本文へジャンプします。

ニフクラ ユーザーガイド

クラウド トップ>ユーザーガイド>コンピューティング>VPNゲートウェイ:IKEv2 IPsec VTI VPN (L3VPN)で接続する拠点側VPN装置の設定(富士通 Si-R G)

VPNゲートウェイ:IKEv2 IPsec VTI VPN (L3VPN)で接続する拠点側VPN装置の設定(富士通 Si-R G)

拠点側VPNルータの機種としてSi-R Gシリーズを対象とした設定を説明します。

下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ:VPNコネクション:作成

マニュアルの作成に当たり、以下の環境で検証を行っています。
・Si-R G110 V3.02

構成

VPNゲートウェイを利用し、ニフクラとお客様拠点をIPsec VTI(IKEv2)で接続するためには、以下の項目を事前にご確認ください。 以降の設定手順、確認手順では下記を構成例として用います。

構成例
VPNゲートウェイのIPアドレス 198.51.100.123
拠点VPN装置のアドレス 192.168.1.1
プライベートLAN CIDR 172.31.1.0/24、172.31.2.0/24
拠点CIDR 192.168.1.0/24、192.168.2.0/24
共有鍵 hoge
PPPユーザー名 user@isp
PPPパスワード isppasswd

設定手順

以下の構成を例に説明します。

WAN側物理インタフェース ether 1 1
WAN側仮想インタフェース remote 0
IPsec仮想インタフェース remote 1


  1. コンフィグ編集モードへ移行します。

    Si-R G110#configure
    Si-R G110(config)#
  2. 物理ポートにVLANを割り当てます。

    Si-R G110(config)# ether 1 1 vlan untag 1
    Si-R G110(config)# ether 2 1-4 vlan untag 2
  3. LAN側インタフェースにアドレスを設定します。
    以下の例で、192.168.1.1/24は実際の拠点CIDRの値に書き換えてください。

    Si-R G110(config)#lan 1 ip address 192.168.1.1/24 3
    Si-R G110(config)#lan 1 vlan 2
  4. PPPoEインタフェースの設定をします。以下の例で、192.168.1.1は拠点VPN装置のアドレスに置き換えてください。

    Si-R G110(config)#remote 0 name pppoe
    Si-R G110(config)#remote 0 mtu 1454
    Si-R G110(config)#remote 0 ap 0 name nifty
    Si-R G110(config)#remote 0 ap 0 datalink bind vlan 1
    Si-R G110(config)#remote 0 ap 0 ppp auth send user@isp isppasswd
    Si-R G110(config)#remote 0 ap 0 keep connect
    Si-R G110(config)#remote 0 ppp ipcp vjcomp disable
    Si-R G110(config)#remote 0 ip route 0 default 1 1
    Si-R G110(config)#remote 0 ip nat mode multi any 1 5m
    Si-R G110(config)#remote 0 ip nat static 0 192.168.1.1 4500 any 4500 17
    Si-R G110(config)#remote 0 ip nat static 1 192.168.1.1 500 any 500 17
    Si-R G110(config)#remote 0 ip nat static 2 192.168.1.1 any any any 50
    Si-R G110(config)#remote 0 ip nat wellknown 0 500 off
    Si-R G110(config)#remote 0 ip msschange 1414
  5. IPsecの設定をします。

    ※hogeを実際の共有鍵に、192.168.1.1は拠点VPN装置のアドレスに、192.168.1.0/24、192.168.2.0/24は実際の拠点IPアドレスの値に、198.51.100.123は実際のVPNゲートウェイのIPアドレスに、172.31.1.0/24、172.31.2.0/24はプライベートLAN CIDRの値に、それぞれ置き換えてください。

    Si-R G110(config)#remote 1 name nifty
    Si-R G110(config)#remote 1 ap 0 name ipsec
    Si-R G110(config)#remote 1 ap 0 datalink type ipsec
    Si-R G110(config)#remote 1 ap 0 keep connect
    Si-R G110(config)#remote 1 ap 0 ipsec type ikev2
    Si-R G110(config)#remote 1 ap 0 ipsec ike protocol esp
    Si-R G110(config)#remote 1 ap 0 ipsec ike encrypt aes-cbc-256
    Si-R G110(config)#remote 1 ap 0 ipsec ike auth hmac-sha1
    Si-R G110(config)#remote 1 ap 0 ipsec ike lifetime 1h
    Si-R G110(config)#remote 1 ap 0 ipsec ike newsa initiator 3m 0
    Si-R G110(config)#remote 1 ap 0 ipsec ike esn disable
    Si-R G110(config)#remote 1 ap 0 ike local-idtype address
    Si-R G110(config)#remote 1 ap 0 ike remote-idtype address
    Si-R G110(config)#remote 1 ap 0 ike shared key text hoge
    Si-R G110(config)#remote 1 ap 0 ike proposal 0 encrypt aes-cbc-256
    Si-R G110(config)#remote 1 ap 0 ike proposal 0 hash hmac-sha1
    Si-R G110(config)#remote 1 ap 0 ike proposal 0 pfs modp1024
    Si-R G110(config)#remote 1 ap 0 ike proposal 0 prf hmac-sha1
    Si-R G110(config)#remote 1 ap 0 ike proposal 0 lifetime 1h
    Si-R G110(config)#remote 1 ap 0 tunnel local 192.168.1.1
    Si-R G110(config)#remote 1 ap 0 tunnel remote 198.51.100.123
    Si-R G110(config)#remote 1 ap 0 sessionwatch address 192.168.1.1 172.31.1.1
    Si-R G110(config)#remote 1 ap 0 sessionwatch interval 1m 1m 3m 5s
    Si-R G110(config)#remote 1 ap 0 sessionwatch mode idleonly
    Si-R G110(config)#remote 1 ip route 0 172.31.1.0/24 1 1
    Si-R G110(config)#remote 1 ip route 1 172.31.2.0/24 1 1
    Si-R G110(config)#remote 1 ip msschange 1350
  6. 最後に設定を保存、再起動します。

    Si-R G110(config)#save
    Si-R G110(config)#reset

確認手順

IKE、ESPのSAが正常に確立されているか確認する

IKEのSAが正常に確立されているか確認するためにはshow access-pointコマンドを実行します。
下記のように、対象のremoteに対して、IKE SA,IPsec SAそれぞれがestablished、statusがconnectedとなっていればIPsecは正常に確立できています。

Si-R G110(config)#show access-point
remote 1 ap 0         : nifty.ipsec
  status              : connected
    since             : Jan 20 07:35:17 2015
  speed               : not available
    send traffic      : not available
    receive traffic   : not available
  type                : IPsec/IKE
    IKE Version     : 1
    exchange type     : main
    IKE SA            : established
    IPsec SA          : established
Si-R G110(config)#

ニフティクラウド サイト内検索

ユーザーガイドメニュー

  • ツイッターでフォローしてください
  • ニフクラ公式フェイスブックページ

推奨画面サイズ 1024×768 以上