本文へジャンプします。

ニフクラ ユーザーガイド

クラウド トップ>ユーザーガイド>コンピューティング>VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(アライドテレシス AR4050S/AR3050S/AR2050V/AR2010V)

VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(アライドテレシス AR4050S/AR3050S/AR2050V/AR2010V)

拠点側VPN装置にアライドテレシス AR4050Sを使用した場合の設定です。
AR3050S、AR2050V、AR2010Vでも同じ内容が適用可能です。その場合は、AR4050SをAR3050SまたはAR2050V、AR2010Vと読み替えの上、ご利用ください。

下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ:VPNコネクション:作成

構成

VPNゲートウェイを利用し、ニフクラとお客様拠点をIPsec VPN(L3VPN)で接続するためには、以下の項目を事前にご確認ください。 以降の設定手順、確認手順では下記を検証環境、構成例として用います。

検証環境
製品 アライドテレシス AR4050S
ソフトウエア 5.4.7-1.1以降
構成例
PPPユーザー名 user@ispA
PPPパスワード isppasswdA
AR4050S ppp0(WAN側)IPアドレス 172.16.0.1/32
AR4050S vlan1(LAN側)IPアドレス 192.168.1.254/24
事前共有鍵 secret
Tunnel interface IP address 172.30.0.1/32
VPNゲートウェイのIPアドレス 198.51.100.123
拠点CIDR 192.168.1.0/24
プライベートLAN CIDR 10.0.0.0/16

※上記の値がすでに使用されている場合は適宜置き換えてください。

設定手順

  1. ログイン
    AR4050Sにログインします。工場出荷時設定のCLIのログインID/PWは、下記の通りです。

    awplus login: manager
    Password: friend  ※実際には表示されません
    Last login: Fri Nov 13 17:09:55 JST 2015 on ttyS0
    AlliedWare Plus (TM) 5.4.5 11/12/15 03:11:03
    awplus>
  2. モードの移行
    非特権EXECモードから、特権EXECモードに移行します。

    awplus> enable

    特権EXECモードからグローバルコンフィグモードに移行します。

    awplus# configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    awplus(config)#
  3. スパニングツリープロトコルの無効化
    LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。

    awplus(config)# no spanning-tree rstp enable
  4. LANインターフェース設定
    LAN側インターフェース(vlan1)にIPアドレスを設定します。

    awplus(config)# interface vlan1
    awplus(config-if)# ip address 192.168.1.254/24
    awplus(config-if)# exit
  5. PPPインターフェース作成
    eth1インターフェース上にPPPインターフェースを作成します。

    awplus(config)# interface eth1
    awplus(config-if)# encapsulation ppp 0
  6. PPPoEインターフェース設定
    PPPインターフェースにWAN側のIPアドレスを設定します。
    LCP EchoパケットによるPPP接続の監視を有効にします。
    ISPから通知されたPPPユーザー名やとパスワードを設定します。
    PPPインターフェースを通過するTCPパケットのMSS値の自動書き換えを有効にします。

    awplus(config)# interface ppp0
    awplus(config-if)# ip address 172.16.0.1/32
    awplus(config-if)# keepalive
    awplus(config-if)# ppp username user@ispA
    awplus(config-if)# ppp username isppasswdA
    awplus(config-if)# ip tcp adjust-mss pmtu
  7. エンティティーの設定
    ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
    内部ネットワークを表すゾーン「private」と、外部ネットワークを表すゾーン「public」を作成します。

    awplus(config)# zone private
    awplus(config-zone)# network lan
    awplus(config-network)# ip subnet 192.168.1.0/24
    awplus(config-network)# ip subnet 10.0.0.0/16
    
    awplus(config)# zone public
    awplus(config-zone)# network wan
    awplus(config-network)# ip subnet 0.0.0.0/0 interface ppp0
    awplus(config-network)# host ppp0
    awplus(config-host)# ip address 172.16.0.1
  8. アプリケーションの設定
    ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
    IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
    ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。

    awplus(config)# application esp
    awplus(config-application)# protocol 50
    
    awplus(config)# application isakmp
    awplus(config-application)# protocol udp
    awplus(config-application)# sport 500
    awplus(config-application)# dport 500
  9. ファイアウォール、NATの設定
    ISAKMPパケット、ESPパケットは通しつつ、ほかの外側からの通信を遮断し、内側からの通信は自由に行えるようにファイアウォールのルールを設定します。
    LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。

    awplus(config)# firewall
    awplus(config-firewall)# rule 10 permit isakmp from public.wan.ppp0 to public.wan
    awplus(config-firewall)# rule 20 permit isakmp from public.wan to public.wan.ppp0
    awplus(config-firewall)# rule 30 permit esp from public.wan to public.wan.ppp0
    awplus(config-firewall)# rule 40 permit esp from public.wan.ppp0 to public.wan
    awplus(config-firewall)# rule 50 permit any from private to private
    awplus(config-firewall)# rule 60 permit any from private to public
    awplus(config-firewall)# protect
    
