータへ接続

B-s:子拠点B VPN子機（Standby機）：SEIL/Plus

A-s:同様、親拠点のStandby機C-s:と1本のVPNトンネルを確立します。

【配線】：: LAN0ポート→LAN側ネットワークへ接続
LAN1ポート→モデム/メディアコンバータへ接続

メイン網

NTTフレッツや専用線などの接続サービスを使用し、平常時はメイン網上でのVPNトンネルが使用されます。

バックアップ網

メイン網とは異なるバックボーンやIP網を持つ接続サービスを使用し、メイン網やActive機の障害時にはVRRPやOSPFの動作によりバックアップ網上でのVPNトンネルが使用されます。

IPアドレス設計

実際のネットワーク環境に併せて変更する必要のあるIPアドレス情報を下記に示します。
※10.x.xx.xxx：太字のアドレスはISPから割り当てられたグローバルアドレスです。

親拠点

C-a:親拠点 VPN親機（Active）
I/F	I/F	備考
lan0	192.168.10.11/24	親機LAN側の経路交換セグメントに対応するアドレス
lan1	10.0.0.2/29	IPsec-Tunnel始点となるWAN側アドレス
ipsec0	172.16.1.101/32	A-aとのVPNトンネルのアドレス
ipsec1	172.16.1.102/32	B-aとのVPNトンネルのアドレス

C-s:親拠点 VPN親機（Standby）
I/F	I/F	備考
lan0	192.168.10.12/24	親機LAN側の経路交換セグメントに対応するアドレス
lan1	10.0.1.2/29	IPsed-Tunnel始点となるWAN側アドレス
ipsec0	172.17.1.101/32	A-sとのVPNトンネルのアドレス
ipsec1	172.17.1.102/32	B-sとのVPNトンネルのアドレス

V-a:親拠点 VRRP機(Active)
I/F	I/F	備考
lan0	192.168.0.254/24	親拠点LAN内に対応するLAN側アドレス
lan1	192.168.10.101/24	親拠点内経路交換セグメントに対応するWAN側アドレス
VIP	192.168.0.2/24	親拠点のLAN内に提供するVPN網向へ単一のゲートウェイアドレス

V-s:親拠点 VRRP機（Standby）
I/F	I/F	備考
lan0	192.168.0.253/24	親拠点LAN内に対応するLAN側アドレス
lan1	192.168.10.102/24	親拠点内経路交換セグメントに対応するWAN側アドレス
VIP	192.168.0.2/24	親拠点のLAN内に提供するVPN網向へ単一のゲートウェイアドレス

R-s:インターネット接続ルータ(Active系)
I/F	I/F	備考
lan0	10.0.0.1/29	C-a:に提供するメイン網（インターネット）へのゲートウェイアドレス
pppoe0	unnumbered	接続サービスに依存

R-s:インターネット接続ルータ（Standby系）
I/F	I/F	備考
lan0	10.0.1.1/29	C-s:に提供するバックアップ網（インターネット）へのゲートウェイアドレス
pppoe0	unnumbered	接続サービスに依存

F:ファイアウォール
I/F	I/F	備考
---	192.168.0.1/24	インターネットアクセスのためのゲートウェイアドレス

子拠点A

A-a:子拠点A VPN子機（Active）
I/F	I/F	備考
lan0	192.168.1.10/24	子拠点AのLAN内に対応するLAN側アドレス
pppoe0	10.1.0.1/32	IPsec-Tunnel始点となるWAN側アドレス
ipsec0	172.16.101.1/32	C-a:とのVPNトンネル
VIP	192.168.1.1/24	VRRPで子拠点AのLAN内に提供するデフォルトゲートウェイアドレス

A-s:子拠点A VPN子機（Standby）
I/F	I/F	備考
lan0	192.168.1.11/24	子拠点AのLAN内に対応するLAN側アドレス
pppoe0	10.1.1.1/32	IPsec-Tunnel始点となるWAN側アドレス
ipsec0	172.17.101.1/32	C-s:とのVPNトンネル
VIP	192.168.1.1/24	VRRPで子拠点AのLAN内に提供するデフォルトゲートウェイアドレス

子拠点B

B-a:子拠点B VPN子機（Active）
I/F	I/F	備考
lan0	192.168.2.10/24	子拠点BのLAN内に対応するLAN側アドレス
pppoe0	10.2.0.1/32	IPsec-Tunnel始点となるWAN側アドレス
ipsec0	172.16.102.1/32	C-a:とのVPNトンネル
VIP	192.168.2.1/24 (master)	子拠点BのLAN内に提供するデフォルトゲートウェイアドレス

B-s:子拠点B VPN子機（Standby）
I/F	I/F	備考
lan0	192.168.2.11/24	子拠点BのLAN内に対応するLAN側アドレス
pppoe0	10.2.1.1/32	IPsec-Tunnel始点となるWAN側アドレス
ipsec0	172.17.102.1/32	C-s:とのVPNトンネル
VIP	192.168.2.1/24 (backup)	子拠点BのLAN内に提供するデフォルトゲートウェイアドレス

その他のホスト

NTPサーバ
I/F	I/F	備考
---	10.123.0.1	インターネット上のNTPサーバアドレス

遠隔保守管理ホスト
I/F	I/F	備考
---	10.100.0.1	管理ホストAのアドレス
---	10.100.1.1	管理ホストBのアドレス

コンフィグと解説

ここでは、以下の機器について設定内容を解説します。

Index：

C-a:親拠点 VPN親機（Active）コンフィグ：解説：
C-s:親拠点 VPN親機（Standby）コンフィグ：解説：
V-a:親拠点 VRRP機（Active）コンフィグ：解説：
V-s:親拠点 VRRP機（Standby）コンフィグ：解説：
A-a:子拠点AVPN子機（Active）コンフィグ：解説：
A-s:子拠点A VPN子機（Standby）コンフィグ：解説：
B-a:子拠点B VPN子機（Active）コンフィグ：解説：
B-s:子拠点B VPN子機（Standby）コンフィグ：解説：

親拠点 VPN親機（Active）：コンフィグ

 1| hostname "Ca"
 2| timezone "Japan"
 3| environment login-timer 300
 4| option ip monitor-linkstate on
 5| option ip redirects off
 6| interface lan0 media auto
 7| interface lan0 add 192.168.10.11/24
 8| interface lan1 media auto
 9| interface lan1 queue normal
10| interface lan1 add 10.0.0.2/29
11| interface lan2 media auto
12| interface ipsec0 tunnel 10.0.0.2 10.1.0.1
13| interface ipsec0 mtu 1500
14| interface ipsec0 tcp-mss 1358
15| interface ipsec0 add 172.16.1.101/32 remote 172.16.101.1
16| interface ipsec1 tunnel 10.0.0.2 10.2.0.1
17| interface ipsec1 mtu 1500
18| interface ipsec1 tcp-mss 1358
19| interface ipsec1 add 172.16.1.102/32 remote 172.16.102.1
20| bridge disable
21| bridge ip-bridging on
22| bridge ipv6-bridging on
23| route add 10.123.0.1/32 10.0.0.1
24| route add 10.100.0.1/32 10.0.0.1
25| route add 10.100.1.1/32 10.0.0.1
26| route add 10.1.0.1/32 10.0.0.1
27| route add 10.2.0.1/32 10.0.0.1
28| route dynamic rip disable
29| route dynamic ospf router-id 192.168.10.11
30| route dynamic ospf enable
31| route dynamic ospf area add 0.0.0.0
32| route dynamic ospf area add 0.0.0.1
33| route dynamic ospf link add lan0 area 0.0.0.0 cost 10
34| route dynamic ospf link add ipsec0 area 0.0.0.1 cost 10
35| route dynamic ospf link add ipsec1 area 0.0.0.1 cost 10
36| route dynamic redistribute static-to-rip disable
37| route dynamic redistribute static-to-ospf disable
38| route dynamic redistribute ospf-to-rip disable
39| route dynamic redistribute rip-to-ospf disable
40| route dynamic redistribute connected-to-rip disable
41| route dynamic redistribute connected-to-ospf disable
42| route dynamic pim-sparse disable
43| route6 dynamic ripng disable
44| route6 dynamic redistribute static-to-ripng disable
45| route6 dynamic redistribute connected-to-ripng enable
46| route6 dynamic pim-sparse disable
47| filter add Operation01 interface lan1 direction in action pass protocol 50 src 10.1.0.1/32 
dst 10.0.0.2/32 state disable logging on enable
48| filter add Operation02 interface lan1 direction in action pass protocol 50 src 10.2.0.1/32 
dst 10.0.0.2/32 state disable logging on enable
49| filter add Operation03 interface lan1 direction in action pass protocol tcpudp src 
10.1.0.1/32 srcport 500 dst 10.0.0.2/32 dstport 500 state disable logging on enable
50| filter add Operation04 interface lan1 direction in action pass protocol tcpudp src 
10.2.0.1/32 srcport 500 dst 10.0.0.2/32 dstport 500 state disable logging on enable
51| filter add Operation05 interface lan1 direction in action pass protocol tcp src 
10.100.0.1/32 srcport 0-65535 dstport 22-23 state disable logging on enable
52| filter add Operation06 interface lan1 direction in action pass protocol tcp src 
10.100.1.1/32 srcport 0-65535 dstport 22-23 state disable logging on enable
53| filter add Operation07 interface lan1 direction in action pass protocol tcp src 
10.123.0.1/32 srcport 0-65535 dstport 123 state disable logging off enable
54| filter add Deny01 interface lan1 direction in action block state disable logging on enable
55| nat timeout 900
56| nat logging off
57| nat upnp off
58| nat upnp interface lan1
59| dhcp disable
60| dhcp mode server
61| dns forwarder disable
62| ntp enable 
63| ntp server add 10.123.0.1
64| ike interval 40s phase1-timeout 01m phase2-timeout 02m20s
65| ike preshared-key add 10.1.0.1 "IKEpresharedKEY" 
66| ike preshared-key add 10.2.0.1 "IKEpresharedKEY"
67| ike proposal add IKEP01 encryption 3des hash sha1 authentication preshared-key dh-group modp1024 lifetime-of-time 1d
68| ike peer add Ca-Aa address 10.1.0.1 exchange-mode main proposals IKEP01 tunnel-interface enable
69| ike peer add Ca-Ba address 10.2.0.1 exchange-mode main proposals IKEP01 tunnel-interface enable
70| ipsec security-association proposal add SAP01 pfs-group modp1024 authentication-algorithm hmac-sha1 encryption-algorithm 3des lifetime-of-time 03h
71| ipsec security-association add Ca-Aa tunnel-interface ipsec0 ike SAP01 esp enable
72| ipsec security-association add Ca-Ba tunnel-interface ipsec1 ike SAP01 esp enable
73| cbq link-bandwidth 100Mbps
74| snmp disable
75| snmp community "public"
76| snmp trap disable
77| syslog debug-level off
78| syslog facility local1
79| syslog remote off
80| translator timeout 300
81| encrypted-password admin ADMINPASSWD 
82| encrypted-password user USERPASSWD
83| resolver disable
84| rtadvd disable
85| httpd disable
86| sshd hostkey rsa1 auto
87| sshd hostkey rsa none
88| sshd hostkey dsa none
89| sshd enable
90| telnetd enable
91| remote-console disable
92| vendor OEM

