本文へジャンプします。

ニフティクラウド ユーザーガイド

クラウド トップ>ユーザーガイド>コンピューティング>VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(VyOS)

VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(VyOS)

拠点側VPN装置にVyOSを使用した場合の設定です。

下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。

構成

VPNゲートウェイを利用し、ニフティクラウドとお客様拠点をIPsec VPN(L3VPN)で接続するためには、以下の項目を事前にご確認ください。 以降の設定手順、確認手順では下記を検証環境、構成例として用います。

検証環境
ソフトウエア VyOS 1.1以上
構成例
VPNゲートウェイのIPアドレス 198.51.100.123
拠点VPN装置のIPアドレス 203.0.113.234
プライベートLAN CIDR 172.31.1.0/24
拠点CIDR 192.168.1.0/24
共有鍵 0582877a-3907-4357-8763-d32e9050eb08

設定手順

IKEの暗号アルゴリズムとハッシュ・アルゴリズムの設定を行います。

  • ※IKE1はIKEの設定に付ける名前です。
    この値は変更可能ですが、変更した場合は以降の設定でIKE1をすべてその値に置き換えてください。
[edit]
vyos@vyos# set vpn ipsec ike-group IKE1 dead-peer-detection action restart
[edit]
vyos@vyos# set vpn ipsec ike-group IKE1 dead-peer-detection interval 15
[edit]
vyos@vyos# set vpn ipsec ike-group IKE1 dead-peer-detection timeout 90
[edit]
vyos@vyos# set vpn ipsec ike-group IKE1 proposal 1 encryption aes128
[edit]
vyos@vyos# set vpn ipsec ike-group IKE1 proposal 1 hash sha1
[edit]
vyos@vyos# set vpn ipsec ike-group IKE1 proposal 1 dh-group 2
[edit]
vyos@vyos# set vpn ipsec ike-group IKE1 lifetime 28800

ESPの暗号アルゴリズムとハッシュ・アルゴリズムの設定を行います。

  • ※ESP1はESPの設定に付ける名前です。
    この値は変更可能ですが、変更した場合は以降の設定でESP1をすべてその値に置き換えてください。
[edit]
vyos@vyos# set vpn ipsec esp-group ESP1 proposal 1 encryption aes128
[edit]
vyos@vyos# set vpn ipsec esp-group ESP1 proposal 1 hash sha1
[edit]
vyos@vyos# set vpn ipsec esp-group ESP1 lifetime 3600

IPsecを設定するインターフェースとしてVPNルーターのWAN側のインターフェースを指定します。

  • ※下記の例ではeth0を設定していますが、WAN側のインターフェースが異なる場合は正しいインターフェースに置き換えて設定してください。
[edit]
vyos@vyos# set vpn ipsec ipsec-interfaces interface eth0

対向のVPNゲートウェイの設定を行います。

  • ※「198.51.100.12」は実際のVPNゲートウエイのIPアドレスに、「0582877a-3907-4357-8763-d32e9050eb08」は実際の共有鍵にそれぞれ置き換えてください。
[edit]
vyos@vyos# edit vpn ipsec site-to-site peer 198.51.100.123
[edit vpn ipsec site-to-site peer 198.51.100.123]
vyos@vyos# set authentication mode pre-shared-secret
[edit vpn ipsec site-to-site peer 198.51.100.123]
vyos@vyos# set authentication pre-shared-secret 0582877a-3907-4357-8763-d32e9050eb08

IKEとESPの設定を行います。

  • ※もし上記でIKEとESPの名前を異なるもので設定した場合は、ここで値を置き換えてください。
[edit vpn ipsec site-to-site peer 198.51.100.123]
vyos@vyos# set ike-group IKE1
[edit vpn ipsec site-to-site peer 198.51.100.123]
vyos@vyos# set default-esp-group ESP1

拠点VPN装置のIPアドレス(VyOSのWAN側のIPアドレス)を設定します。

  • ※「203.0.113.234」は実際の値に置き換えてください。
[edit vpn ipsec site-to-site peer 198.51.100.123]
vyos@vyos# set local-ip 203.0.113.234

プライベートLAN CIDRと拠点CIDRのペアをトンネルとして設定します。

  • ※「192.168.1.0/24」を実際の拠点CIDRの値に、「172.31.1.0/24」を実際のプライベートLAN CIDRの値に、それぞれ置き換えてください。
[edit vpn ipsec site-to-site peer 198.51.100.123]
vyos@vyos# set tunnel 1 local prefix 192.168.1.0/24
[edit vpn ipsec site-to-site peer 198.51.100.123]
vyos@vyos# set tunnel 1 remote prefix 172.31.1.0/24
[edit vpn ipsec site-to-site peer 198.51.100.123]
vyos@vyos# top

WAN側のインターフェースでNATを利用している場合は、プライベートLAN CIDR宛てのパケットをNATによるアドレス変換対象から除外する必要があります。
これは、VyOSがIPsecトンネルを通すか通さないかの判断をする前に、NATを適用するためです。

例えば、以下のNATルールがWAN側のインタフェースに設定されているとします。

nat {
    source {
        rule 1 {
            outbound-interface eth0
            translation {
                address masquerade
            }
        }
    }
}

この場合、以下のコマンドを実行することでプライベートLAN CIDR宛てのパケットはアドレス変換の対象外とすることができます。
この設定は、WAN側のインターフェースにNATの設定がされていない場合は不要です。

[edit]
vyos@vyos# set nat source rule 1 destination address !172.31.1.0/24

commitで設定を反映し、saveで設定を保存します。

[edit]
vyos@vyos# commit
[edit]
vyos@vyos# save
Saving configuration to '/config/config.boot'...
Done

確認手順

IKEのSAが正常に確立されているか確認する

show vpn ike saコマンドを実行します。
下記のようにStateがupとなっていれば正常に確立できています。

[edit]
vyos@vyos# run show vpn ike sa
Peer ID / IP      Local ID / IP
------------      -------------
198.51.100.123    203.0.113.234

State  Encrypt  Hash  D-H Grp  NAT-T  A-Time  L-Time
-----  -------  ----  -------  -----  ------  ------
up     aes128   sha1  2        no     1013    28800
ESPのSAが正常に確立されているか確認する

show vpn ipsec saコマンドを実行します。
下記のようにStateがupとなっていれば正常に確立できています。

[edit]
vyos@vyos# run show vpn ipsec sa
Peer ID / IP      Local ID / IP
------------      -------------
198.51.100.123    203.0.113.234

Tunnel  State  Bytes Out/In   Encrypt  Hash  NAT-T  A-Time  L-Time  Proto
------  -----  -------------  -------  ----  -----  ------  ------  -----
1       up     0.0/0.0        aes128   sha1  no     272     3600    all

これらがupとなっていない場合は、VPNゲートウェイのIPアドレス、拠点VPN装置のIPアドレス、プライベートLAN CIDR、拠点CIDRのどれかが間違っている可能性がありますのでご確認ください。

ニフティクラウド サイト内検索

ユーザーガイドメニュー

  • ツイッターでフォローしてください
  • ニフティクラウド公式フェイスブックページ

推奨画面サイズ 1024×768 以上