クラウドユーザーガイド(ネットワーク:拠点間VPNゲートウェイ:IKEv2 L2TPv3/IPsec VPN（L2VPN）で接続する拠点側VPN装置の設定（アライドテレシス AR4050S/AR3050S/AR2050V/AR2010V）)

拠点間VPNゲートウェイ：IKEv2 L2TPv3/IPsec VPN（L2VPN）で接続する拠点側VPN装置の設定（アライドテレシス AR4050S/AR3050S/AR2050V/AR2010V）

拠点側VPN装置にアライドテレシス AR4050Sを使用した場合の設定です。
AR3050S、AR2050V、AR2010Vでも同じ内容が適用可能です。その場合は、AR4050SをAR3050SまたはAR2050V、AR2010Vと読み替えの上、ご利用ください。

下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ：VPNコネクション：作成

構成

拠点間VPNゲートウェイを利用し、ニフクラとお客様拠点をL2TPv3/IPsec VPN（L2VPN）で接続するためには、以下の項目を事前にご確認ください。
以降の設定手順、確認手順では下記を検証環境、構成例として用います。

検証環境

製品	アライドテレシス AR4050S
ソフトウェア	5.4.7-1.1以降

構成例

PPPユーザー名	user@ispA
PPPパスワード	isppasswdA
AR4050S ppp0（WAN側）IPアドレス	172.16.0.1/32
AR4050S br1（LAN側）IPアドレス	192.168.1.254/24
事前共有鍵	secret
拠点間VPNゲートウェイのIPアドレス	172.17.0.1
拠点CIDR	192.168.1.0/24
プライベートLAN CIDR	192.168.1.0/24

設定手順

1. ログイン
   AR4050Sにログインします。
   工場出荷時設定のCLIのログインユーザー名/パスワードは下記の通りです。

   awplus login: manager
   Password: friend  ※実際には表示されません
   
   Last login: Tue Nov 28 08:41:38 UTC 2017 on ttyS0
   
   AlliedWare Plus (TM) 5.4.7 11/16/17 01:33:30
   awplus>

2. モードの移行
   非特権EXECモードから、特権EXECモードに移行します。

   awplus> enable

   特権EXECモードからグローバルコンフィグモードに移行します。

   awplus# configure terminal
   Enter configuration commands, one per line.  End with CNTL/Z.
   awplus(config)#

3. スパニングツリープロトコルの無効化
   LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。

   awplus(config)# no spanning-tree rstp enable

4. PPPインターフェース作成
   ETH１インターフェース上にPPPインターフェースを作成します。

   awplus(config)# interface eth1
   awplus(config-if)# encapsulation ppp 0

5. PPPoEインターフェース設定
   PPPインターフェースにWAN側のIPアドレスを設定します。
   LCP EchoパケットによるPPP接続の監視を有効にします。
   ISPから通知されたPPPユーザー名やとパスワードを設定します。
   PPPインターフェースを通過するTCPパケットのMSS値を書き換える設定をします。

   awplus(config)# interface ppp0
   awplus(config-if)# ip address 172.16.0.1/32
   awplus(config-if)# keepalive
   awplus(config-if)# ppp username user@ispA
   awplus(config-if)# ppp password isppasswdA
   awplus(config-if)# ip tcp adjust-mss 1414

6. ソフトウェアブリッジ作成
   ソフトウェアブリッジ1を作成します。

   awplus(config)# bridge 1

7. IPsec設定
   IKEフェーズ1のポリシー「nifcloud-isakmp」、フェーズ2のポリシー「nifcloud-ipsec」をそれぞれ作成します。

   awplus(config)# crypto isakmp profile nifcloud-isakmp
   awplus(config-isakmp-profile)# version 2
   awplus(config-isakmp-profile)# lifetime 28800
   awplus(config-isakmp-profile)# dpd-interval 15
   awplus(config-isakmp-profile)# dpd-timeout 90
   awplus(config-isakmp-profile)# transform 1 integrity SHA1 encryption AES128 group 2
   
   awplus(config)# crypto isakmp key secret address 172.17.0.1
   awplus(config)# crypto isakmp peer address 172.17.0.1 profile nifcloud-isakmp
   
   awplus(config)# crypto ipsec profile nifcloud-ipsec
   awplus(config-ipsec-profile)# lifetime seconds 3600
   awplus(config-ipsec-profile)# transform 1 protocol esp integrity SHA1 encryption AES128

8. トンネルインターフェース設定
   L2TPv3トンネルインターフェースtunnel0を作成します。
   ブリッジグポートの設定をします。
   MTUの設定をします。
   L2TPv3トンネルの始点(自装置)と終点(仮想ネットワークゲートウェイ)を指定します。
   L2TPv3トンネルの自装置IDを指定します。
   L2TPv3トンネルの対向装置IDを指定します。
   IKEフェーズ2で使用するポリシーを指定します。
   トンネリング方式を指定します。

   awplus(config)# int tunnel0
   awplus(config-if)# bridge-group 1
   awplus(config-if)# mtu 1500
   awplus(config-if)# tunnel source ppp0
   awplus(config-if)# tunnel destination 172.17.0.1
   awplus(config-if)# tunnel local id 1
   awplus(config-if)# tunnel remote id 2
   awplus(config-if)# tunnel protection ipsec profile nifcloud-ipsec
   awplus(config-if)# tunnel mode l2tp v3

