概要
SEILを利用したリモートアクセスVPNの構築例です。
SEILのPPP アクセスコンセントレータ(PPPAC) 機能及び認証機能を使用することで、遠隔地のコンピュータからSEILへリモートアクセス接続を行い、LAN 内のコンピュータへアクセスすることができます。
※SEILへリモートアクセスを行うには、クライアントコンピュータ側でもリモートアクセスの設定を行う必要があります。
※本例ではPPTPを利用したリモートアクセスVPNをご紹介しています。
機器の構成
機器構成
本例では、リモートアクセスを受ける拠点のアクセス回線を終端するルータとしてSEILを設置し、外部のリモートアクセスクライアントからの接続を受けつける構成を採っています。
※「
インターネットへの接続」の章に基づいて、SEILがPPPoE接続によりインターネットへ接続できることを前提として記載しています。
設定
認証レルムの定義
SEILの認証機能を設定します。
パラメータ一覧
| 設定項目 |
パラメータ |
| 識別子 |
LOCAL1 |
| 認証レルムのタイプ |
local |
記述例
# authentication realm add LOCAL1 type local
パラメータ解説
-
authentication realm add LOCAL1
-
認証レルムの識別子としてLOCAL1を定義します。
-
type local
-
認証レルムとしてローカル認証レルムを使用します。
ユーザアカウントの設定
リモートアクセスを利用するユーザのアカウントを設定します。
パラメータ一覧
|
設定項目
|
パラメータ
|
|
ユーザの所有する認証レルムの識別子
|
LOCAL1
|
|
ユーザのアカウント名
|
USERNAME
|
|
ユーザのパスワード
|
PASSWORD
|
記述例
# authentication local LOCAL1 user add USERNAME password PASSWORD
パラメータ解説
-
authentication local LOCAL1
-
ユーザは「LOCAL1」として定義したローカル認証レルムに所属するように設定します。
-
user add USERNAME
-
ユーザがリモートアクセスの際に使用するアカウント名を「USERNAME」と設定します。
-
user add password PASSWORD
-
ユーザがリモートアクセスの際に使用するパスワードを「PASSWORD」と設定します。
アドレスプールの設定
リモートアクセスのクライアントコンピュータに払い出すアドレスの割り当てを設定します。
リモートアクセスの接続が成立すると、クライアントコンピュータはこのプール内から自動的にIPアドレスが割り当てられます。
パラメータ一覧
| 設定項目 |
パラメータ |
| アドレスプールの識別子 |
POOL1 |
| 割り当て範囲とするネットワークアドレス |
192.168.128.0/24 |
記述例
# pppac pool add POOL1 address 192.168.128.0/24
パラメータ解説
-
pppac pool add POOL1
-
アドレスプールの識別子として「POOL1」を設定します。
-
address 192.168.128.0/24
-
クライアントコンピュータへの割り当てに使用するIPアドレスの範囲をネットワークアドレスで「192.168.128.0/24」と設定します。
IPCPの設定
クライアントコンピュータとトンネル内でIP通信するための折衝パラメータを設定します。
パラメータ一覧
| 設定項目 |
パラメータ |
| IPCP設定の識別子 |
IPCP1 |
| 割り当てに使用するアドレスプール |
POOL1 |
| DNS中継機能のアドレス通知 |
使用する |
記述例
# pppac ipcp-configuration add IPCP1 pool POOL1 dns-use-forwarder on
パラメータ解説
-
pppac ipcp-configuration add IPCP1
-
IPCP設定の識別子として「IPCP1」を設定します。
-
pool POOL1
-
クライアントコンピュータへ割り当てるIPアドレスプールに「POOL1」を使用します。
-
dns-use-fowarder on
-
クライアントコンピュータのDNSとして、SEILのDNS中継機能を使用します。
クライアントコンピュータには、PPTPトンネルの終端(SEIL側)のアドレスが通知されます。
リモートアクセスに使用するプロトコルの設定
リモートアクセスでPPTPによる接続を受け付けるためのパラメータを設定します。
パラメータ一覧
| 設定項目 |
パラメータ |
| 使用するプロトコル |
PPTP |
| プロトコル設定の識別子 |
PPTP1 |
| リモートアクセスを受け付けるインタフェース |
any |
記述例
# pppac protocol pptp add PPTP1 accept-interface any
パラメータ解説
-
pppac protocol pptp
-
リモートアクセスで受け付けるプロトコルとしてPPTP を設定します。
-
add PPTP1
-
プロトコル設定の識別子として「PPTP1」を設定します。
-
accept-interface any
-
本例ではリモートアクセスを受け付けるインタフェースを制限しないため、any を設定します。
PPPACインタフェースの設定
リモートコンピュータと通信するための論理インターフェースとして、PPPACインタフェースを設定します。
パラメータ一覧
| 設定項目 |
パラメータ |
| 使用するインタフェース |
pppac0 |
| トンネル終端アドレス |
192.168.127.1 |
記述例
# interface pppac0 tunnel-end-address 192.168.127.1
パラメータ解説
-
interface pppac0
-
使用するインタフェースとしてpppac0を設定します。
-
tunnel-end-address 192.168.127.1
-
トンネル終端(SEIL側)のIPアドレスとして「192.168.127.1」を設定します。
設定の関連付け
PPPACインタフェースに、リモートアクセスに必要な設定を関連付けます。
パラメータ一覧
| 設定項目 |
パラメータ |
| 関連付けるインタフェース |
pppac0 |
| 使用するIPCP設定 |
IPCP1 |
| 使用するプロトコル設定 |
PPTP1 |
| 使用する認証レルム設定 |
LOCAL1 |
記述例
# interface pppac0 ipcp-configuration IPCP1
# interface pppac0 bind-tunnel-protocol PPTP1
# interface pppac0 bind-realm LOCAL1
パラメータ解説
-
interface pppac0
-
pppac0インタフェースに設定を関連付けます。
-
ipcp-configuration IPCP1
-
IPCP設定として「IPCP1」を関連付けます。
-
bind-tunnel-protocol PPTP1
-
トンネルプロトコル設定として「PPTP1」を関連付けます。
-
bind-realm LOCAL1
-
認証レルム設定として「LOCAL1」を関連付けます。
リモートアクセス経由のインターネット接続の設定
DNS中継機能及びNAPT機能を設定し、クライアントコンピュータからSEILを経由するインターネット通信を可能にします。
クライアントコンピュータからSEILを経由するインターネット通信を許可しない場合、この設定は不要です。
パラメータ一覧
| 設定項目 |
パラメータ |
| DNS中継機能 |
使用する |
| DNS中継先のアドレス |
SEIL自体のPPPoE接続時に自動取得 |
| NAPT対象アドレス |
192.168.128.0/24 |
| NAPT処理を行うWAN側インタフェース |