親拠点 VPN親機（Active）：解説

Acive系のVPN接続や、拠点間のOSPFの設定等を行います。

7| interface lan0

C-a:のlan0インターフェイスにIPアドレスとサブネットマスクを設定します。親機LAN側の経路交換セグメントに対応するプライベートアドレスになります。

10| interface lan1

C-a:のlan1インターフェイスにIPアドレスとサブネットマスクを設定します。メイン網に対応する、R-a:LAN側セグメントのグローバルアドレスになります。

12|～15| interface ipsec0

C-a:とA-a:間のトンネル（IPsecインターフェイス）を設定します。

- tunnel

始点はC-a:のWAN側グローバルアドレス、終点はA-a:のWAN側グローバルアドレスを設定します。

- mtu

IPsecインターフェイスのMTUを指定します。

- tcp-mss

IPsecインターフェイスのTCP MSS調整値を指定します。フレッツ回線は1358、専用線接続やYahoo!BBは1460、それら以外（不明な場合を含む）は1280を指定します。

- add 172.16.1.101/32 remote 172.16.101.1

IPsecインターフェイスのアドレスとして、ネットワーク全体で他の装置やインターフェイスと重複しないプライベートアドレスを設定します。また、対向側のアドレスに、 A-a:のIPsecインターフェイスのアドレスを指定します。

16|～19| interface ipsec1

ipsec0インターフェイスと同様に、C-a:とB-a:間のトンネルを設定します。

23|～27| route

C-a:のルーティングを設定します。デフォルト経路はOSPFによりVRRP機から配布を受けます。

- add 10.1.0.1/32 10.0.0.1
  add 10.2.0.1/32 10.0.0.1

A-a:及びB-a:のグローバルアドレス（IPsecインターフェイスのトンネル終点）宛の経路をR-a:のアドレスへ向けます。

- add 10.123.0.1/32 10.0.0.1
  add 10.100.0.1/32 10.0.0.1
  add 10.100.1.1/32 10.0.0.1

NTPサーバ及び管理ホスト宛の経路をR-a:のアドレスへ向けます。

29|～35| route dynamic ospf

動的な経路制御を行うためOSPFを設定します。

- router-id 192.168.10.11
  route dynamic ospf enable

lan0インターフェイスのIPアドレスをルータIDとして使用し、OSPF機能を有効（enable）にします。

- area add 0.0.0.0
  area add 0.0.0.1

OSPFエリアを設定します。 0.0.0.0はバックボーンエリアとし、親拠点内のOSPF機器間での経路交換に使用されます。 0.0.0.1（0.0.0.X）はVPN構成（親機-子機・Active/Standby）のセットごとのOSPFエリアとして設定します。子拠点の追加に伴い親機（Active/Standby）を増設した場合にはエリアを追加（0.0.0.2等）して割り当てます。

- link add lan0 area 0.0.0.0 cost 10

lan0インターフェイスをバックボーンエリアに所属させ、リンクのOSPFコストを設定します。

- link add ipsec0 area 0.0.0.1 cost 10
  link add ipsec1 area 0.0.0.1 cost 10

拠点間のVPN通信を行うIPsecインターフェイスをエリア0.0.0.1に所属させ、OSPFコストを設定します。

40|,41| route dynamic redistribute

経路の再配布について設定を変更します。

- connected-to-rip disable
  connected-to-ospf disable

Connected経路を再配布しないよう、disableに変更します。

47|～54| filter

C-a:のIPフィルタを設定します。前提として、親拠点LAN内及び親拠点経由の子拠点と、インターネット間の通信は、ファイアウォール装置を必ず経由させる構成としています。そこで、VPN親機へ設定するIPフィルタは、拠点間の通信と管理ホストによる遠隔保守管理を最低限許可する設定にとどめています。

- add Operation01
  add Operation02
  add Operation03
  add Operation04
  add Operation05
  add Operation06
  add Operation07
  add Deny01

親・子拠点間をつなぐIPsecパケット、管理ホストによるTelnet・SSH、NTPサーバによるアクセスはPass、その他すべての通信はBlockします。　　

フィルタ設定表
I/F	direction	action	protocol	src : srcport	dst : dstport
lan1	in	pass	50(esp)	10.1.0.1/32 : ---	10.0.0.2/32 : ---
lan1	in	pass	50(esp)	10.2.0.1/32 : ---	10.0.0.2/32 : ---
lan1	in	pass	tcpudp	10.1.0.1/32 : 500	10.0.0.2/32 : 500
lan1	in	pass	tcpudp	10.2.0.1/32 : 500	10.0.0.2/32 : 500
lan1	in	pass	tcp	10.100.0.1/32 : 0-65535	--- : 22-23
lan1	in	pass	tcp	10.100.1.1/32 : 0-65535	--- : 22-23
lan1	in	pass	tcp	10.123.0.1/32 : 0-65535	--- : 123
lan1	in	block	---	--- : ---	--- : ---

62|,63| ntp: C-a:のNTP機能を設定します。保守・管理やトラブルシュート時に正しい時刻の情報を取得可能になります。
64| ike interval , phase1/2-timeout: IKEセッションのネゴシエーションのリトライ間隔、応答待ち時間を調整します。
65|,66| ike preshared-key: 識別子を子機（Active系）のグローバルアドレス（トンネル終端アドレス）とし、その子機に対応する（子機の台数分の）事前共有鍵を設定します。事前共有鍵の文字列は子機ごとに異なる文字列を割り当てることも出来ます。
67| ike proposal: 鍵交換時の安全性を確保するための暗号アルゴリズムの組み合わせなどを指定するIKEプロポーザルを設定します。鍵交換を行う拠点同士では共通のプロポーザルが設定されている必要がありますが、対ごとに（使用する機器に合わせて）異なるプロポーザルを設定することも可能です。ここでは全拠点で共通のプロポーザルを使用するため、1行のみ設定しています。
68|,69| ike peer: 鍵交換を行う相手（peer）について設定します。対向となるActive系の子機ごとに設定し、トンネル終端のグローバルアドレスや使用するIKEプロポーザルを指定します。鍵交換モード（exchange-mode）はメインモードとし、IPsecインターフェイスを使用するため "tunnel-interface enable"を設定します。
70| ipsec security-association proposal: IPsec通信で実際に使用する暗号アルゴリズムの組み合わせなどを指定するIPsec-SAプロポーザルを設定します。 IKEプロポーザル同様、拠点の対ごとに異なるパラメータを指定することも可能ですが、ここでは共通のプロポーザルを使用します。
71|,72| ipsec security-association: 子機と暗号パケットの送受信を行うIPsecトンネルを定義するセキュリティアソシエーション（IPsec-SA）を設定します。 Active系の親機と子機の対応ごとに設定し、IPsecインターフェイスを使用するため"tunnel-interface ipsecX "、IPsec-SAプロポーザルは前段で設定した"SAP01"、IKEで鍵交換を行い、ESPを有効にすることを指定します。
81|,82| encrypted-password: C-a:の管理パスワードを設定します。コンフィグ上では暗号化された状態となり、実際のパスワード文字列とは異なるものが表示されます。設定時は"password admin","password user"コマンドを使用し、必ずadmin,user両方のパスワードを設定してください。

