本文へジャンプします。

ニフクラ ユーザーガイド

クラウド トップ>ユーザーガイド>コンピューティング>VPNゲートウェイ:IKEv1 L2TPv3/IPsec VPN(L2VPN)で接続する拠点側VPN装置の設定(VyOS)

VPNゲートウェイ:IKEv1 L2TPv3/IPsec VPN(L2VPN)で接続する拠点側VPN装置の設定(VyOS)

拠点側VPN装置にVyOSを使用した場合の設定です。

下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ:VPNコネクション:作成

構成

VPNゲートウェイを利用し、ニフクラとお客様拠点をL2TPv3/IPsec VPN接続するためには、以下の項目を事前にご確認ください。 以降の設定手順、確認手順では下記を検証環境、構成例として用います。

検証環境
ソフトウエア VyOS 1.1以上
構成例
VPNゲートウェイのIPアドレス 198.51.100.123
拠点VPN装置のIPアドレス 203.0.113.234
共有鍵 0582877a-3907-4357-8763-d32e9050eb08

設定手順

  1. ブリッジを作成しIPアドレスを設定します。

    [edit]
    vyos@vyos# set interfaces bridge br0 address 192.168.1.254/24
    [edit]
    vyos@vyos# set interfaces ethernet eth1 bridge-group bridge br0
    [edit]
    vyos@vyos# commit
    [ interfaces ethernet eth1 bridge-group ]
    Adding interface eth1 to bridge br0
    
    [edit]
    vyos@vyos#
  2. IKEの暗号アルゴリズムとハッシュ・アルゴリズムの設定を行います。

    ※IKE1はIKEの設定に付ける名前です。
    この値は変更可能ですが、変更した場合は以降の設定でIKE1をすべてその値に置き換えてください。

    [edit]
    vyos@vyos# set vpn ipsec ike-group IKE1 dead-peer-detection action restart
    [edit]
    vyos@vyos# set vpn ipsec ike-group IKE1 dead-peer-detection interval 15
    [edit]
    vyos@vyos# set vpn ipsec ike-group IKE1 dead-peer-detection timeout 90
    [edit]
    vyos@vyos# set vpn ipsec ike-group IKE1 proposal 1 encryption aes128
    [edit]
    vyos@vyos# set vpn ipsec ike-group IKE1 proposal 1 hash sha1
    [edit]
    vyos@vyos# set vpn ipsec ike-group IKE1 proposal 1 dh-group 2
    [edit]
    vyos@vyos# set vpn ipsec ike-group IKE1 lifetime 28800
  3. ESPの暗号アルゴリズムとハッシュ・アルゴリズムの設定を行います。

    ※ESP1はESPの設定に付ける名前です。
    この値は変更可能ですが、変更した場合は以降の設定でESP1をすべてその値に置き換えてください。

    [edit]
    vyos@vyos# set vpn ipsec esp-group ESP1 proposal 1 encryption aes128
    [edit]
    vyos@vyos# set vpn ipsec esp-group ESP1 proposal 1 hash sha1
    [edit]
    vyos@vyos# set vpn ipsec esp-group ESP1 mode transport
    [edit]
    vyos@vyos# set vpn ipsec esp-group ESP1 lifetime 3600
  4. IPsecを設定するインターフェースとしてVPNルーターのWAN側のインターフェースを指定します。

    ※下記の例ではeth0を設定していますが、WAN側のインターフェースが異なる場合は正しいインターフェースに置き換えて設定してください。

    [edit]
    vyos@vyos# set vpn ipsec ipsec-interfaces interface eth0
  5. 対向のVPNゲートウェイの設定を行います。

    ※「198.51.100.12」は実際のVPNゲートウエイのIPアドレスに、「0582877a-3907-4357-8763-d32e9050eb08」は実際の共有鍵にそれぞれ置き換えてください。

    [edit]
    vyos@vyos# edit vpn ipsec site-to-site peer 198.51.100.123
    [edit vpn ipsec site-to-site peer 198.51.100.123]
    vyos@vyos# set authentication mode pre-shared-secret
    [edit vpn ipsec site-to-site peer 198.51.100.123]
    vyos@vyos# set authentication pre-shared-secret 0582877a-3907-4357-8763-d32e9050eb08
  6. IKEとESPの設定を行います。

    ※もし上記でIKEとESPの名前を異なるもので設定した場合は、ここで値を置き換えてください。

    [edit vpn ipsec site-to-site peer 198.51.100.123]
    vyos@vyos# set ike-group IKE1
    [edit vpn ipsec site-to-site peer 198.51.100.123]
    vyos@vyos# set default-esp-group ESP1
  7. 拠点VPN装置のIPアドレス(VyOSのWAN側のIPアドレス)を設定します。

