拠点間VPNゲートウェイ:IKEv1 L2TPv3/IPsec VPN(L2VPN)で接続する拠点側VPN装置の設定(VyOS)
拠点側VPN装置にVyOSを使用した場合の設定です。
下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ:VPNコネクション:作成
構成
拠点間VPNゲートウェイを利用し、ニフクラとお客様拠点をL2TPv3/IPsec VPN接続するためには、以下の項目を事前にご確認ください。
以降の設定手順、確認手順では下記を検証環境、構成例として用います。
検証環境
| ソフトウェア | VyOS 1.1以上 |
構成例
| 拠点間VPNゲートウェイのIPアドレス | 198.51.100.123 |
| 拠点VPN装置のIPアドレス | 203.0.113.234 |
| 共有鍵 | 0582877a-3907-4357-8763-d32e9050eb08 |
設定手順
ブリッジを作成しIPアドレスを設定します。
[edit] vyos@vyos# set interfaces bridge br0 address 192.168.1.254/24 [edit] vyos@vyos# set interfaces ethernet eth1 bridge-group bridge br0 [edit] vyos@vyos# commit [ interfaces ethernet eth1 bridge-group ] Adding interface eth1 to bridge br0 [edit] vyos@vyos#IKEの暗号アルゴリズムとハッシュ・アルゴリズムの設定を行います。
※IKE1はIKEの設定に付ける名前です。
この値は変更可能ですが、変更した場合は以降の設定でIKE1をすべてその値に置き換えてください。[edit] vyos@vyos# set vpn ipsec ike-group IKE1 dead-peer-detection action restart [edit] vyos@vyos# set vpn ipsec ike-group IKE1 dead-peer-detection interval 15 [edit] vyos@vyos# set vpn ipsec ike-group IKE1 dead-peer-detection timeout 90 [edit] vyos@vyos# set vpn ipsec ike-group IKE1 proposal 1 encryption aes128 [edit] vyos@vyos# set vpn ipsec ike-group IKE1 proposal 1 hash sha1 [edit] vyos@vyos# set vpn ipsec ike-group IKE1 proposal 1 dh-group 2 [edit] vyos@vyos# set vpn ipsec ike-group IKE1 lifetime 28800ESPの暗号アルゴリズムとハッシュ・アルゴリズムの設定を行います。
※ESP1はESPの設定に付ける名前です。
この値は変更可能ですが、変更した場合は以降の設定でESP1をすべてその値に置き換えてください。[edit] vyos@vyos# set vpn ipsec esp-group ESP1 proposal 1 encryption aes128 [edit] vyos@vyos# set vpn ipsec esp-group ESP1 proposal 1 hash sha1 [edit] vyos@vyos# set vpn ipsec esp-group ESP1 mode transport [edit] vyos@vyos# set vpn ipsec esp-group ESP1 lifetime 3600IPsecを設定するインターフェースとしてVPNルーターのWAN側のインターフェースを指定します。
※下記の例ではeth0を設定していますが、WAN側のインターフェースが異なる場合は正しいインターフェースに置き換えて設定してください。
[edit] vyos@vyos# set vpn ipsec ipsec-interfaces interface eth0対向の拠点間VPNゲートウェイの設定を行います。
※「198.51.100.12」は実際のVPNゲートウエイのIPアドレスに、「0582877a-3907-4357-8763-d32e9050eb08」は実際の共有鍵にそれぞれ置き換えてください。
[edit] vyos@vyos# edit vpn ipsec site-to-site peer 198.51.100.123 [edit vpn ipsec site-to-site peer 198.51.100.123] vyos@vyos# set authentication mode pre-shared-secret [edit vpn ipsec site-to-site peer 198.51.100.123] vyos@vyos# set authentication pre-shared-secret 0582877a-3907-4357-8763-d32e9050eb08IKEとESPの設定を行います。
※もし上記でIKEとESPの名前を異なるもので設定した場合は、ここで値を置き換えてください。
[edit vpn ipsec site-to-site peer 198.51.100.123] vyos@vyos# set ike-group IKE1 [edit vpn ipsec site-to-site peer 198.51.100.123] vyos@vyos# set default-esp-group ESP1拠点VPN装置のIPアドレス(VyOSのWAN側のIPアドレス)を設定します。
