本文へジャンプします。

ニフティクラウド ユーザーガイド

クラウド トップ>ユーザーガイド>コンピューティング>VPNゲートウェイ:IKEv1 L2TPv3/IPsec VPN(L2VPN)で接続する拠点側VPN装置の設定(VyOS)

VPNゲートウェイ:IKEv1 L2TPv3/IPsec VPN(L2VPN)で接続する拠点側VPN装置の設定(VyOS)

拠点側VPN装置にVyOSを使用した場合の設定です。

下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。

構成

VPNゲートウェイを利用し、ニフティクラウドとお客様拠点をL2TPv3/IPsec VPN接続するためには、以下の項目を事前にご確認ください。 以降の設定手順、確認手順では下記を検証環境、構成例として用います。

検証環境
ソフトウエア VyOS 1.1以上
構成例
VPNゲートウェイのIPアドレス 198.51.100.123
拠点VPN装置のIPアドレス 203.0.113.234
共有鍵 0582877a-3907-4357-8763-d32e9050eb08

設定手順

ブリッジを作成しIPアドレスを設定します。

[edit]
vyos@vyos# set interfaces bridge br0 address 192.168.1.254/24
[edit]
vyos@vyos# set interfaces ethernet eth1 bridge-group bridge br0
[edit]
vyos@vyos# commit
[ interfaces ethernet eth1 bridge-group ]
Adding interface eth1 to bridge br0

[edit]
vyos@vyos#

IKEの暗号アルゴリズムとハッシュ・アルゴリズムの設定を行います。

  • ※IKE1はIKEの設定に付ける名前です。
    この値は変更可能ですが、変更した場合は以降の設定でIKE1をすべてその値に置き換えてください。
[edit]
vyos@vyos# set vpn ipsec ike-group IKE1 dead-peer-detection action restart
[edit]
vyos@vyos# set vpn ipsec ike-group IKE1 dead-peer-detection interval 15
[edit]
vyos@vyos# set vpn ipsec ike-group IKE1 dead-peer-detection timeout 90
[edit]
vyos@vyos# set vpn ipsec ike-group IKE1 proposal 1 encryption aes128
[edit]
vyos@vyos# set vpn ipsec ike-group IKE1 proposal 1 hash sha1
[edit]
vyos@vyos# set vpn ipsec ike-group IKE1 proposal 1 dh-group 2
[edit]
vyos@vyos# set vpn ipsec ike-group IKE1 lifetime 28800

ESPの暗号アルゴリズムとハッシュ・アルゴリズムの設定を行います。

  • ※ESP1はESPの設定に付ける名前です。
    この値は変更可能ですが、変更した場合は以降の設定でESP1をすべてその値に置き換えてください。
[edit]
vyos@vyos# set vpn ipsec esp-group ESP1 proposal 1 encryption aes128
[edit]
vyos@vyos# set vpn ipsec esp-group ESP1 proposal 1 hash sha1
[edit]
vyos@vyos# set vpn ipsec esp-group ESP1 mode transport
[edit]
vyos@vyos# set vpn ipsec esp-group ESP1 lifetime 3600

IPsecを設定するインターフェースとしてVPNルーターのWAN側のインターフェースを指定します。

  • ※下記の例ではeth0を設定していますが、WAN側のインターフェースが異なる場合は正しいインターフェースに置き換えて設定してください。
[edit]
vyos@vyos# set vpn ipsec ipsec-interfaces interface eth0

対向のVPNゲートウェイの設定を行います。

  • ※「198.51.100.12」は実際のVPNゲートウエイのIPアドレスに、「0582877a-3907-4357-8763-d32e9050eb08」は実際の共有鍵にそれぞれ置き換えてください。
[edit]
vyos@vyos# edit vpn ipsec site-to-site peer 198.51.100.123
[edit vpn ipsec site-to-site peer 198.51.100.123]
vyos@vyos# set authentication mode pre-shared-secret
[edit vpn ipsec site-to-site peer 198.51.100.123]
vyos@vyos# set authentication pre-shared-secret 0582877a-3907-4357-8763-d32e9050eb08

IKEとESPの設定を行います。

  • ※もし上記でIKEとESPの名前を異なるもので設定した場合は、ここで値を置き換えてください。
[edit vpn ipsec site-to-site peer 198.51.100.123]
vyos@vyos# set ike-group IKE1
[edit vpn ipsec site-to-site peer 198.51.100.123]
vyos@vyos# set default-esp-group ESP1