9. LAN側インターフェース設定
   LAN側インターフェース（vlan1）にブリッジポートの設定します。

   awplus(config)# interface vlan1
   awplus(config-if)# bridge-group 1

10. ブリッジインターフェース設定
    ブリッジインターフェース（br1）にIPアドレスを設定します。

    awplus(config)# interface br1 
    awplus(config-if)# ip address 192.168.1.254/24

11. L2TPv3 UDPポート設定
    L2TPv3で使用するUDPポートを変更します。

    awplus(config)# l2tp unmanaged port 1702

12. アプリケーションの設定
    ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
    IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
    ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
    L2TPv3パケットを表すカスタムアプリケーション「l2tv3」を定義します。
    NATトラバーサルパケットを表すカスタムアプリケーション「nat-t」を定義します。

    awplus(config)# application esp
    awplus(config-application)# protocol 50
    
    awplus(config)# application isakmp
    awplus(config-application)# protocol udp
    awplus(config-application)# sport 500
    awplus(config-application)# dport 500
    
    awplus(config)# application l2tpv3
    awplus(config-application)# protocol udp
    awplus(config-application)# dport 1702
    
    awplus(config)# application nat-t
    awplus(config-application)# protocol udp
    awplus(config-application)# dport 4500

13. エンティティの設定
    ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
    内部ネットワークを表すゾーン「private」と外部ネットワークを表すゾーン「public」を作成します。

    awplus(config)# zone private
    awplus(config-zone)# network lan
    awplus(config-network)# ip subnet 192.168.1.0/24
    
    awplus(config)# zone public
    awplus(config-zone)# network wan
    awplus(config-network)# ip subnet 0.0.0.0/0 interface ppp0
    awplus(config-network)# host ppp0
    awplus(config-host)# ip address 172.16.0.1

14. ファイアウォール、NATの設定
    ISAKMP、ESP、NATトラバーサル、L2TPv3パケットは通しつつほかの外側からの通信を遮断し、内側からの通信は自由に行えるようにファイアウォールのルールを設定します。
    LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。

    awplus(config)# firewall
    awplus(config-firewall)# rule 10 permit isakmp from public.wan.ppp0 to public.wan
    awplus(config-firewall)# rule 20 permit isakmp from public.wan to public.wan.ppp0
    awplus(config-firewall)# rule 30 permit esp from public.wan to public.wan.ppp0
    awplus(config-firewall)# rule 40 permit esp from public.wan.ppp0 to public.wan
    awplus(config-firewall)# rule 50 permit nat-t from public.wan.ppp0 to public.wan
    awplus(config-firewall)# rule 60 permit nat-t from public.wan to public.wan.ppp0
    awplus(config-firewall)# rule 70 permit l2tpv3 from public.wan.ppp0 to public.wan
    awplus(config-firewall)# rule 80 permit l2tpv3 from public.wan to public.wan.ppp0
    awplus(config-firewall)# rule 90 permit any from private to private
    awplus(config-firewall)# rule 100 permit any from private to public
    awplus(config-firewall)# protect
    
    awplus(config)# nat
    awplus(config-nat)# rule 10 masq any from private to public
    awplus(config-nat)# enable

15. ルート設定
    デフォルトルートを設定します。

    awplus(config)# ip route 0.0.0.0/0 ppp0

16. コンフィグの保存、確認
    設定は以上となります。
    現在の設定内容を起動時コンフィグとして保存します。
    設定（ランニングコンフィグ）を表示します。
    次頁の「入力コマンド一覧」を参考に、設定に誤りが無いかご確認ください。

    awplus# copy running-config startup-config
    awplus# show running-config

17. 設定の確認
    「show running-config」で設定をご確認いただけます。各コマンドの詳細につきまして、以下のページを参照してください。
    アライドテレシス社 コマンドリファレンス

確認手順

ISAKMP SAの確立状態

下記コマンドを実行し、ISAKMP SAの確立状態がEstablishであることを確認します。

awplus#show isakmp sa
--------------------------------------------------------------------------------
Peer                 Cookies (initiator:responder)       Auth  Ver   Expires    
                     Encryption    Integrity    Group    DPD   NATT  State      
--------------------------------------------------------------------------------
172.17.0.1           44367abab8c30031:b55670babe47379d   PSK   2     26259s     
                     AES128        SHA1         2        yes   no    Established

上記のように表示されない場合は、ISAKMP SAの確立に失敗しています。
共有キーやISAKMPポリシーが正しく設定されているかご確認ください。

IPsec SAの確立状態

下記コマンドを実行し、IPsec SAが確立していることを確認します。

awplus# show ipsec sa
-----------------------------------------------------------------------------
Peer                  SPI (in:out)          Mode          Proto  Expires     
                      Encryption            Integrity     PFS  
-----------------------------------------------------------------------------
172.17.0.1            c815f8eb:cf2eec36     tunnel        ESP    3545s       
                      AES128                SHA1          - 

上記のように表示されない場合は、IPsec SAの確立に失敗しています。IPsecポリシーが正しく設定されているかご確認ください。