    ※「203.0.113.234」は実際の値に置き換えてください。

    [edit vpn ipsec site-to-site peer 198.51.100.123]
    vyos@vyos# set local-ip 203.0.113.234

    transport modeのESPを設定する際には以下を設定してください。

    tunnel modeではありませんが、以下の設定がないとエラーとなります。

    [edit vpn ipsec site-to-site peer 198.51.100.123]
    vyos@vyos# set tunnel 1
    [edit vpn ipsec site-to-site peer 198.51.100.123]
    vyos@vyos# top
  8. L2TPv3の設定で必要になる共通項目を設定します。

    ※「203.0.113.234」を実際の拠点VPN装置のIPアドレスに、置き換えてください。

    [edit]
    vyos@vyos# set system l2tpv3 router-id 203.0.113.234
  9. Unmanaged L2TPv3の設定を行います。

    ※「198.51.100.12」は実際のVPNゲートウエイのIPアドレスに、「203.0.113.234」を実際の拠点VPN装置のIPアドレスに、それぞれ置き換えてください。

    また、それぞれ下記の項目にはVPNコネクション作成時の「トンネル設定」で設定した各値を入力してください。

    peer-tunnel-id VPNゲートウェイのトンネルID
    tunnel-id 対向機器のトンネルID
    peer-session-id VPNゲートウェイのセッションID
    session-id 対向機器のトンネルID
    [edit]
    vyos@vyos# set interfaces l2tpv3 l2tpeth0 mode unmanaged 
    [edit]
    vyos@vyos# set interfaces l2tpv3 l2tpeth0 encapsulation ip   
    [edit]
    vyos@vyos# set interfaces l2tpv3 l2tpeth0 remote-ip 198.51.100.123
    [edit]
    vyos@vyos# set interfaces l2tpv3 l2tpeth0 local-ip 203.0.113.234  
    [edit]
    vyos@vyos# set interfaces l2tpv3 l2tpeth0 peer-tunnel-id 1
    [edit]
    vyos@vyos# set interfaces l2tpv3 l2tpeth0 tunnel-id 1  
    [edit]
    vyos@vyos# set interfaces l2tpv3 l2tpeth0 peer-session-id 1
    [edit]
    vyos@vyos# set interfaces l2tpv3 l2tpeth0 session-id 1  
    [edit]
    vyos@vyos# set interfaces l2tpv3 l2tpeth0 mtu 1500    
    [edit]
    vyos@vyos# set interfaces l2tpv3 l2tpeth0 bridge-group bridge br0  
    [edit]
    vyos@vyos# commit
    [ interfaces l2tpv3 l2tpeth0 ]
    creating: l2tpeth0
    
    [ interfaces l2tpv3 l2tpeth0 bridge-group ]
    Adding interface l2tpeth0 to bridge br0
    
    [edit]
    vyos@vyos#
  10. commitで設定を反映し、saveで設定を保存します。

    [edit]
    vyos@vyos# commit
    [edit]
    vyos@vyos# save
    Saving configuration to '/config/config.boot'...
    Done

確認手順

IKEのSAが正常に確立されているか確認する

show vpn ike saコマンドを実行します。
下記のようにStateがupとなっていれば正常に確立できています。

[edit]
vyos@vyos# run show vpn ike sa
Peer ID / IP      Local ID / IP
------------      -------------
198.51.100.123    203.0.113.234

State  Encrypt  Hash  D-H Grp  NAT-T  A-Time  L-Time
-----  -------  ----  -------  -----  ------  ------
up     aes128   sha1  2        no     1013    28800
ESPのSAが正常に確立されているか確認する

show vpn ipsec saコマンドを実行します。
下記のようにStateがupとなっていれば正常に確立できています。

[edit]
vyos@vyos# run show vpn ipsec sa
Peer ID / IP      Local ID / IP
------------      -------------
198.51.100.123    203.0.113.234

Tunnel  State  Bytes Out/In   Encrypt  Hash  NAT-T  A-Time  L-Time  Proto
------  -----  -------------  -------  ----  -----  ------  ------  -----
1       up     0.0/0.0        aes128   sha1  no     272     3600    all

これらがupとなっていない場合は、VPNゲートウェイのIPアドレス、拠点VPN装置のIPアドレス、プライベートLAN CIDR、拠点CIDRのどれかが間違っている可能性がありますのでご確認ください。

ニフティクラウド サイト内検索

ユーザーガイドメニュー

  • ツイッターでフォローしてください
  • ニフクラ公式フェイスブックページ

推奨画面サイズ 1024×768 以上