親拠点 VPN親機（Standby）：コンフィグ

 1| hostname "Cs"
 2| timezone "Japan"
 3| environment login-timer 300
 4| option ip monitor-linkstate on
 5| option ip redirects off
 6| interface lan0 media auto
 7| interface lan0 add 192.168.10.12/24
 8| interface lan1 media auto
 9| interface lan1 queue normal
10| interface lan1 add 10.0.1.2/29
11| interface lan2 media auto
12| interface ipsec0 tunnel 10.0.1.2 10.1.1.1
13| interface ipsec0 mtu 1500
14| interface ipsec0 tcp-mss 1358
15| interface ipsec0 add 172.17.1.101/32 remote 172.17.101.1
16| interface ipsec1 tunnel 10.0.1.2 10.2.1.1
17| interface ipsec1 mtu 1500
18| interface ipsec1 tcp-mss 1358
19| interface ipsec1 add 172.17.1.102/32 remote 172.17.102.1
20| bridge disable
21| bridge ip-bridging on
22| bridge ipv6-bridging on
23| route add 10.123.0.1/32 10.0.1.1
24| route add 10.100.0.1/32 10.0.1.1
25| route add 10.100.1.1/32 10.0.1.1
26| route add 10.1.1.1/32 10.0.1.1
27| route add 10.2.1.1/32 10.0.1.1
28| route dynamic rip disable
29| route dynamic ospf router-id 192.168.10.12
30| route dynamic ospf enable
31| route dynamic ospf area add 0.0.0.0
32| route dynamic ospf area add 0.0.0.1
33| route dynamic ospf link add lan0 area 0.0.0.0 cost 10
34| route dynamic ospf link add ipsec0 area 0.0.0.1 cost 100
35| route dynamic ospf link add ipsec1 area 0.0.0.1 cost 100
36| route dynamic redistribute static-to-rip disable
37| route dynamic redistribute static-to-ospf disable
38| route dynamic redistribute ospf-to-rip disable
39| route dynamic redistribute rip-to-ospf disable
40| route dynamic redistribute connected-to-rip disable
41| route dynamic redistribute connected-to-ospf disable
42| route dynamic pim-sparse disable
43| route6 dynamic ripng disable
44| route6 dynamic redistribute static-to-ripng disable
45| route6 dynamic redistribute connected-to-ripng enable
46| route6 dynamic pim-sparse disable
47| filter add Operation01 interface lan1 direction in action pass protocol 50 src 10.1.1.1/32 
dst 10.0.1.2/32 state disable logging on enable
48| filter add Operation02 interface lan1 direction in action pass protocol 50 src 10.2.1.1/32 
dst 10.0.1.2/32 state disable logging on enable
49| filter add Operation03 interface lan1 direction in action pass protocol tcpudp src 
10.1.1.1/32 srcport 500 dst 10.0.1.2/32 dstport 500 state disable logging on enable
50| filter add Operation04 interface lan1 direction in action pass protocol tcpudp src 
10.2.1.1/32 srcport 500 dst 10.0.1.2/32 dstport 500 state disable logging on enable
51| filter add Operation05 interface lan1 direction in action pass protocol tcp src 
10.100.0.1/32 srcport 0-65535 dstport 22-23 state disable logging on enable
52| filter add Operation06 interface lan1 direction in action pass protocol tcp src 
10.100.1.1/32 srcport 0-65535 dstport 22-23 state disable logging on enable
53| filter add Operation07 interface lan1 direction in action pass protocol tcp src 
10.123.0.1/32 srcport 0-65535 dstport 123 state disable logging off enable
54| filter add Deny01 interface lan1 direction in action block state disable logging on enable
55| nat timeout 900
56| nat logging off
57| nat upnp off
58| nat upnp interface lan1
59| dhcp disable
60| dhcp mode server
61| dns forwarder disable
62| ntp enable
63| ntp server add 10.123.0.1
64| ike interval 40s phase1-timeout 01m phase2-timeout 02m20s
65| ike preshared-key add 10.1.1.1 "IKEpresharedKEY" 
66| ike preshared-key add 10.2.1.1 "IKEpresharedKEY"
67| ike proposal add IKEP01 encryption 3des hash sha1 authentication preshared-key dh-group modp1024 lifetime-of-time 1d
68| ike peer add Cs-As address 10.1.1.1 exchange-mode main proposals IKEP01 tunnel-interface enable
69| ike peer add Cs-Bs address 10.2.1.1 exchange-mode main proposals IKEP01 tunnel-interface enable
70| ipsec security-association proposal add SAP01 pfs-group modp1024 authentication-algorithm hmac-sha1 encryption-algorithm 3des lifetime-of-time 03h
71| ipsec security-association add Cs-As tunnel-interface ipsec0 ike SAP01 esp enable
72| ipsec security-association add Cs-Bs tunnel-interface ipsec1 ike SAP01 esp enable
73| cbq link-bandwidth 100Mbps
74| snmp disable
75| snmp community "public"
76| snmp trap disable
77| syslog debug-level off
78| syslog facility local1
79| syslog remote off
80| translator timeout 300
81| encrypted-password admin ADMINPASSWD
82| encrypted-password user USERPASSWD
83| resolver disable
84| rtadvd disable
85| httpd disable
86| sshd hostkey rsa1 auto
87| sshd hostkey rsa none
88| sshd hostkey dsa none
89| sshd enable
90| telnetd enable
91| remote-console disable
92| vendor OEM

親拠点 VPN親機（Standby）：解説

Standby系のVPN接続や、拠点間のOSPFの設定等を行います。

7| interface lan0

C-s:のlan0インターフェイスにIPアドレスとサブネットマスクを設定します。親機LAN側の経路交換セグメントに対応するプライベートアドレスになります。

10| interface lan1

C-s:のlan1インターフェイスにIPアドレスとサブネットマスクを設定します。メイン網に対応する、R-s:LAN側セグメントのグローバルアドレスになります。

12|～15| interface ipsec0

C-s:とA-s間のトンネル(IPsec)インタフェースを設定します。

- tunnel

始点はC-s:のWAN側グローバルアドレス、終点はA-s:のWAN側グローバルアドレスを設定します。

- add 172.17.1.101/32 remote 172.17.101.1

IPsecインタフェースのアドレスとして、ネットワーク全体で他の装置やインタフェースと重複しないプライベートアドレスを設定します。また、対向側のアドレスに、A-sのIPsecインタフェースのアドレスを指定します。

16|～19| interface ipsec1

ipsec0インタフェースと同様に、C-s:とB-s:間のトンネルを設定します。

26|～27| route

C-s:のルーティングを設定します。デフォルト経路はOSPFによりVRRP機から配布を受けます。

- add 10.1.1.1/32 10.0.1.1
  add 10.2.1.1/32 10.0.1.1

A-s:B-s:のグローバルアドレス(IPsecインタフェースのトンネル終点)宛の経路をR-s:のアドレスへ向けます。

29|～35| route dynamic ospf

動的な経路制御を行うためOSPFを設定します。

- router-id 192.168.10.12
  route dynamic ospf enable

lan0インタフェースのIPアドレスをルータIDとして使用し、OSPF機能を有効(enable)にします。

- area add 0.0.0.0
  area 0.0.0.1

C-a:と同様にOSPFエリアを設定します。 0.0.0.0はバックボーンエリアとし、親拠点内のOSPF機器間での交換経路に使用されます。0.0.0.1(0.0.0.x)はVPN構成(親機-子機、Active/Standby)のセットごとのOSPFエリアとして設定します。子拠点の追加に伴い親機(Active/Standby)を増設した場合にはエリアを追加(0.0.0.2等)して割り当てます。

- link add lan0 area 0.0.0.0 cost 10

lan0インタフェースをバックボーンエリアに所属させ、リンクのOSPFコストを設定します。

- link add ipsec0 area 0.0.0.1 cost 100
  link add ipsec1 area 0.0.0.1 cost 100

拠点間のVPN通信を行うIPsecインタフェースをエリア0.0.0.1に所属させ、OSPFコストを設定します。平常時はActive系の経路が選択されるよう、コストを大きく設定しています。

