拠点間VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(VyOS)
拠点側VPN装置にVyOSを使用した場合の設定です。
下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ:VPNコネクション:作成
構成
拠点間VPNゲートウェイを利用し、ニフクラとお客様拠点をIPsec VPN(L3VPN)で接続するためには、以下の項目を事前にご確認ください。
以降の設定手順、確認手順では下記を検証環境、構成例として用います。
検証環境
| ソフトウェア | VyOS 1.1以上 |
構成例
| 拠点間VPNゲートウェイのIPアドレス | 198.51.100.123 |
| 拠点VPN装置のIPアドレス | 203.0.113.234 |
| プライベートLAN CIDR | 172.31.1.0/24 |
| 拠点CIDR | 192.168.1.0/24 |
| 共有鍵 | 0582877a-3907-4357-8763-d32e9050eb08 |
設定手順
IKEの暗号アルゴリズムとハッシュ・アルゴリズムの設定を行います。
※IKE1はIKEの設定に付ける名前です。
この値は変更可能ですが、変更した場合は以降の設定でIKE1をすべてその値に置き換えてください。[edit] vyos@vyos# set vpn ipsec ike-group IKE1 dead-peer-detection action restart [edit] vyos@vyos# set vpn ipsec ike-group IKE1 dead-peer-detection interval 15 [edit] vyos@vyos# set vpn ipsec ike-group IKE1 dead-peer-detection timeout 90 [edit] vyos@vyos# set vpn ipsec ike-group IKE1 proposal 1 encryption aes128 [edit] vyos@vyos# set vpn ipsec ike-group IKE1 proposal 1 hash sha1 [edit] vyos@vyos# set vpn ipsec ike-group IKE1 proposal 1 dh-group 2 [edit] vyos@vyos# set vpn ipsec ike-group IKE1 lifetime 28800ESPの暗号アルゴリズムとハッシュ・アルゴリズムの設定を行います。
※ESP1はESPの設定に付ける名前です。
この値は変更可能ですが、変更した場合は以降の設定でESP1をすべてその値に置き換えてください。[edit] vyos@vyos# set vpn ipsec esp-group ESP1 proposal 1 encryption aes128 [edit] vyos@vyos# set vpn ipsec esp-group ESP1 proposal 1 hash sha1 [edit] vyos@vyos# set vpn ipsec esp-group ESP1 lifetime 3600IPsecを設定するインターフェースとしてVPNルーターのWAN側のインターフェースを指定します。
※下記の例ではeth0を設定していますが、WAN側のインターフェースが異なる場合は正しいインターフェースに置き換えて設定してください。
[edit] vyos@vyos# set vpn ipsec ipsec-interfaces interface eth0対向の拠点間VPNゲートウェイの設定を行います。
※「198.51.100.12」は実際のVPNゲートウエイのIPアドレスに、「0582877a-3907-4357-8763-d32e9050eb08」は実際の共有鍵にそれぞれ置き換えてください。
[edit] vyos@vyos# edit vpn ipsec site-to-site peer 198.51.100.123 [edit vpn ipsec site-to-site peer 198.51.100.123] vyos@vyos# set authentication mode pre-shared-secret [edit vpn ipsec site-to-site peer 198.51.100.123] vyos@vyos# set authentication pre-shared-secret 0582877a-3907-4357-8763-d32e9050eb08IKEとESPの設定を行います。
※もし上記でIKEとESPの名前を異なるもので設定した場合は、ここで値を置き換えてください。
[edit vpn ipsec site-to-site peer 198.51.100.123] vyos@vyos# set ike-group IKE1 [edit vpn ipsec site-to-site peer 198.51.100.123] vyos@vyos# set default-esp-group ESP1拠点VPN装置のIPアドレス(VyOSのWAN側のIPアドレス)を設定します。
※「203.0.113.234」は実際の値に置き換えてください。
[edit vpn ipsec site-to-site peer 198.51.100.123] vyos@vyos# set local-ip 203.0.113.234プライベートLAN CIDRと拠点CIDRのペアをトンネルとして設定します。
※「192.168.1.0/24」を実際の拠点CIDRの値に、「172.31.1.0/24」を実際のプライベートLAN CIDRの値に、それぞれ置き換えてください。
[edit vpn ipsec site-to-site peer 198.51.100.123] vyos@vyos# set tunnel 1 local prefix 192.168.1.0/24 [edit vpn ipsec site-to-site peer 198.51.100.123] vyos@vyos# set tunnel 1 remote prefix 172.31.1.0/24 [edit vpn ipsec site-to-site peer 198.51.100.123] vyos@vyos# topWAN側のインターフェースでNATを利用している場合は、プライベートLAN CIDR宛てのパケットをNATによるアドレス変換対象から除外する必要があります。
これは、VyOSがIPsecトンネルを通すか通さないかの判断をする前に、NATを適用するためです。例えば、以下のNATルールがWAN側のインタフェースに設定されているとします。
nat { source { rule 1 { outbound-interface eth0 translation { address masquerade } } } }この場合、以下のコマンドを実行することでプライベートLAN CIDR宛てのパケットはアドレス変換の対象外とすることができます。
この設定は、WAN側のインターフェースにNATの設定がされていない場合は不要です。[edit] vyos@vyos# set nat source rule 1 destination address !172.31.1.0/24commitで設定を反映し、saveで設定を保存します。
[edit] vyos@vyos# commit [edit] vyos@vyos# save Saving configuration to '/config/config.boot'... Done
確認手順
IKEのSAが正常に確立されているか確認する
show vpn ike saコマンドを実行します。
下記のようにStateがupとなっていれば正常に確立できています。
[edit]
vyos@vyos# run show vpn ike sa
Peer ID / IP Local ID / IP
------------ -------------
198.51.100.123 203.0.113.234
State Encrypt Hash D-H Grp NAT-T A-Time L-Time
----- ------- ---- ------- ----- ------ ------
up aes128 sha1 2 no 1013 28800ESPのSAが正常に確立されているか確認する
show vpn ipsec saコマンドを実行します。
下記のようにStateがupとなっていれば正常に確立できています。
[edit]
vyos@vyos# run show vpn ipsec sa
Peer ID / IP Local ID / IP
------------ -------------
198.51.100.123 203.0.113.234
Tunnel State Bytes Out/In Encrypt Hash NAT-T A-Time L-Time Proto
------ ----- ------------- ------- ---- ----- ------ ------ -----
1 up 0.0/0.0 aes128 sha1 no 272 3600 allこれらがupとなっていない場合は、拠点間VPNゲートウェイのIPアドレス、拠点VPN装置のIPアドレス、プライベートLAN CIDR、拠点CIDRのどれかが間違っている可能性がありますのでご確認ください。
