拠点間VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(富士通 Si-R brin)
拠点側VPN装置にSi-R brinシリーズを使用した場合の設定です。
下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ:VPNコネクション:作成
構成
拠点間VPNゲートウェイを利用し、ニフクラとお客様拠点をIPsec VPN(L3VPN)で接続するためには、以下の項目を事前にご確認ください。
以降の設定手順、確認手順では下記を検証環境、構成例として用います。
検証環境
| 製品 | Si-R brinシリーズ |
| ソフトウェア | V2.04以上 |
構成例
| 拠点間VPNゲートウェイのIPアドレス | 198.51.100.123 |
| プライベートLAN CIDR | 172.31.1.0/24 |
| 拠点VPN装置のグローバルIPアドレス | 203.0.113.234 |
| 拠点VPN装置のプライベートIPアドレス | 192.168.1.1 |
| 拠点CIDR | 192.168.1.0/24 |
| 共有鍵 | 0582877a-3907-4357-8763-d32e9050eb08 |
| PPPユーザー名 | user@isp |
| PPPパスワード | isppasswd |
| WAN側物理インタフェース | ether 1 1 |
| WAN側仮想インタフェース | remote 0 |
| IPsec仮想インタフェース | remote 1 |
設定手順
コンフィグ編集モードへ移行します。
Si-R90brin#Configure Si-R90brin(Config)#各LANポートに通信モードの設定をします。
Si-R90brin(Config)# lan 0 mode auto Si-R90brin(Config)# lan 1 mode autoLAN側インタフェースにアドレスを設定します。
以下の例で、192.168.1.1/24は実際の拠点CIDRの値に書き換えてください。Si-R90brin(Config)#lan 1 ip address 192.168.1.1/24 3PPPoEインタフェースの設定をします。
以下の例で、192.168.1.1は拠点VPN装置のプライベートIPアドレスに置き換えてください。Si-R90brin(Config)#remote 0 name pppoe Si-R90brin(Config)#remote 0 mtu 1454 Si-R90brin(Config)#remote 0 ap 0 name nifty Si-R90brin(Config)#remote 0 ap 0 datalink bind lan 0 Si-R90brin(Config)#remote 0 ap 0 ppp auth send user@isp isppasswd Si-R90brin(Config)#remote 0 ap 0 keep connect Si-R90brin(Config)#remote 0 ppp ipcp vjcomp disable Si-R90brin(Config)#remote 0 ip route 0 default 1 1 Si-R90brin(Config)#remote 0 ip nat mode multi any 1 5m Si-R90brin(Config)#remote 0 ip nat static 0 192.168.1.1 500 192.168.1.1 500 17 Si-R90brin(Config)#remote 0 ip nat static 1 192.168.1.1 any 192.168.1.1 any 50 Si-R90brin(Config)#remote 0 ip msschange 1414IPsecの設定をします。
※「0582877a-3907-4357-8763-d32e9050eb08」を実際の共有鍵に、「192.168.1.1」は拠点VPN装置のプライベートIPアドレスに、「192.168.1.0/24」は実際の拠点CIDRの値に、 「198.51.100.123」は実際の拠点間VPNゲートウェイのIPアドレスに、「172.31.1.0/24」はプライベートLAN CIDRの値に、それぞれ置き換えてください。
Si-R90brin(Config)#remote 1 name nifty Si-R90brin(Config)#remote 1 ap 0 name ipsec Si-R90brin(Config)#remote 1 ap 0 datalink type ipsec Si-R90brin(Config)#remote 1 ap 0 keep connect Si-R90brin(Config)#remote 1 ap 0 ipsec type ike Si-R90brin(Config)#remote 1 ap 0 ipsec ike protocol esp Si-R90brin(Config)#remote 1 ap 0 ipsec ike range 192.168.1.0/24 172.31.1.0/24 Si-R90brin(Config)#remote 1 ap 0 ipsec ike encrypt aes-cbc-128 Si-R90brin(Config)#remote 1 ap 0 ipsec ike auth hmac-sha1 Si-R90brin(Config)#remote 1 ap 0 ipsec ike pfs modp1024 Si-R90brin(Config)#remote 1 ap 0 ipsec ike lifetime 1h Si-R90brin(Config)#remote 1 ap 0 ike shared key text 0582877a-3907-4357-8763-d32e9050eb08 Si-R90brin(Config)#remote 1 ap 0 ike proposal 0 encrypt aes-cbc-128 Si-R90brin(Config)#remote 1 ap 0 ike proposal 0 hash hmac-sha1 Si-R90brin(Config)#remote 1 ap 0 ike proposal 0 pfs modp1024 Si-R90brin(Config)#remote 1 ap 0 ike proposal 0 lifetime 8h Si-R90brin(Config)#remote 1 ap 0 tunnel local 192.168.1.1 Si-R90brin(Config)#remote 1 ap 0 tunnel remote 198.51.100.123 Si-R90brin(Config)#remtoe 1 ap 0 sessionwatch address 192.168.1.1 172.31.1.1 Si-R90brin(Config)#remote 1 ip route 0 172.31.1.0/24 1 1 Si-R90brin(Config)#remote 1 ip msschange 1300最後に設定を保存、再起動します。
Si-R90brin(Config)#save Si-R90brin(Config)#reset
確認手順
IKE、ESPのSAが正常に確立されているか確認する
IKEのSAが正常に確立されているか確認するためにはshow access-pointコマンドを実行します。
下記のように、対象のremoteに対して、IKE SA,IPsec SAそれぞれがestablished、statusがconnectedとなっていればIPsecは正常に確立できています。
Si-R90brin(Config)#show access-point
remote 1 ap 0 : nifty.ipsec
status : connected
since : Jan 30 05:37:48 GMT 2015
speed : not available
send traffic : not available
receive traffic : not available
type : IPsec/IKE
exchange type : main
IKE SA : established
IPsec SA : established
Si-R90brin(Config)#