65|,66| ike preshared-key

識別子を子機(Standby系)のグローバルアドレス(トンネル終端アドレス)とし、その子機に対応する(子機の台数分)事前共有鍵を設定します。事前共有鍵の文字列は子機ごとに異なる文字列を割り当てることができます。

68|,69| ike peer

鍵交換を行う相手(peer)について設定します。対向となるStandby系の子機ごとに設定し、トンネル終端のグローバルアドレスや使用するIKEプロポーザルを指定します。鍵交換モード(exchange-mode)はメインモードとし、IPsecインタフェースを使用するため"tunnel-interface-enable"を設定します。

71|,72| ipsec security-association

子機と暗号パケットの送受信を行うIPsecトンネルを定義するセキュリティアソシエーション(IPsec-SA)を設定します。 Standby系の親機と子機の対応ごとに設定し、IPsecインタフェースを使用するため"tunnel-interface ipsecX"、IPsec-SAプロポーザルは前段で設定した"SAP01"、IKEで鍵交換を行い、ESPを有効にすることを指定します。

親拠点 VRRP機(Active)：コンフィグ

 1| hostname "Va"
 2| timezone "Japan"
 3| environment login-timer 300
 4| option ip monitor-linkstate on
 5| option ip redirects off
 6| interface lan0 media auto
 7| interface lan0 add 192.168.0.254/24
 8| interface lan1 media auto
 9| interface lan1 queue normal
10| interface lan1 add 192.168.10.101/24
11| bridge disable
12| bridge ip-bridging on
13| bridge ipv6-bridging on
14| route add default 192.168.0.1
15| route dynamic rip disable
16| route dynamic ospf router-id 192.168.0.254
17| route dynamic ospf enable
18| route dynamic ospf default-route-originate enable metric 10 metric-type 1
19| route dynamic ospf area add 0.0.0.0
20| route dynamic ospf link add lan1 area 0.0.0.0
21| route dynamic redistribute static-to-rip disable
22| route dynamic redistribute static-to-ospf disable
23| route dynamic redistribute ospf-to-rip disable
24| route dynamic redistribute rip-to-ospf disable
25| route dynamic redistribute connected-to-rip disable
26| route dynamic redistribute connected-to-ospf disable
27| route dynamic pim-sparse disable
28| route6 dynamic ripng disable
29| route6 dynamic redistribute static-to-ripng disable
30| route6 dynamic redistribute connected-to-ripng enable
31| route6 dynamic pim-sparse disable
32| nat timeout 900
33| nat logging off
34| nat upnp off
35| nat upnp interface lan1
36| dhcp disable
37| dhcp mode server
38| dns forwarder disable
39| ntp disable 
40| cbq link-bandwidth 10Mbps
41| snmp disable
42| snmp community "public"
43| snmp trap disable
44| syslog debug-level off
45| syslog facility local1
46| syslog remote off
47| translator timeout 300
48| encrypted-password admin ADMINPASSWD 
49| encrypted-password user USERPASSWD
50| resolver disable
51| rtadvd disable
52| httpd disable
53| sshd hostkey rsa1 auto
54| sshd hostkey rsa none
55| sshd hostkey dsa none
56| sshd disable
57| telnetd enable
58| remote-console disable
59| vrrp watch-group add CenterVIP interface lan1
60| vrrp lan0 add vrid 1 address 192.168.0.2/24 prioritity 200 watch CenterVIP interval 10 delay 180
61| vendor OEM

親拠点 VRRP機(Active):解説

7| interface lan0

VRRP V-a:のlan0インタフェースに、親拠点LAN内に対応するプライベートアドレスとサブネットマスクを設定します。

10| interface lan1

V-a:のlan1インタフェースに、親拠点内の経路交換セグメントに対応するプライベートアドレスとサブネットマスクを設定します。

14| route

V-a:のルーティングを設定します。

- add default 192.168.0.1

デフォルト経路(親拠点内や子拠点内で宛先が不明となるインターネット向けの通信の経路)をファイアウォール装置へ向けます。

16|～20|　route dyanamic ospf

動的な経路制御を行うためOSPFを設定します。

- router-id 192.168.0.254
  route dynamic ospf enable

lan0インタフェースのIPアドレスをルータIDとして使用し、OSPF機能を有効(enable)にします。

- default-route-originate enable metric 10 metric-type 1

デフォルト経路をOSPFで配布し、VPN網内で宛先が不明となる通信を本機経由でファイアウォールへ向けます。

- area add 0.0.0.0
  link add lan1 area 0.0.0.0

バックボーンエリアとしてエリアID 0.0.0.0のOSPFエリアを設定し、lan1インタフェースをバックボーンエリアに所属させます。

39| ntp disable

本設定例では、VRRP機のNTP設定はdisableとしています。動作確認のためにNTP機能を使用する場合は、親拠点LAN内のNTPサーバを指定し、機能を有効(enable)にしてください。

59|,60| vrrp

親拠点LAN側から子拠点方面へのゲートウェイとなる仮想IPアドレス"192.168.0.2/24"の冗長化のため、VRRPを設定します。また、lan0インタフェースでのVRRP広告送受信に加えlan1インタフェースの状態を監視します。

- vrrp watch-group

VRRP監視グループを定義し、lan1インタフェースのup/downを判定条件に含めます。

- lan0 add vrid 1

lan0インタフェースのリンクにおけるVRIDを1とし、仮想IPアドレス"192.168.0.2"を設定します。 V-a:を平常時はVRRPのマスターとして動作させるため、V-s:よりも高い優先度(priority)を設定します。

親拠点 VRRP機(Standby)：解説

 1| hostname "Vs"
 2| timezone "Japan"
 3| environment login-timer 300
 4| option ip monitor-linkstate on
 5| option ip redirects off
 6| interface lan0 media auto
 7| interface lan0 add 192.168.0.253/24
 8| interface lan1 media auto
 9| interface lan1 queue normal
10| interface lan1 add 192.168.10.102/24
11| bridge disable
12| bridge ip-bridging on
13| bridge ipv6-bridging on
14| route add default 192.168.0.1
15| route dynamic rip disable
16| route dynamic ospf router-id 192.168.0.253
17| route dynamic ospf enable
18| route dynamic ospf default-route-originate enable metric 100 metric-type 1
19| route dynamic ospf area add 0.0.0.0
20| route dynamic ospf link add lan1 area 0.0.0.0
21| route dynamic redistribute static-to-rip disable
22| route dynamic redistribute static-to-ospf disable
23| route dynamic redistribute ospf-to-rip disable
24| route dynamic redistribute rip-to-ospf disable
25| route dynamic redistribute connected-to-rip disable
26| route dynamic redistribute connected-to-ospf disable
27| route dynamic pim-sparse disable
28| route6 dynamic ripng disable
29| route6 dynamic redistribute static-to-ripng disable
30| route6 dynamic redistribute connected-to-ripng enable
31| route6 dynamic pim-sparse disable
32| nat timeout 900
33| nat logging off
34| nat upnp off
35| nat upnp interface lan1
36| dhcp disable
37| dhcp mode server
38| dns forwarder disable
39| ntp disable 
40| cbq link-bandwidth 10Mbps
41| snmp disable
42| snmp community "public"
43| snmp trap disable
44| syslog debug-level off
45| syslog facility local1
46| syslog remote off
47| translator timeout 300
48| encrypted-password admin ADMINPASSWD 
49| encrypted-password user USERPASSWD
50| resolver disable
51| rtadvd disable
52| httpd disable
53| sshd hostkey rsa1 auto
54| sshd hostkey rsa none
55| sshd hostkey dsa none
56| sshd disable
57| telnetd enable
58| remote-console disable
59| vrrp watch-group add CenterVIP interface lan1
60| vrrp lan0 add vrid 1 address 192.168.0.2/24 prioritity 100 watch CenterVIP interval 10 delay 180
61| vendor OEM

親拠点 VRRP機(Standby):解説

7| interface lan0

VRRP機のlan0インタフェースに、親拠点LAN内に対応するプライベートアドレスとサブネットマスクを設定します。

10| interface lan1

VRRP機のlan1インタフェースに、親拠点内の経路交換セグメントに対応するプライベートアドレスとサブネットマスクを設定します。

14| route

V-s:のルーティングを設定します。

- add default 192.168.0.1

Active機同様、デフォルト経路(親拠点内や子拠点内で宛先が不明となるインターネット向け通信の経路)をファイアウォール装置へ向けます。

16|～20| route dynamic ospf enable

動的な経路制御を行うためOSPFを設定します。

- router-id 192.168.0.253
  route dynamic ospf enable

lan0インタフェースのIPアドレスをルータIDとして使用し、OSPF機能を有効(enable)にします。

- default-route-originate enable metric 100 metric-type 1

デフォルト経路をOSPFで配布し、VPN網内で宛先が不明となる通信を本機経由でファイアウォールへ向けます。Standby系の経路が平常時に選択されないよう、metricを大きく設定します。