pppoe0 |
記述例
# dns forwarder enable
# dns forwarder add ipcp
# nat napt add private 192.168.128.0-192.168.128.255 interface pppoe0
パラメータ解説
-
dns forwarder enable
-
DNS 中継機能を有効に設定します。
-
dns forwarder add ipcp
-
中継先のアドレスとして、SEIL自体がPPPoE接続時にISPからIPCPにより通知されたアドレスを使用するため、ipcpを設定します。
-
nat napt add private 192.168.128.0-192.168.128.255
-
NAPT 対象のアドレスとして、クライアントコンピュータへのアドレス割当範囲(192.168.128.0/24) に相当する192.168.128.0-192.168.128.255を設定します。
※本設定例では明示的に192.168.128.0-192.168.128.255のアドレス範囲をNAPT処理していますが、工場出荷状態のSEILは192.168.0.0-192.168.255.255の範囲をNAPT処理する設定になっていますので、この設定は不要です。
-
interface pppoe0
-
NAPT 処理を行うインタフェースとして、SEIL/X がインターネット接続に使用しているインタフェース(本例ではpppoe0) を指定します。
設定内容(show config)
これまでの設定により、次のようなコンフィグになります。
hostname ""
timezone "Japan"
environment login-timer 300
environment terminal auto-size on
option ip monitor-linkstate on
option ip update-connected-route on
option ipv6 monitor-linkstate on
option ipv6 update-connected-route on
authentication realm add LOCAL1 type local
authentication local LOCAL1 user add USERNAME password PASSWORD
ppp add ISP01 keepalive none ipcp enable ipcp-address on ipcp-dns on ipv6cp disable authentication-method chap identifier test01@example.jp passphrase PassWord tcp-mss auto
pppac pool add POOL1 address 192.168.128.0/24
pppac ipcp-configuration add IPCP1 pool POOL1 dns-use-forwarder on
pppac protocol pptp add PPTP1 accept-interface any
interface lan0 media auto
interface lan0 add 192.168.0.1/24
interface lan1 media auto
interface lan1 queue normal
interface lan2 media auto
interface pppoe0 over lan1
interface pppoe0 ppp-configuration ISP01
interface pppac0 ipcp-configuration IPCP1
interface pppac0 bind-tunnel-protocol PPTP1
interface pppac0 bind-realm LOCAL1
interface pppac0 tunnel-end-address 192.168.127.1
bridge disable
bridge ip-bridging on
bridge ipv6-bridging on
route add default pppoe0
route dynamic rip disable
route dynamic ospf disable
route dynamic redistribute static-to-rip disable
route dynamic redistribute static-to-ospf disable
route dynamic redistribute ospf-to-rip disable
route dynamic redistribute rip-to-ospf disable
route dynamic redistribute connected-to-rip enable
route dynamic redistribute connected-to-ospf enable
route dynamic pim-sparse disable
route6 dynamic ripng disable
route6 dynamic redistribute static-to-ripng disable
route6 dynamic redistribute connected-to-ripng enable
route6 dynamic pim-sparse disable
filter add TELNET interface pppoe0 direction in action block protocol tcp srcport 0-65535 dstport 23 state disable logging on enable
nat timeout 900
nat logging off
nat upnp off
nat upnp interface lan1
nat napt add private 192.168.0.0-192.168.255.255 interface pppoe0
nat proxy sip add port 5060 protocol tcpudp
dhcp enable
dhcp mode server
dhcp interface lan0 enable
dhcp interface lan0 expire 24
dhcp interface lan0 pool 192.168.0.2 253
dhcp interface lan0 dns add 192.168.0.1
dhcp6 client disable
dhcp6 client interface pppoe0
dns forwarder enable
dns forwarder add ipcp
ntp disable
cbq link-bandwidth 100Mbps
snmp disable
snmp community "public"
snmp trap disable
syslog debug-level off
syslog facility local1
syslog remote off
translator timeout 300
encrypted-password admin qbr0eyJfqSQGI
encrypted-password user eZvsMt6ZbGEAg
encrypted-password-long admin $1$gYZGmBs9$OHExMgz8bGcSK5z4kxUkw1
encrypted-password-long user $1$ZlFfO1kD$B.vpp2yjp.6P4bc7XoB7J.
resolver disable
rtadvd disable
httpd enable
sshd hostkey rsa1 none
sshd hostkey rsa auto
sshd hostkey dsa auto
sshd disable
telnetd enable
vendor OEM
