クラウドユーザーガイド(ネットワーク:拠点間VPNゲートウェイ:IKEv1 IPsec VPN（L3VPN）で接続する拠点側VPN装置の設定（YAMAHA RTX）)

【重要なお知らせ】サービス統合に基づくサービス名称の読み替えのお願い（2024年4月1日）

2024年4月1日をもって、「ニフクラ」は、「FJcloud-V」に統合し、名称を変更しました。
「ニフクラ」「NIFCLOUD」「nifcloud」は、「FJcloud-V」に読み替えていただきますようお願いいたします。

ニフクラユーザーガイド

クラウドトップ>ネットワーク>ユーザーガイド>拠点間VPNゲートウェイ：IKEv1 IPsec VPN（L3VPN）で接続する拠点側VPN装置の設定（YAMAHA RTX）

拠点間VPNゲートウェイ：IKEv1 IPsec VPN（L3VPN）で接続する拠点側VPN装置の設定（YAMAHA RTX）

拠点側VPN装置にYAMAHA RTXシリーズを使用した場合の設定です。

下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ：VPNコネクション：作成

構成
設定手順
確認手順

構成

拠点間VPNゲートウェイを利用し、ニフクラとお客様拠点をIPsec VPN（L3VPN）で接続するためには、以下の項目を事前にご確認ください。
以降の設定手順、確認手順では下記を検証環境、構成例として用います。

検証環境

製品	YAMAHA RTXシリーズ
ソフトウェア	Rev.10.01.53以上

構成例

拠点間VPNゲートウェイのIPアドレス	198.51.100.123
拠点VPN装置のIPアドレス	203.0.113.234
プライベートLAN CIDR	172.31.1.0/24
拠点CIDR	192.168.1.0/24
共有鍵	0582877a-3907-4357-8763-d32e9050eb08
トンネル・インターフェース番号	1
SAポリシーID	1
セキュリティ・ゲートウェイID	1

※上記の値がすでに使用されている場合は適宜置き換えてください。

設定手順

YAMAHA RTシリーズにログインし管理者モードに移行し、NATの設定を確認します。
IPsecの通信に必要となるUDP/500、UDP/4500、ESPをLAN側のインターフェースに設定したIPアドレスへ変換するよう設定します。

# nat descriptor type 1 masquerade
# nat descriptor address outer 1 203.0.113.234
# nat descriptor address inner 1 auto
# nat descriptor masquerade static 1 1 192.168.1.1 udp 500
# nat descriptor masquerade static 1 2 192.168.1.1 udp 4500
# nat descriptor masquerade static 1 3 192.168.1.1 esp
#pp select 1
pp1#ip pp nat descriptor 1
pp1#no pp select 1
#

トンネル・インターフェース番号とSAポリシーIDを選択します。
```
# tunnel select 1
tunnel1# ipsec tunnel 1
```

SAポリシーを定義します。

tunnel1# ipsec sa policy 1 1 esp aes-cbc sha-hmac

IKEの暗号アルゴリズム、ハッシュアルゴリズム、グループ、寿命を設定します。

tunnel1# ipsec ike encryption 1 aes-cbc
tunnel1# ipsec ike hash 1 sha
tunnel1# ipsec ike group 1 modp1024
tunnel1# ipsec ike duration ike-sa 1 28800
tunnel1# ipsec ike duration ipsec-sa 1 3600

DPDの設定を行います。

tunnel1# ipsec ike keepalive use 1 on dpd

IKEの事前共有鍵を設定します。

※「0582877a-3907-4357-8763-d32e9050eb08」は、実際の共有鍵に置き換えてください。
```
tunnel1# ipsec ike pre-shared-key 1 text 0582877a-3907-4357-8763-d32e9050eb08
```
拠点VPN装置のIPアドレスを設定します。

※「192.168.1.1 」、「192.168.1.0/24」を実際の拠点VPN装置のIPアドレスに、置き換えてください。
```
tunnel1# ipsec ike local address 1 192.168.1.1
tunnel1# ipsec ike local id 1 192.168.1.0/24
```
拠点間VPNゲートウェイのIPアドレスを設定します。

※「198.51.100.123」、「172.31.1.0/24」を拠点間VPNゲートウェイのIPアドレスに置き換えてください。
```
tunnel1# ipsec ike remote address 1 198.51.100.123
tunnel1# ipsec ike remote id 1 172.31.1.0/24
```
トンネルインターフェースを有効化します。
```
tunnel1# tunnel enable 1
tunnel1# no tunnel select
```
拠点VPN装置側からIKEを開始するよう設定します。
```
# ipsec auto refresh on
```
プライベートLAN CIDR宛のパケットが作成したトンネルインターフェースを通るようルーティングを設定します。
```
# ip route 172.31.1.0/24 gateway tunnel 1
```
saveで設定を保存します。
```
# save
Saving ... CONFIG0 Done .
#
```

確認手順

IKEのSAが正常に確立されているか確認するためにはshow ipsec saコマンドを実行します。
下記のように表示されれば正常に確立できています。

# show ipsec sa gateway 1 detail
SA[1] Duration: 22015s
Local ID: 192.168.1.1
Remote ID: 198.51.100.123
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: 5c 25 31 8f eb 8f e7 6e 84 d0 d0 34 75 dc dc 55
Key: 71 84 8e b2 08 90 dd 8c
----------------------------------------------------
SA[2] Duration: 3583s
Local ID: 192.168.1.1
Remote ID: 198.51.100.123
Direction: send
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: 42 93 71 c6
Key: 2e 01 a0 20 92 68 19 6c ae 75 5f f4 84 35 a8 25
----------------------------------------------------
SA[3] Duration: 3583s
Local ID: 192.168.1.1
Remote ID: 198.51.100.123
Direction: receive
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: 25 9f dc 71
Key: 0d 74 8a ab d3 42 31 74 8f 2f 45 31 ee a6 7f 0e
----------------------------------------------------