- area add 0.0.0.0
  link add lan1 area 0.0.0.0

バックボーンエリアとしてエリアID 0.0.0.0のOSPFエリアを設定し、lan1インタフェースをバックボーンエリアに所属させます。

59|,60| vrrp

Active機と対になるよう、Standby機のVRRP機能を設定します。

- vrrp watch-group

VRRP監視グループを定義し、lan1インタフェースのup/downを判定条件に含めます。

- lan0 add vrid 1

lan0インタフェースのリンクにおけるVRIDを1とし、仮想IPアドレス"192.168.0.2"を設定します。 V-s:を平常時はVRRPのバックアップとして動作させるため、V-a:よりも低い優先度(priority)を設定します。

子拠点A VPN子機（Active）：コンフィグ

 1| hostname "Aa"
 2| timezone "Japan"
 3| environment login-timer 300
 4| option ip monitor-linkstate on
 5| option ip redirects off
 6| ppp add IIJ keepalive 30 ipcp enable ipcp-address on ipcp-dns on ipv6cp disable authentication-method chap identifier pppaccount@example.jp passphrase PPPPASSWD tcp-mss auto
 7| interface lan0 media auto
 8| interface lan0 add 192.168.1.10/24
 9| interface lan1 media auto
10| interface lan1 queue normal
11| interface pppoe0 over lan1
12| interface pppoe0 ppp-configuration IIJ
13| interface ipsec0 tunnel 10.1.0.1 10.0.0.2
14| interface ipsec0 mtu 1500
15| interface ipsec0 tcp-mss 1358
16| interface ipsec0 add 172.16.101.1/32 remote 172.16.1.101
17| bridge disable
18| bridge ip-bridging on
19| bridge ipv6-bridging on
20| route add 10.123.0.1/32 pppoe0
21| route add 10.100.0.1/32 pppoe0
22| route add 10.100.1.1/32 pppoe0
23| route add 10.0.0.2/32 pppoe0
24| route dynamic rip disable
25| route dynamic ospf router-id 192.168.1.10
26| route dynamic ospf enable
27| route dynamic ospf area add 0.0.0.1
28| route dynamic ospf link add ipsec0 area 0.0.0.1 cost 10
29| route dynamic ospf link add lan0 area 0.0.0.1 cost 500
30| route dynamic redistribute static-to-rip disable
31| route dynamic redistribute static-to-ospf disable
32| route dynamic redistribute ospf-to-rip disable
33| route dynamic redistribute rip-to-ospf disable
34| route dynamic redistribute connected-to-rip disable
35| route dynamic redistribute connected-to-ospf disable
36| route dynamic pim-sparse disable
37| route6 dynamic ripng disable
38| route6 dynamic redistribute static-to-ripng disable
39| route6 dynamic redistribute connected-to-ripng enable
40| route6 dynamic pim-sparse disable
41| filter add Operation01 interface pppoe0 direction in action pass protocol 50 src 
10.0.0.2/32 dst 10.1.0.1/32 state disable logging on enable
42| filter add Operation02 interface pppoe0 direction in action pass protocol tcpudp src 
10.0.0.2/32 srcport 500 dst 10.1.0.1/32 dstport 500 state disable logging on enable
43| filter add Operation03 interface pppoe0 direction in action pass protocol tcp src 
10.100.0.1/32 srcport 0-65535 dstport 22-23 state disable logging on enable
44| filter add Operation04 interface pppoe0 direction in action pass protocol tcp src 
10.100.1.1/32 srcport 0-65535 dstport 22-23 state disable logging on enable
45| filter add Operation05 interface pppoe0 direction in action pass protocol tcp src 
10.123.0.1/32 srcport 0-65535 dstport 123 state disable logging off enable
46| filter add Deny01 interface pppoe0 direction in action block state disable logging on 
enable
47| nat timeout 900
48| nat logging off
49| nat upnp off
50| nat upnp interface lan1
51| dhcp disable
52| dhcp mode server
53| dns forwarder disable
54| ntp enable 
55| ntp server add 10.123.0.1
56| ike interval 40s phase1-timeout 01m phase2-timeout 02m20s
57| ike preshared-key add 10.0.0.2 "IKEpresharedKEY" 
58| ike proposal add IKEP01 encryption 3des hash sha1 authentication preshared-key dh-group modp1024 lifetime-of-time 1d
59| ike peer add Aa-Ca address 10.0.0.2 exchange-mode main proposals IKEP01 tunnel-interface enable
60| ipsec security-association proposal add SAP01 pfs-group modp1024 authentication-algorithm hmac-sha1 encryption-algorithm 3des lifetime-of-time 03h
61| ipsec security-association add Aa-Ca tunnel-interface ipsec0 ike SAP01 esp enable
62| cbq link-bandwidth 10Mbps
63| snmp disable
64| snmp community "public"
65| snmp trap disable
66| syslog debug-level off
67| syslog facility local1
68| syslog remote off
69| translator timeout 300
70| encrypted-password admin ADMINPASSWD 
71| encrypted-password user USERPASSWD
72| resolver disable
73| rtadvd disable
74| httpd disable
75| sshd hostkey rsa1 auto
76| sshd hostkey rsa none
77| sshd hostkey dsa none
78| sshd enable
79| telnetd enable
80| remote-console disable
81| vrrp lan0 add vrid 1 address 192.168.1.1/24 priority 200 interval 10 delay 180
82| vendor OEM

子拠点A VPN子機(Active):解説

6| ppp

子拠点ではVPN子機が直接インターネットに接続するため、PPPoE接続を設定します。利用する接続サービスに応じて、適切なアカウント情報を設定します。

8| interface lan0

拠点A-VPN子機(Active)A-a:のlan0インタフェースにIPアドレスとサブネットマスクを設定します。子拠点LAN側のプライベートアドレスになります。

12| interface pppoe0

pppoe0インタフェースをインターネット接続に使用するよう設定します。unnumbered接続の接続サービスを利用する場合には、"interface pppoe0 unnumbered"を追加設定し、ppp設定の"ipcp-address"はoffとします。

13|～16|interface ipsec0

A-a:とC-a:間のトンネル(IPsecインタフェース)を設定します。子拠点Aと親拠点間のActive系VPNトンネルとなります。子拠点間の通信は親拠点を経由させるため、トンネルは親拠点に対する1つだけ設定します。

- tunel

始点はA-a:のWAN側グローバルアドレス、終点はC-a:のWAN側グローバルアドレスを設定します。

- mtu

IPsecインタフェースのMTUを指定します。

- tcp-mss

IPsecインタフェースのTCP MSS調整値を指定します。フレッツ回線は1358、専用回線やYahoo!BBは1460、それら以外(不明な場合を含む)は1280を指定します。

- add 172.16.101.1/32 remote 172.16.1.101

IPsecインタフェースのアドレスとして、ネットワーク全体で他の装置やインタフェースと重複しないアドレスを設定します。また、対向側のアドレスに、C-a:のIPsecインタフェースのアドレスを指定します。

23| route

A-a:のルーティングを設定します。

- add 10.0.0.2/32 pppoe0

IPsecトンネル終点(C-a:のグローバルアドレス)宛の経路を直接インターネット側へ向けます。

25|～29|route dynamic ospf

動的な経路制御を行うためOSPFを設定します。

- router-id 192.168.1.10
  route dynamic ospf enable

lan0インタフェースのIPアドレスをルータIDとして使用し、OSPF機能を有効(enable)にします。

- area add 0.0.0.1

OSPFエリアを設定します。 0.0.0.1(0.0.0.X)はVPN構成(親機-子機、Active/Standby)のセットごとのOSPFエリアとして設定します。子拠点の追加に伴い親機(Active/Standby)を増設した場合にはエリアを追加(0.0.0.2等)して割り当てます。

- link add ipsec0 area 0.0.0.1 cost 10
  link add lan0 area 0.0.0.1 cost 500

拠点間のVPN通信を行うIPsecインタフェースをエリア0.0.0.1に所属させます。lan0インタフェースへ向かう(Standby機ヘ向かう)OSPFコストは、平常時に選択されないよう大きな値を設定します。

57| ike preshared-key

識別子をVPN親機C-a:のグローバルアドレス(トンネル終端アドレス)とし、対応する事前共有鍵を設定します。

59| ike peer

VPN親機C-a:を鍵交換相手とするike peerを設定します。トンネル終端となるC-a:のグローバルアドレスを指定し、C-a:の設定と同様に使用するIKEプロポーザルや鍵交換モード等を設定します。

