拠点間VPNゲートウェイ:IKEv2 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(富士通 Si-R G)
拠点側VPNルーターの機種としてSi-R Gシリーズを対象とした設定を説明します。
下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ:VPNコネクション:作成
マニュアルの作成に当たり、以下の環境で検証を行っています。
・Si-R G110 V3.02
構成
拠点間VPNゲートウェイを利用し、ニフクラとお客様拠点をIPsec VPN(IKEv2)で接続するためには、以下の項目を事前にご確認ください。
以降の設定手順、確認手順では下記を構成例として用います。
構成例
| 拠点間VPNゲートウェイのIPアドレス | 198.51.100.123 |
| プライベートLAN CIDR | 172.31.1.0/24 |
| 拠点VPN装置のグローバルIPアドレス | 203.0.113.234 |
| 拠点VPN装置のプライベートIPアドレス | 192.168.1.1 |
| 拠点CIDR | 192.168.1.0/24 |
| 共有鍵 | hoge |
| PPPユーザー名 | user@isp |
| PPPパスワード | isppasswd |
設定手順
以下の構成を例に説明します。
| WAN側物理インタフェース | ether 1 1 |
| WAN側仮想インタフェース | remote 0 |
| IPsec仮想インタフェース | remote 1 |
コンフィグ編集モードへ移行します。
Si-R G110#configure Si-R G110(config)#物理ポートにVLANを割り当てます。
Si-R G110(config)# ether 1 1 vlan untag 1 Si-R G110(config)# ether 2 1-4 vlan untag 2LAN側インタフェースにアドレスを設定します。
以下の例で、192.168.1.1/24は実際の拠点CIDRの値に書き換えてください。Si-R G110(config)#lan 1 ip address 192.168.1.1/24 3Si-R G110(config)#lan 1 vlan 2PPPoEインタフェースの設定をします。
Si-R G110(config)#remote 0 name pppoe Si-R G110(config)#remote 0 mtu 1454 Si-R G110(config)#remote 0 ap 0 name nifty Si-R G110(config)#remote 0 ap 0 datalink bind vlan 1 Si-R G110(config)#remote 0 ap 0 ppp auth send user@isp isppasswd Si-R G110(config)#remote 0 ap 0 keep connect Si-R G110(config)#remote 0 ppp ipcp vjcomp disable Si-R G110(config)#remote 0 ip route 0 default 1 1 Si-R G110(config)#remote 0 ip nat mode multi any 1 5m Si-R G110(config)#remote 0 ip nat static 0 192.168.1.1 4500 any 4500 17 Si-R G110(config)#remote 0 ip nat static 1 192.168.1.1 500 any 500 17 Si-R G110(config)#remote 0 ip nat static 2 192.168.1.1 any any any 50 Si-R G110(config)#remote 0 ip nat wellknown 0 500 off Si-R G110(config)#remote 0 ip msschange 1414IPsecの設定をします。
※hogeを実際の共有鍵に、192.168.1.1は拠点VPN装置のプライベートIPアドレスに、192.168.1.0/24は実際の拠点CIDRの値に、198.51.100.123は実際の拠点間VPNゲートウェイのIPアドレスに、172.31.1.0/24はプライベートLAN CIDRの値に、それぞれ置き換えてください。
Si-R G110(config)#remote 1 name nifty Si-R G110(config)#remote 1 ap 0 name ipsec Si-R G110(config)#remote 1 ap 0 datalink type ipsec Si-R G110(config)#remote 1 ap 0 keep connect Si-R G110(config)#remote 1 ap 0 ipsec type ikev2 Si-R G110(config)#remote 1 ap 0 ipsec ike protocol esp Si-R G110(config)#remote 1 ap 0 ipsec ike range 192.168.1.0/24 172.31.1.0/24 Si-R G110(config)#remote 1 ap 0 ipsec ike encrypt aes-cbc-256 Si-R G110(config)#remote 1 ap 0 ipsec ike auth hmac-sha1 Si-R G110(config)#remote 1 ap 0 ipsec ike lifetime 1h Si-R G110(config)#remote 1 ap 0 ipsec ike newsa initiator 3m 0 Si-R G110(config)#remote 1 ap 0 ipsec ike esn disable Si-R G110(config)#remote 1 ap 0 ike local-idtype address Si-R G110(config)#remote 1 ap 0 ike remote-idtype address Si-R G110(config)#remote 1 ap 0 ike shared key text hoge Si-R G110(config)#remote 1 ap 0 ike proposal 0 encrypt aes-cbc-256 Si-R G110(config)#remote 1 ap 0 ike proposal 0 hash hmac-sha1 Si-R G110(config)#remote 1 ap 0 ike proposal 0 pfs modp1024 Si-R G110(config)#remote 1 ap 0 ike proposal 0 prf hmac-sha1 Si-R G110(config)#remote 1 ap 0 ike proposal 0 lifetime 1h Si-R G110(config)#remote 1 ap 0 tunnel local 192.168.1.1 Si-R G110(config)#remote 1 ap 0 tunnel remote 198.51.100.123 Si-R G110(config)#remote 1 ap 0 sessionwatch address 192.168.1.1 172.31.1.1 Si-R G110(config)#remote 1 ap 0 sessionwatch interval 1m 1m 3m 5s Si-R G110(config)#remote 1 ap 0 sessionwatch mode idleonly Si-R G110(config)#remote 1 ip route 0 172.31.1.0/24 1 1 Si-R G110(config)#remote 1 ip msschange 1350最後に設定を保存、再起動します。
Si-R G110(config)#save Si-R G110(config)#reset
確認手順
IKE、ESPのSAが正常に確立されているか確認する
IKEのSAが正常に確立されているか確認するためにはshow access-pointコマンドを実行します。
下記のように、対象のremoteに対して、IKE SA,IPsec SAそれぞれがestablished、statusがconnectedとなっていればIPsecは正常に確立できています。
Si-R G110(config)#show access-point
remote 1 ap 0 : nifty.ipsec
status : connected
since : Oct 20 07:35:17 2016
speed : not available
send traffic : not available
receive traffic : not available
type : IPsec/IKE
IKE Version : 1
exchange type : main
IKE SA : established
IPsec SA : established
Si-R G110(config)#