※「203.0.113.234」は実際の値に置き換えてください。
[edit vpn ipsec site-to-site peer 198.51.100.123] vyos@vyos# set local-ip 203.0.113.234transport modeのESPを設定する際には以下を設定してください。
tunnel modeではありませんが、以下の設定がないとエラーとなります。
[edit vpn ipsec site-to-site peer 198.51.100.123] vyos@vyos# set tunnel 1 [edit vpn ipsec site-to-site peer 198.51.100.123] vyos@vyos# topL2TPv3の設定で必要になる共通項目を設定します。
※「203.0.113.234」を実際の拠点VPN装置のIPアドレスに、置き換えてください。
[edit] vyos@vyos# set system l2tpv3 router-id 203.0.113.234Unmanaged L2TPv3の設定を行います。
※「198.51.100.12」は実際のVPNゲートウエイのIPアドレスに、「203.0.113.234」を実際の拠点VPN装置のIPアドレスに、それぞれ置き換えてください。
また、それぞれ下記の項目にはVPNコネクション作成時の「トンネル設定」で設定した各値を入力してください。
peer-tunnel-id 拠点間VPNゲートウェイのトンネルID tunnel-id 対向機器のトンネルID peer-session-id 拠点間VPNゲートウェイのセッションID session-id 対向機器のトンネルID [edit] vyos@vyos# set interfaces l2tpv3 l2tpeth0 mode unmanaged [edit] vyos@vyos# set interfaces l2tpv3 l2tpeth0 encapsulation ip [edit] vyos@vyos# set interfaces l2tpv3 l2tpeth0 remote-ip 198.51.100.123 [edit] vyos@vyos# set interfaces l2tpv3 l2tpeth0 local-ip 203.0.113.234 [edit] vyos@vyos# set interfaces l2tpv3 l2tpeth0 peer-tunnel-id 1 [edit] vyos@vyos# set interfaces l2tpv3 l2tpeth0 tunnel-id 1 [edit] vyos@vyos# set interfaces l2tpv3 l2tpeth0 peer-session-id 1 [edit] vyos@vyos# set interfaces l2tpv3 l2tpeth0 session-id 1 [edit] vyos@vyos# set interfaces l2tpv3 l2tpeth0 mtu 1500 [edit] vyos@vyos# set interfaces l2tpv3 l2tpeth0 bridge-group bridge br0 [edit] vyos@vyos# commit [ interfaces l2tpv3 l2tpeth0 ] creating: l2tpeth0 [ interfaces l2tpv3 l2tpeth0 bridge-group ] Adding interface l2tpeth0 to bridge br0 [edit] vyos@vyos#commitで設定を反映し、saveで設定を保存します。
[edit] vyos@vyos# commit [edit] vyos@vyos# save Saving configuration to '/config/config.boot'... Done
確認手順
IKEのSAが正常に確立されているか確認する
show vpn ike saコマンドを実行します。
下記のようにStateがupとなっていれば正常に確立できています。
[edit]
vyos@vyos# run show vpn ike sa
Peer ID / IP Local ID / IP
------------ -------------
198.51.100.123 203.0.113.234
State Encrypt Hash D-H Grp NAT-T A-Time L-Time
----- ------- ---- ------- ----- ------ ------
up aes128 sha1 2 no 1013 28800ESPのSAが正常に確立されているか確認する
show vpn ipsec saコマンドを実行します。
下記のようにStateがupとなっていれば正常に確立できています。
[edit]
vyos@vyos# run show vpn ipsec sa
Peer ID / IP Local ID / IP
------------ -------------
198.51.100.123 203.0.113.234
Tunnel State Bytes Out/In Encrypt Hash NAT-T A-Time L-Time Proto
------ ----- ------------- ------- ---- ----- ------ ------ -----
1 up 0.0/0.0 aes128 sha1 no 272 3600 allこれらがupとなっていない場合は、拠点間VPNゲートウェイのIPアドレス、拠点VPN装置のIPアドレス、プライベートLAN CIDR、拠点CIDRのどれかが間違っている可能性がありますのでご確認ください。