61| ipsec security-association

VPN親機C-a:と暗号パケットの送受信を行うIPsecトンネルを定義する、セキュリティアソシエーション(IPsec-SA)を設定します。 VPN親機C-a:と接続するipsec0インタフェースについて、IPsec-SAプロポーザルやIKE、ESPの使用を指定します。

81| vrrp

子拠点LAN側から親拠点や他の拠点方面へのゲートウェイとなる仮想IPアドレス"192.168.1.2/24"の冗長化のため、VRRPを設定します。

- lan0 add vrid 1

lan0インタフェースのリンクにおけるVRIDを1とし、仮想IPアドレス"192.168.1.1"を設定します。 A-a:を平常時はVRRPのマスターとして動作させるため、A-s:よりも高い優先度(priority)を設定します。

子拠点A VPN子機（Standby）：コンフィグ

 1| hostname "As"
 2| timezone "Japan"
 3| environment login-timer 300
 4| option ip monitor-linkstate on
 5| option ip redirects off
 6| ppp add IIJ keepalive 30 ipcp enable ipcp-address on ipcp-dns on ipv6cp disable authentication-method chap identifier pppaccount@example.jp passphrase PPPPASSWD tcp-mss auto
 7| interface lan0 media auto
 8| interface lan0 add 192.168.1.11/24
 9| interface lan1 media auto
10| interface lan1 queue normal
11| interface pppoe0 over lan1
12| interface pppoe0 ppp-configuration IIJ
13| interface ipsec0 tunnel 10.1.1.1 10.0.1.2
14| interface ipsec0 mtu 1500
15| interface ipsec0 tcp-mss 1358
16| interface ipsec0 add 172.17.101.1/32 remote 172.17.1.101
17| bridge disable
18| bridge ip-bridging on
19| bridge ipv6-bridging on
20| route add 10.123.0.1/32 pppoe0
21| route add 10.100.0.1/32 pppoe0
22| route add 10.100.1.1/32 pppoe0
23| route add 10.0.1.2/32 pppoe0
24| route dynamic rip disable
25| route dynamic ospf router-id 192.168.1.11
26| route dynamic ospf enable
27| route dynamic ospf area add 0.0.0.1
28| route dynamic ospf link add ipsec0 area 0.0.0.1 cost 100
29| route dynamic ospf link add lan0 area 0.0.0.1 cost 500
30| route dynamic redistribute static-to-rip disable
31| route dynamic redistribute static-to-ospf disable
32| route dynamic redistribute ospf-to-rip disable
33| route dynamic redistribute rip-to-ospf disable
34| route dynamic redistribute connected-to-rip disable
35| route dynamic redistribute connected-to-ospf disable
36| route dynamic pim-sparse disable
37| route6 dynamic ripng disable
38| route6 dynamic redistribute static-to-ripng disable
39| route6 dynamic redistribute connected-to-ripng enable
40| route6 dynamic pim-sparse disable
41| filter add Operation01 interface pppoe0 direction in action pass protocol 50 src 
10.0.1.2/32 dst 10.1.1.1/32 state disable logging on enable
42| filter add Operation02 interface pppoe0 direction in action pass protocol tcpudp src 
10.0.1.2/32 srcport 500 dst 10.1.1.1/32 dstport 500 state disable logging on enable
43| filter add Operation03 interface pppoe0 direction in action pass protocol tcp src 
10.100.0.1/32 srcport 0-65535 dstport 22-23 state disable logging on enable
44| filter add Operation04 interface pppoe0 direction in action pass protocol tcp src 
10.100.1.1/32 srcport 0-65535 dstport 22-23 state disable logging on enable
45| filter add Operation05 interface pppoe0 direction in action pass protocol tcp src 
10.123.0.1/32 srcport 0-65535 dstport 123 state disable logging off enable
46| filter add Deny01 interface pppoe0 direction in action block state disable logging on 
enable
47| nat timeout 900
48| nat logging off
49| nat upnp off
50| nat upnp interface lan1
51| dhcp disable
52| dhcp mode server
53| dns forwarder disable
54| ntp enable 
55| ntp server add 10.123.0.1
56| ike interval 40s phase1-timeout 01m phase2-timeout 02m20s
57| ike preshared-key add 10.0.1.2 "IKEpresharedKEY" 
58| ike proposal add IKEP01 encryption 3des hash sha1 authentication preshared-key dh-group modp1024 lifetime-of-time 1d
59| ike peer add As-Cs address 10.0.1.2 exchange-mode main proposals IKEP01 tunnel-interface enable
60| ipsec security-association proposal add SAP01 pfs-group modp1024 authentication-algorithm hmac-sha1 encryption-algorithm 3des lifetime-of-time 03h
61| ipsec security-association add As-Cs tunnel-interface ipsec0 ike SAP01 esp enable
62| cbq link-bandwidth 10Mbps
63| snmp disable
64| snmp community "public"
65| snmp trap disable
66| syslog debug-level off
67| syslog facility local1
68| syslog remote off
69| translator timeout 300
70| encrypted-password admin ADMINPASSWD 
71| encrypted-password user USERPASSWD
72| resolver disable
73| rtadvd disable
74| httpd disable
75| sshd hostkey rsa1 auto
76| sshd hostkey rsa none
77| sshd hostkey dsa none
78| sshd enable
79| telnetd enable
80| remote-console disable
81| vrrp lan0 add vrid 1 address 192.168.1.1/24 priority 200 interval 10 delay 180
82| vendor OEM

子拠点A VPN子機(Standby):解説

8| interface lan0

拠点A-VPN子機(Standby)A-s:のlan0インタフェースにIPアドレスとサブネットマスクを設定します。子拠点LAN側のプライベートアドレスになります。

13|～16| interface ipsec0

A-s:とC-s:間のトンネル(IPsecインタフェース)を設定します。子拠点Aと親拠点間のStandby系VPNトンネルとなります。

- add 172.17.101.1/32 remote 172.17.1.101

IPsecインタフェースのアドレスとして、ネットワーク全体での他の装置やインターフェイスと重複しないアドレスを設定します。また、対向側のアドレスに、C-s:のIPsecインタフェースのアドレスを設定します。

23| route

A-s:のルーティングを設定します。

- add 10.0.1.2/32 pppoe0

IPsecトンネル終点(C-s:のグローバルアドレス)宛の経路を直接インターネット側へ向けます。

25|～29| route dynamic ospf enable

動的な経路制御を行うためOSPFを設定します。

- router-id 192.168.1.11
  route dynamic ospf enable

lan0インタフェースのIPアドレスをルータIDとして使用し、OSPF機能を有効(enable)にします。

- area add 0.0.0.1

A-a:と同様にOSPFエリアを設定します。

- link add ipsec0 area 0.0.0.1 cost 100
  link add lan0 area 0.0.0.1 cost 500

拠点間のVPN通信を行うIPsecインタフェースをエリア0.0.0.1に所属させます。 Standby系VPNトンネルへ向かう経路が平常時に選択されないよう、IPsec0インタフェースのOSPFコストをA-a:より大きく設定します。

57| ike preshared-key

識別子をStandby系VPN親機C-s:のグローバルアドレス(トンネル終端アドレス)とし、対応する事前共有鍵を設定します。

59| ike peer

Standby系VPN親機C-s:を鍵交換相手とするike peerを設定します。トンネル終端となるC-s:のグローバルアドレスを指定し、C-a:の設定と同様に使用するIKEプロポーザルや鍵交換モード等を設定します。

61| ipsec security-association

VPN親機C-s:と暗号パケットの送受信を行うIPsecトンネルを定義する、セキュリティアソシエーション(IPsec-SA)を設定します。

vrrp

Active機と対になるよう、Standby機のVRRP機能を設定します。

- lan0 add vrid 1

lan0インタフェースのリンクにおけるVRIDを1とし、仮想IPアドレス"192.168.1.1"を設定します。 A-s:を平常時はVRRPのバックアップとして動作させるため、A-a:よりも低い優先度(priority)を設定します。