    awplus(config)# nat
    awplus(config-nat)# rule 10 masq any from private to public
    awplus(config-nat)# enable
  10. IPsec設定
    IKEフェーズ1のポリシー「Nifty-isakmp」とフェーズ2のポリシー「Nifty-ipsec」をそれぞれ作成します。

    awplus(config)# crypto isakmp profile Nifty-isakmp
    awplus(config-isakmp-profile)# version 1 mode main
    awplus(config-isakmp-profile)# lifetime 28800
    awplus(config-isakmp-profile)# transform 1 integrity sha1 encryption aes128 group 2
    
    awplus(config)# crypto isakmp key secret address 198.51.100.123
    awplus(config)# crypto isakmp peer address 198.51.100.123 profile Nifty-isakmp
    
    awplus(config)# crypto ipsec profile Nifty-ipsec
    awplus(config-ipsec-profile)# lifetime seconds 3600
    awplus(config-ipsec-profile)# transform 1 protocol esp integrity sha1 encryption aes128
    awplus(config-ipsec-profile)# pfs 2
  11. トンネルインターフェース設定
    IPsecトンネルインターフェースtunnel0を作成します。
    MTUの設定をします。
    IPsecトンネルの始点(自装置)と終点(仮想ネットワークゲートウェイ)を指定します。
    IKEフェーズ2で使用するポリシーを指定します。
    IPsec通信を行うネットワークの範囲を指定します。
    トンネリング方式を指定します。
    IP通信を有効にするためにIPアドレスを設定します(このIPアドレスは通信に使用されません)。
    トンネルインターフェースを通過するTCPパケットのMSS値を書き換える設定をします。

    awplus(config)# int tunnel0
    awplus(config-if)# mtu 1300
    awplus(config-if)# tunnel source ppp0
    awplus(config-if)# tunnel destination 198.51.100.123
    awplus(config-if)# tunnel protection ipsec profile Nifty-ipsec
    awplus(config-if)# tunnel local selector 192.168.1.0/24
    awplus(config-if)# tunnel remote selector 10.0.0.0/16
    awplus(config-if)# tunnel mode ipsec ipv4
    awplus(config-if)# ip address 172.30.0.1/32
    awplus(config-if)# ip tcp adjust-mss 1260
  12. ルート設定
    デフォルトルートを設定します。
    ニフクラの仮想ネットワーク宛の通信がIPsecトンネルを経由するよう設定します。
    またIPsecトンネルが確立するまでは、このルートを使用できないよう設定します。

    awplus(config)# ip route 0.0.0.0/0 ppp0
    awplus(config)# ip route 10.0.0.0/16 tunnel0
    awplus(config)# ip route 10.0.0.0/16 null 254
  13. コンフィグの確認、保存
    設定は以上となります。
    現在の設定内容を起動時コンフィグとして保存し、設定(ランニングコンフィグ)を表示します。14.設定の確認を参考に設定に誤りが無いかご確認ください。

    awplus# copy running-config startup-config
    awplus# show running-config
  14. 設定の確認
    「show running-config」で設定をご確認いただけます。各コマンドの詳細につきまして、以下のページを参照してください。

    アライドテレシス社 コマンドリファレンス

確認手順

ISAKMPのSAが正常に確立されているか確認する

下記コマンドを実行し、ISAKMP SAの確立状態がEstablishであることを確認します。

awplus# show isakmp sa
--------------------------------------------------------------------------------
Peer                 Cookies (initiator:responder)       Auth  Ver   Expires    
                     Encryption    Integrity    Group    DPD   NATT  State      
--------------------------------------------------------------------------------
198.51.100.123       b6d4f457692b198f:3042fa40859161c6   PSK   1     26713s     
                     AES128        SHA1         2        no    no    Established

上記のように表示されない場合は、ISAKMP SAの確立に失敗しています。
共有キーやISAKMPポリシーが正しく設定されているかご確認ください。

IPsec SAの確立状態

下記コマンドを実行し、IPsec SAが確立していることを確認します。

awplus# show ipsec sa
-----------------------------------------------------------------------------
Peer                  SPI (in:out)          Mode          Proto  Expires     
                      Encryption            Integrity     PFS  
-----------------------------------------------------------------------------
198.51.100.123        c74bd754:27e7f6a0     tunnel        ESP    3130s       
                      AES128                SHA1          2 

ニフティクラウド サイト内検索

ユーザーガイドメニュー

  • ツイッターでフォローしてください
  • ニフクラ公式フェイスブックページ

推奨画面サイズ 1024×768 以上