拠点VPN装置のIPアドレス(VyOSのWAN側のIPアドレス)を設定します。

  • ※「203.0.113.234」は実際の値に置き換えてください。
[edit vpn ipsec site-to-site peer 198.51.100.123]
vyos@vyos# set local-ip 203.0.113.234

transport modeのESPを設定する際には以下を設定してください。

tunnel modeではありませんが、以下の設定がないとエラーとなります。

[edit vpn ipsec site-to-site peer 198.51.100.123]
vyos@vyos# set tunnel 1
[edit vpn ipsec site-to-site peer 198.51.100.123]
vyos@vyos# top

L2TPv3の設定で必要になる共通項目を設定します。

  • ※「203.0.113.234」を実際の拠点VPN装置のIPアドレスに、置き換えてください。
[edit]
vyos@vyos# set system l2tpv3 router-id 203.0.113.234

Unmanaged L2TPv3の設定を行います。

  • ※「198.51.100.12」は実際のVPNゲートウエイのIPアドレスに、「203.0.113.234」を実際の拠点VPN装置のIPアドレスに、それぞれ置き換えてください。

また、それぞれ下記の項目にはVPNコネクション作成時の「トンネル設定」で設定した各値を入力してください。

peer-tunnel-id VPNゲートウェイのトンネルID
tunnel-id 対向機器のトンネルID
peer-session-id VPNゲートウェイのセッションID
session-id 対向機器のトンネルID
[edit]
vyos@vyos# set interfaces l2tpv3 l2tpeth0 mode unmanaged
[edit]
vyos@vyos# set interfaces l2tpv3 l2tpeth0 encapsulation ip
[edit]
vyos@vyos# set interfaces l2tpv3 l2tpeth0 remote-ip 198.51.100.123
[edit]
vyos@vyos# set interfaces l2tpv3 l2tpeth0 local-ip 203.0.113.234
[edit]
vyos@vyos# set interfaces l2tpv3 l2tpeth0 peer-tunnel-id 1
[edit]
vyos@vyos# set interfaces l2tpv3 l2tpeth0 tunnel-id 1
[edit]
vyos@vyos# set interfaces l2tpv3 l2tpeth0 peer-session-id 1
[edit]
vyos@vyos# set interfaces l2tpv3 l2tpeth0 session-id 1
[edit]
vyos@vyos# set interfaces l2tpv3 l2tpeth0 mtu 1500
[edit]
vyos@vyos# set interfaces l2tpv3 l2tpeth0 bridge-group bridge br0
[edit]
vyos@vyos# commit
[ interfaces l2tpv3 l2tpeth0 ]
creating: l2tpeth0

[ interfaces l2tpv3 l2tpeth0 bridge-group ]
Adding interface l2tpeth0 to bridge br0

[edit]
vyos@vyos#

commitで設定を反映し、saveで設定を保存します。

[edit]
vyos@vyos# commit
[edit]
vyos@vyos# save
Saving configuration to '/config/config.boot'...
Done

確認手順

IKEのSAが正常に確立されているか確認する

show vpn ike saコマンドを実行します。
下記のようにStateがupとなっていれば正常に確立できています。

[edit]
vyos@vyos# run show vpn ike sa
Peer ID / IP      Local ID / IP
------------      -------------
198.51.100.123    203.0.113.234

State  Encrypt  Hash  D-H Grp  NAT-T  A-Time  L-Time
-----  -------  ----  -------  -----  ------  ------
up     aes128   sha1  2        no     1013    28800
ESPのSAが正常に確立されているか確認する

show vpn ipsec saコマンドを実行します。
下記のようにStateがupとなっていれば正常に確立できています。

[edit]
vyos@vyos# run show vpn ipsec sa
Peer ID / IP      Local ID / IP
------------      -------------
198.51.100.123    203.0.113.234

Tunnel  State  Bytes Out/In   Encrypt  Hash  NAT-T  A-Time  L-Time  Proto
------  -----  -------------  -------  ----  -----  ------  ------  -----
1       up     0.0/0.0        aes128   sha1  no     272     3600    all

これらがupとなっていない場合は、VPNゲートウェイのIPアドレス、拠点VPN装置のIPアドレス、プライベートLAN CIDR、拠点CIDRのどれかが間違っている可能性がありますのでご確認ください。

ニフティクラウド サイト内検索

ユーザーガイドメニュー

  • ツイッターでフォローしてください
  • ニフティクラウド公式フェイスブックページ

推奨画面サイズ 1024×768 以上