子拠点B VPN子機（Active）：コンフィグ

 1| hostname "Ba"
 2| timezone "Japan"
 3| environment login-timer 300
 4| option ip monitor-linkstate on
 5| option ip redirects off
 6| ppp add IIJ keepalive 30 ipcp enable ipcp-address on ipcp-dns on ipv6cp disable authentication-method chap identifier pppaccount@example.jp passphrase PPPPASSWD tcp-mss auto
 7| interface lan0 media auto
 8| interface lan0 add 192.168.2.10/24
 9| interface lan1 media auto
10| interface lan1 queue normal
11| interface pppoe0 over lan1
12| interface pppoe0 ppp-configuration IIJ
13| interface ipsec0 tunnel 10.2.0.1 10.0.0.2
14| interface ipsec0 mtu 1500
15| interface ipsec0 tcp-mss 1358
16| interface ipsec0 add 172.16.102.1/32 remote 172.16.1.102
17| bridge disable
18| bridge ip-bridging on
19| bridge ipv6-bridging on
20| route add 10.123.0.1/32 pppoe0
21| route add 10.100.0.1/32 pppoe0
22| route add 10.100.1.1/32 pppoe0
23| route add 10.0.0.2/32 pppoe0
24| route dynamic rip disable
25| route dynamic ospf router-id 192.168.2.10
26| route dynamic ospf enable
27| route dynamic ospf area add 0.0.0.1
28| route dynamic ospf link add ipsec0 area 0.0.0.1 cost 10
29| route dynamic ospf link add lan0 area 0.0.0.1 cost 500
30| route dynamic redistribute static-to-rip disable
31| route dynamic redistribute static-to-ospf disable
32| route dynamic redistribute ospf-to-rip disable
33| route dynamic redistribute rip-to-ospf disable
34| route dynamic redistribute connected-to-rip disable
35| route dynamic redistribute connected-to-ospf disable
36| route dynamic pim-sparse disable
37| route6 dynamic ripng disable
38| route6 dynamic redistribute static-to-ripng disable
39| route6 dynamic redistribute connected-to-ripng enable
40| route6 dynamic pim-sparse disable
41|filter add Operation01 interface pppoe0 direction in action pass protocol 50 src 
10.0.0.2/32 dst 10.2.0.1/32 state disable logging on enable
42| filter add Operation02 interface pppoe0 direction in action pass protocol tcpudp src 
10.0.0.2/32 srcport 500 dst 10.2.0.1/32 dstport 500 state disable logging on enable
43| filter add Operation03 interface pppoe0 direction in action pass protocol tcp src 
10.100.0.1/32 srcport 0-65535 dstport 22-23 state disable logging on enable
44| filter add Operation04 interface pppoe0 direction in action pass protocol tcp src 
10.100.1.1/32 srcport 0-65535 dstport 22-23 state disable logging on enable
45| filter add Operation05 interface pppoe0 direction in action pass protocol tcp src 
10.123.0.1/32 srcport 0-65535 dstport 123 state disable logging off enable
46| filter add Deny01 interface pppoe0 direction in action block state disable logging on 
enable
47| nat timeout 900
48| nat logging off
49| nat upnp off
50| nat upnp interface lan1
51| dhcp disable
52| dhcp mode server
53| dns forwarder disable
54| ntp enable 
55| ntp server add 10.123.0.1
56| ike interval 40s phase1-timeout 01m phase2-timeout 02m20s
57| ike preshared-key add 10.0.0.2 "IKEpresharedKEY" 
58| ike proposal add IKEP01 encryption 3des hash sha1 authentication preshared-key dh-group modp1024 lifetime-of-time 1d
59| ike peer add Ba-Ca address 10.0.0.2 exchange-mode main proposals IKEP01 tunnel-interface enable
60| ipsec security-association proposal add SAP01 pfs-group modp1024 authentication-algorithm hmac-sha1 encryption-algorithm 3des lifetime-of-time 03h
61| ipsec security-association add Ba-Ca tunnel-interface ipsec0 ike SAP01 esp enable
62| cbq link-bandwidth 10Mbps
63| snmp disable
64| snmp community "public"
65| snmp trap disable
66| syslog debug-level off
67| syslog facility local1
68| syslog remote off
69| translator timeout 300
70| encrypted-password admin ADMINPASSWD 
71| encrypted-password user USERPASSWD
72| resolver disable
73| rtadvd disable
74| httpd disable
75| sshd hostkey rsa1 auto
76| sshd hostkey rsa none
77| sshd hostkey dsa none
78| sshd enable
79| telnetd enable
80| remote-console disable
81| vrrp lan0 add vrid 1 address 192.168.2.1/24 priority 200 interval 10 delay 180
82| vendor OEM

子拠点B VPN子機(Active):解説

8| interface lan0

子拠点B-VPN子機(Active)B-a:のlan0インタフェースにIPアドレスとサブネットマスクを設定します。子拠点BのLAN側に対応するプライベートアドレスになります。

13|～16| interface ipsec0

B-a:とC-a:間のトンネル(IPsecインタフェース)を設定します。 A-a:の設定とは、トンネル始点のアドレス及びIPsecインタフェースのアドレスが異なります。

25|～29|route

B-a:のルーティングを設定します。

- router-id 192.168.2.10
  route dynamic ospf enable

A-a:の設定とは、OSPFのルータIDの設定値のみ異なります。

57|,59|,61| ike,ipsec

識別子にB-a:固有のものを設定する(必ずしも固有である必要はない)以外はA-a:と同様に設定します。

81| vrrp

仮想IPアドレスを子拠点BのLAN内に対応するアドレスとするほかは、A-a:と同様に設定します。

子拠点B VPN子機（Standby）：コンフィグ

 1| hostname "Bs"
 2| timezone "Japan"
 3| environment login-timer 300
 4| option ip monitor-linkstate on
 5| option ip redirects off
 6| ppp add IIJ keepalive 30 ipcp enable ipcp-address on ipcp-dns on ipv6cp disable authentication-method chap identifier pppaccount@example.jp passphrase PPPPASSWD tcp-mss auto
 7| interface lan0 media auto
 8| interface lan0 add 192.168.2.11/24
 9| interface lan1 media auto
10| interface lan1 queue normal
11| interface pppoe0 over lan1
12| interface pppoe0 ppp-configuration IIJ
13| interface ipsec0 tunnel 10.2.1.1 10.0.1.2
14| interface ipsec0 mtu 1500
15| interface ipsec0 tcp-mss 1358
16| interface ipsec0 add 172.17.102.1/32 remote 172.17.1.102
17| bridge disable
18| bridge ip-bridging on
19| bridge ipv6-bridging on
20| route add 10.123.0.1/32 pppoe0
21| route add 10.100.0.1/32 pppoe0
22| route add 10.100.1.1/32 pppoe0
23| route add 10.0.1.2/32 pppoe0
24| route dynamic rip disable
25| route dynamic ospf router-id 192.168.2.11
26| route dynamic ospf enable
27| route dynamic ospf area add 0.0.0.1
28| route dynamic ospf link add ipsec0 area 0.0.0.1 cost 100
29| route dynamic ospf link add lan0 area 0.0.0.1 cost 500
30| route dynamic redistribute static-to-rip disable
31| route dynamic redistribute static-to-ospf disable
32| route dynamic redistribute ospf-to-rip disable
33| route dynamic redistribute rip-to-ospf disable
34| route dynamic redistribute connected-to-rip disable
35| route dynamic redistribute connected-to-ospf disable
36| route dynamic pim-sparse disable
37| route6 dynamic ripng disable
38| route6 dynamic redistribute static-to-ripng disable
39| route6 dynamic redistribute connected-to-ripng enable
40| route6 dynamic pim-sparse disable
41| filter add Operation01 interface pppoe0 direction in action pass protocol 50 src 
10.0.1.2/32 dst 10.2.1.1/32 state disable logging on enable
42| filter add Operation02 interface pppoe0 direction in action pass protocol tcpudp src 
10.0.1.2/32 srcport 500 dst 10.2.1.1/32 dstport 500 state disable logging on enable
43| filter add Operation03 interface pppoe0 direction in action pass protocol tcp src 
10.100.0.1/32 srcport 0-65535 dstport 22-23 state disable logging on enable
44| filter add Operation04 interface pppoe0 direction in action pass protocol tcp src 
10.100.1.1/32 srcport 0-65535 dstport 22-23 state disable logging on enable
45| filter add Operation05 interface pppoe0 direction in action pass protocol tcp src 
10.123.0.1/32 srcport 0-65535 dstport 123 state disable logging off enable
46| filter add Deny01 interface pppoe0 direction in action block state disable logging on 
enable
47| nat timeout 900
48| nat logging off
49| nat upnp off
50| nat upnp interface lan1
51| dhcp disable
52| dhcp mode server
53| dns forwarder disable
54| ntp enable 
55| ntp server add 10.123.0.1
56| ike interval 40s phase1-timeout 01m phase2-timeout 02m20s
57| ike preshared-key add 10.0.1.2 "IKEpresharedKEY" 
58| ike proposal add IKEP01 encryption 3des hash sha1 authentication preshared-key dh-group modp1024 lifetime-of-time 1d
59| ike peer add Bs-Cs address 10.0.0.2 exchange-mode main proposals IKEP01 tunnel-interface enable
60| ipsec security-association proposal add SAP01 pfs-group modp1024 authentication-algorithm hmac-sha1 encryption-algorithm 3des lifetime-of-time 03h
61| ipsec security-association add Bs-Cs tunnel-interface ipsec0 ike SAP01 esp enable
62| cbq link-bandwidth 10Mbps
63| snmp disable
64| snmp community "public"
65| snmp trap disable
66| syslog debug-level off
67| syslog facility local1
68| syslog remote off
69| translator timeout 300
70| encrypted-password admin ADMINPASSWD 
71| encrypted-password user USERPASSWD
72| resolver disable
73| rtadvd disable
74| httpd disable
75| sshd hostkey rsa1 auto
76| sshd hostkey rsa none
77| sshd hostkey dsa none
78| sshd enable
79| telnetd enable
80| remote-console disable
81| vrrp lan0 add vrid 1 address 192.168.2.1/24 priority 200 interval 10 delay 180
82| vendor OEM

