拠点間VPNゲートウェイ:IKEv2 IPsec VTI VPN (L3VPN)で接続する拠点側VPN装置の設定(アライドテレシス AR4050S/AR3050S/AR2050V/AR2010V)
拠点側VPN装置にアライドテレシス AR4050Sを使用した場合の設定です。
AR3050S、AR2050V、AR2010Vでも同じ内容が適用可能です。その場合は、AR4050SをAR3050SまたはAR2050V、AR2010Vと読み替えの上、ご利用ください。
下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ:VPNコネクション:作成
構成
拠点間VPNゲートウェイを利用し、ニフクラとお客様拠点をIPsec VTI VPN(L3VPN)で接続するためには、以下の項目を事前にご確認ください。
以降の設定手順、確認手順では下記を検証環境、構成例として用います。
検証環境
| 製品 | アライドテレシス AR4050S |
| ソフトウェア | 5.4.7-1.1以降 |
構成例
| PPPユーザー名 | user@ispA |
| PPPパスワード | isppasswdA |
| AR4050S ppp0(WAN側)IPアドレス | 172.16.0.1/32 |
| AR4050S vlan1(LAN側)IPアドレス | 192.168.1.254/24 |
| AR4050S vlan2(LAN側)IPアドレス | 192.168.2.254/24 |
| 事前共有鍵 | secret |
| Tunnel interface IP address | 172.30.0.1/32 |
| 拠点間VPNゲートウェイのIPアドレス | 172.17.0.1 |
| 拠点CIDR | 192.168.1.0/24、192.168.2.0/24 |
| プライベートLAN CIDR | 10.0.0.0/16 |
設定手順
ログイン
AR4050Sにログインします。
工場出荷時設定のCLIのログインユーザー名/パスワードは下記の通りです。awplus login: manager Password: friend ※実際には表示されません Last login: Tue Nov 28 08:41:38 UTC 2017 on ttyS0 AlliedWare Plus (TM) 5.4.7 11/16/17 01:33:30 awplus>モードの移行
非特権EXECモードから、特権EXECモードに移行します。awplus> enable特権EXECモードからグローバルコンフィグモードに移行します。
awplus# configure terminal Enter configuration commands, one per line. End with CNTL/Z. awplus(config)#スパニングツリープロトコルの無効化
LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。awplus(config)# no spanning-tree rstp enableLANインターフェース設定
vlan2を作成します。awplus(config)# vlan database awplus(config-vlan)# vlan 2 state enableポート1.0.5〜1.0.8をvlan2に設定します。
awplus(config)# interface port1.0.5-1.0.8 awplus(config-if)# switchport access vlan 2LANインターフェース設定
LAN側インターフェース(vlan1,vlan2)にIPアドレスを設定します。awplus(config)# interface vlan1awplus(config-if)# ip address 192.168.1.254/24 awplus(config)# interface vlan2awplus(config-if)# ip address 192.168.2.254/24PPPインターフェース作成
ETH1インターフェース上にPPPインターフェースを作成します。awplus(config)# interface eth1 awplus(config-if)# encapsulation ppp 0PPPoEインターフェース設定
PPPインターフェースにWAN側のIPアドレスを設定します。
LCP EchoパケットによるPPP接続の監視を有効にします。
ISPから通知されたPPPユーザー名やとパスワードを設定します。
PPPインターフェースを通過するTCPパケットのMSS値を書き換える設定をします。awplus(config)# interface ppp0 awplus(config-if)# ip address 172.16.0.1/32 awplus(config-if)# keepalive awplus(config-if)# ppp username user@ispA awplus(config-if)# ppp username isppasswdA awplus(config-if)# ip tcp adjust-mss 1414エンティティーの設定
ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
内部ネットワークを表すゾーン「private」と、外部ネットワークを表すゾーン「public」を作成します。awplus(config)# zone private awplus(config-zone)# network lan awplus(config-network)# ip subnet 192.168.1.0/24 awplus(config-network)# ip subnet 192.168.2.0/24 awplus(config-network)# ip subnet 10.0.0.0/16 awplus(config)# zone public awplus(config-zone)# network wan awplus(config-network)# ip subnet 0.0.0.0/0 interface ppp0 awplus(config-network)# host ppp0 awplus(config-host)# ip address 172.16.0.1アプリケーションの設定
ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
NATトラバーサルパケットを表すカスタムアプリケーション「nat-t」を定義します。awplus(config)# application esp awplus(config-application)# protocol 50 awplus(config)# application isakmp awplus(config-application)# protocol udp awplus(config-application)# sport 500 awplus(config-application)# dport 500 awplus(config)# application nat-t awplus(config-application)# protocol udp awplus(config-application)# dport 4500ファイアウォール、NATの設定
ISAKMPパケット、ESPパケットは通しつつ、ほかの外側からの通信を遮断し、内側からの通信は自由に行えるようにファイアウォールのルールを設定します。
NATトラバーサルパケットを通すファイアウォールのルール(下記のrule 70,80)を設定します。
LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。awplus(config)# firewall awplus(config-firewall)# rule 10 permit isakmp from public.wan.ppp0 to public.wan awplus(config-firewall)# rule 20 permit isakmp from public.wan to public.wan.ppp0 awplus(config-firewall)# rule 30 permit esp from public.wan to public.wan.ppp0 awplus(config-firewall)# rule 40 permit esp from public.wan.ppp0 to public.wan awplus(config-firewall)# rule 50 permit any from private to private awplus(config-firewall)# rule 60 permit any from private to public awplus(config-firewall)# rule 70 permit nat-t from public.wan.ppp0 to public.wan awplus(config-firewall)# rule 80 permit nat-t from public.wan to public.wan.ppp0 awplus(config-firewall)# protect awplus(config)# nat awplus(config-nat)# rule 10 masq any from private to public awplus(config-nat)# enableIPsec設定
IKEフェーズ1のポリシー「nifcloud-isakmp」、フェーズ2のポリシー「nifcloud-ipsec」をそれぞれ作成しますawplus(config)# crypto isakmp profile nifcloud-isakmp awplus(config-isakmp-profile)# version 2 awplus(config-isakmp-profile)# lifetime 28800 awplus(config-isakmp-profile)# dpd-interval 15 awplus(config-isakmp-profile)# dpd-timeout 90 awplus(config-isakmp-profile)# transform 1 integrity SHA1 encryption AES128 group 2 awplus(config)# crypto isakmp key secret address 172.17.0.1 awplus(config)# crypto isakmp peer address 172.17.0.1 profile nifcloud-isakmp awplus(config)# crypto ipsec profile nifcloud-ipsec awplus(config-ipsec-profile)# lifetime seconds 3600 awplus(config-ipsec-profile)# transform 1 protocol esp integrity SHA1 encryption AES128トンネルインターフェース設定
IPsecトンネルインターフェースtunnel0を作成します。
MTUの設定をします。
IPsecトンネルの始点(自装置)と終点(仮想ネットワークゲートウェイ)を指定します。
IKEフェーズ2で使用するポリシーを指定します。
IPsec通信を行うネットワークの範囲を指定します。
トンネリング方式を指定します。
IP通信を有効にするためにIPアドレスを設定します(このIPアドレスは通信に使用されません)。
トンネルインターフェースを通過するTCPパケットのMSS値を書き換える設定をします。awplus(config)# int tunnel0 awplus(config-if)# mtu 1300 awplus(config-if)# tunnel source ppp0 awplus(config-if)# tunnel destination 172.17.0.1 awplus(config-if)# tunnel protection ipsec profile nifcloud-ipsec awplus(config-if)# tunnel mode ipsec ipv4 awplus(config-if)# ip address 172.30.0.1/32 awplus(config-if)# ip tcp adjust-mss 1260ルート設定
デフォルトルートを設定します。
NIFCLOUD仮想ネットワーク宛の通信がIPsecトンネルを経由するよう設定します。
またIPsecトンネルが確立するまでは、このルートを使用できないよう設定します。awplus(config)# ip route 0.0.0.0/0 ppp0 awplus(config)# ip route 10.0.0.0/16 tunnel0 awplus(config)# ip route 10.0.0.0/16 null 254コンフィグの確認、保存
設定は以上となります。
現在の設定内容を起動時コンフィグとして保存します。
設定(ランニングコンフィグ)を表示します。
次頁の「入力コマンド一覧」を参考に、設定に誤りが無いかご確認ください。awplus# copy running-config startup-config awplus# show running-config設定の確認
「show running-config」で設定をご確認いただけます。各コマンドの詳細につきまして、以下のページを参照してください。
確認手順
ISAKMPのSAが正常に確立されているか確認する
下記コマンドを実行し、ISAKMP SAの確立状態がEstablishであることを確認します。
awplus#show isakmp sa
--------------------------------------------------------------------------------
Peer Cookies (initiator:responder) Auth Ver Expires
Encryption Integrity Group DPD NATT State
--------------------------------------------------------------------------------
172.17.0.1 6b0000f6085553df:91ab1868d7e58bfc PSK 2 27614s
AES128 SHA1 2 yes no Established上記のように表示されない場合は、ISAKMP SAの確立に失敗しています。
共有キーやISAKMPポリシーが正しく設定されているかご確認ください。
IPsec SAの確立状態
下記コマンドを実行し、IPsec SAが確立していることを確認します。
awplus#show ipsec sa
-----------------------------------------------------------------------------
Peer SPI (in:out) Mode Proto Expires
Encryption Integrity PFS
-----------------------------------------------------------------------------
172.17.0.1 cd92e7a5:c63e5f81 tunnel ESP 3579s
AES128 SHA1 - 上記のように表示されない場合は、IPsec SAの確立に失敗しています。IPsecポリシーが正しく設定されているかご確認ください。