子拠点B VPN子機(Standby):解説

8| interface lan0

子拠点B-VPN子機(Active)B-s:のlan0インタフェースにIPアドレスとサブネットマスクを設定します。子拠点BのLAN側に対応するプライベートアドレスになります。

13|～16| interface ipsec0

B-s:とC-s:間のトンネル(IPsecインタフェース)を設定します。 A-s:の設定とは、トンネル始点のアドレス及びIPsecインタフェースのアドレスが異なります。

23|,25|～29| route

B-s:のルーティング設定します。

- router-id 192.168.2.10
  route dynamic ospf enable

A-s:の設定とは、OSPFのルータIDの設定値のみ異なります。

57|,59|,61| ike,ipsec

識別子にB-s:固有のものを設定する(必ずしも固有である必要はない)以外はA-s:と同様に設定します。

81| vrrp

仮想IPアドレスを子拠点BのLAN内に対応するアドレスとするほかは、A-s:と同様に設定します。

デュアルスターSEIL/VPNの動作確認項目

設置した装置について、使用している機能が想定通りに動作しているか確認していきます。

確認項目

同拠点内（LAN内）の近隣装置への到達性を確認 LAN内の同セグメントの装置など、設置時点で疎通がとれるはずの装置へ到達性を確認します。
VRRPのステータスを確認 VRRPを設定している装置は、対となる装置とともに設定した優先度にしたがってMasterまたBackupとして動作しているか確認します。また、MasterとなっているActive系装置のLANインターフェイスにVIPアドレスがエイリアスアドレスとして付与され、他の装置からVIPアドレスへ到達可能なことを確認します。
インターネット接続の状態を確認インターネット接続を終端する装置は、インターネット接続が正常に確立しているか確認します。
IPsec/IKEのステータスを確認 VPN親機/VPN子機となる装置は、IPsec/IKEのセッションが正常に確立しているか確認します。
OSPFのステータス及びルーティングテーブルを確認 OSPFで経路交換をする装置では、Neighborの確立状態を確認します。また、ルーティングテーブルを参照し、平常時にActive系の経路が選択されるように形成されているか確認します。
拠点間通信の疎通性を確認 VPNトンネルを経由する拠点間通信の疎通性を確認します。

※ 設置される順序や構成に併せた順序で確認してください。

親拠点での動作確認

インターネット接続のステータスを確認: インターネット接続ルータR-a:及びR-s:において"show status ppp pppoe0","show status interface pppoe0"コマンドを実行してPPPoE接続が正常に確立しているか確認します。また、pingコマンド等でインターネット上のホスト（NTPサーバ等）への到達性を確認します。
親拠点内の各装置間での到達性を確認: 親拠点内に設置されている各装置から、同一セグメント上に設置されている各装置宛へpingコマンドを実行し、正常に到達することを確認します。
VRRPの動作状態を確認: VRRP装置V-a:及びV-s:において"show status vrrp"コマンドを実行してVRRPのステータスを確認し、V-a:がMaster、V-s:がBackupとして動作しているか確認します。また、平常時にMasterとなるV-a:において"show status interface lan0"コマンドを実行してlan0インターフェイスにVIPアドレスがエイリアスアドレスとして付与されていることを確認します。
VPNトンネル終端（対向装置）への到達性を確認: VPN親機C-a:及びC-s:において、IPsecインターフェイスのトンネル終端となる各子拠点のVPN子機のグローバルアドレスへpingコマンドを実行し、Active系、Standby系それぞれ到達性を確認します。
C-a:→A-a:
C-a:→B-a:
C-s:→A-s:
C-s:→B-s:
IPsec/IKEのステータスを確認: VPN親機C-a:及びC-s:において"show status ike"コマンドを実行し、それぞれ対向となる各子拠点のActive系・Standby系VPN子機とのIKEによる鍵交換が完了していることを確認します。また、"show status ipsec"コマンドを実行し、対向となるVPN子機それぞれに対してIPsecセッションが生成されていることを確認します。
OSPFのステータス及びルーティングテーブルを確認: OSPFにより経路交換を行う各装置C-a:,C-s:,V-a:,V-s:において"show status route dynamic ospf neighbor"コマンドを実行し、各装置とのNeighborが確立しているか確認します。また、"show status route"コマンドを実行してルーティングテーブルを参照し、Active系の装置へ向かう経路のメトリックの方がStandby系装置へ向かう経路のメトリックより小さい（優先度が高い）ことを確認します。
拠点間通信の到達性を確認: 親拠点LAN内の端末から各子拠点LAN内の任意の端末への到達性を、pingコマンドや拠点間VPNを利用するアプリケーションの実行等により確認します。

子拠点での動作確認

子拠点での動作確認は各拠点とも共通です。

子拠点内各装置への到達性確認: VPN子機それぞれから所属する子拠点LAN内の端末等に対して、また子拠点LAN内のホストからVPN子機それぞれに対してpingコマンドを実行し、正常に到達することを確認します。
インターネット接続のステータスを確認: 各VPN子機において、"show status ppp pppoe0","show status interface pppoe0"コマンドを実行してPPPoE接続が正常に確立しているか確認します。また、pingコマンドでインターネット上のホスト（NTPサーバ等）への到達性を確認します。
VRRPの動作状態を確認: VPN子機それぞれにおいて"show status vrrp"コマンドを実行してVRRPのステータスを確認し、Active系のVPN子機A-a:,B-a:がMaster、Standby系のVPN子機A-s:,B-s:がBackupとして動作しているか確認します。また、平常時にMasterとなるActive系のVPN子機において"show status interface lan0"コマンドを実行してlan0インターフェイスにVIPアドレスがエイリアスアドレスとして付与されていることを確認します。
VPNトンネル終端（対向装置）への到達性を確認: VPN子機それぞれにおいて、IPsecインターフェイスのトンネル終端となるActive系・Standby系それぞれのVPN親機のグローバルアドレスへpingコマンドを実行し、それぞれ到達性を確認します。
A-a:→C-a:
A-s:→C-s:
B-a:→C-a:
B-s:→C-s:
IPsec/IKEのステータスを確認: VPN子機それぞれにおいて"show status ike"コマンドを実行し、対向となるVPN親機とのIKEによる鍵交換が完了しているか確認します。また、"show status ipsec"コマンドを実行して対向となるVPN親機とのIPsecセッションが確立しているか確認します。
OSPFのステータス及びルーティングテーブルを確認: VPN子機それぞれにおいて"show status route dynamic ospf neighbor"コマンドを実行し、同拠点のActive系・Standby系子機同士、及び対向となるVPN親機とのNeighborが確立しているか確認します。また、"show status route"コマンドを実行してルーティングテーブルを参照し、Active系の装置へ向かう経路のメトリックの方がStandby系装置へ向かう経路のメトリックより小さい（優先度が高い）ことを確認します。
拠点間通信の到達性を確認: 子拠点LAN内の端末から親拠点LAN内の端末へ、また他の子拠点のLAN内の端末へといったVPN越しの通信の到達性をpingコマンド等で確認します。

Page Top

SEIL SMFv2

【設定例2】デュアルスターVPN

概要

機器の構成

親拠点

子拠点A

子拠点B

メイン網

バックアップ網

IPアドレス設計

親拠点

子拠点A

子拠点B

その他のホスト

コンフィグと解説

親拠点 VPN親機（Active）：コンフィグ

親拠点 VPN親機（Active）：解説

親拠点 VPN親機（Standby）：コンフィグ

親拠点 VPN親機（Standby）：解説

親拠点 VRRP機(Active)：コンフィグ

親拠点 VRRP機(Active):解説

親拠点 VRRP機(Standby)：解説

親拠点 VRRP機(Standby):解説

子拠点A VPN子機（Active）：コンフィグ

子拠点A VPN子機(Active):解説

子拠点A VPN子機（Standby）：コンフィグ

子拠点A VPN子機(Standby):解説

子拠点B VPN子機（Active）：コンフィグ

子拠点B VPN子機(Active):解説

子拠点B VPN子機（Standby）：コンフィグ

子拠点B VPN子機(Standby):解説

デュアルスターSEIL/VPNの動作確認項目

確認項目

親拠点での動作確認

子拠点での動作確認