本文へジャンプします。

ニフクラ ユーザーガイド

クラウド トップ>ユーザーガイド>コンピューティング>VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(VyOS)

VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(VyOS)

拠点側VPN装置にVyOSを使用した場合の設定です。

下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ:VPNコネクション:作成

構成

VPNゲートウェイを利用し、ニフクラとお客様拠点をIPsec VPN(L3VPN)で接続するためには、以下の項目を事前にご確認ください。 以降の設定手順、確認手順では下記を検証環境、構成例として用います。

検証環境
ソフトウエア VyOS 1.1以上
構成例
VPNゲートウェイのIPアドレス 198.51.100.123
拠点VPN装置のIPアドレス 203.0.113.234
プライベートLAN CIDR 172.31.1.0/24
拠点CIDR 192.168.1.0/24
共有鍵 0582877a-3907-4357-8763-d32e9050eb08

設定手順

  1. IKEの暗号アルゴリズムとハッシュ・アルゴリズムの設定を行います。

    ※IKE1はIKEの設定に付ける名前です。
    この値は変更可能ですが、変更した場合は以降の設定でIKE1をすべてその値に置き換えてください。

    [edit]
    vyos@vyos# set vpn ipsec ike-group IKE1 dead-peer-detection action restart
    [edit]
    vyos@vyos# set vpn ipsec ike-group IKE1 dead-peer-detection interval 15
    [edit]
    vyos@vyos# set vpn ipsec ike-group IKE1 dead-peer-detection timeout 90
    [edit]
    vyos@vyos# set vpn ipsec ike-group IKE1 proposal 1 encryption aes128
    [edit]
    vyos@vyos# set vpn ipsec ike-group IKE1 proposal 1 hash sha1      
    [edit]
    vyos@vyos# set vpn ipsec ike-group IKE1 proposal 1 dh-group 2
    [edit]
    vyos@vyos# set vpn ipsec ike-group IKE1 lifetime 28800
  2. ESPの暗号アルゴリズムとハッシュ・アルゴリズムの設定を行います。

    ※ESP1はESPの設定に付ける名前です。
    この値は変更可能ですが、変更した場合は以降の設定でESP1をすべてその値に置き換えてください。

    [edit]
    vyos@vyos# set vpn ipsec esp-group ESP1 proposal 1 encryption aes128
    [edit]
    vyos@vyos# set vpn ipsec esp-group ESP1 proposal 1 hash sha1
    [edit]
    vyos@vyos# set vpn ipsec esp-group ESP1 lifetime 3600
  3. IPsecを設定するインターフェースとしてVPNルーターのWAN側のインターフェースを指定します。

    ※下記の例ではeth0を設定していますが、WAN側のインターフェースが異なる場合は正しいインターフェースに置き換えて設定してください。

    [edit]
    vyos@vyos# set vpn ipsec ipsec-interfaces interface eth0
  4. 対向のVPNゲートウェイの設定を行います。

    ※「198.51.100.12」は実際のVPNゲートウエイのIPアドレスに、「0582877a-3907-4357-8763-d32e9050eb08」は実際の共有鍵にそれぞれ置き換えてください。

    [edit]
    vyos@vyos# edit vpn ipsec site-to-site peer 198.51.100.123
    [edit vpn ipsec site-to-site peer 198.51.100.123]
    vyos@vyos# set authentication mode pre-shared-secret
    [edit vpn ipsec site-to-site peer 198.51.100.123]
    vyos@vyos# set authentication pre-shared-secret 0582877a-3907-4357-8763-d32e9050eb08
  5. IKEとESPの設定を行います。

    ※もし上記でIKEとESPの名前を異なるもので設定した場合は、ここで値を置き換えてください。

    [edit vpn ipsec site-to-site peer 198.51.100.123]
    vyos@vyos# set ike-group IKE1
    [edit vpn ipsec site-to-site peer 198.51.100.123]
    vyos@vyos# set default-esp-group ESP1
  6. 拠点VPN装置のIPアドレス(VyOSのWAN側のIPアドレス)を設定します。

    ※「203.0.113.234」は実際の値に置き換えてください。

    [edit vpn ipsec site-to-site peer 198.51.100.123]
    vyos@vyos# set local-ip 203.0.113.234
  7. プライベートLAN CIDRと拠点CIDRのペアをトンネルとして設定します。

    ※「192.168.1.0/24」を実際の拠点CIDRの値に、「172.31.1.0/24」を実際のプライベートLAN CIDRの値に、それぞれ置き換えてください。

    [edit vpn ipsec site-to-site peer 198.51.100.123]
    vyos@vyos# set tunnel 1 local prefix 192.168.1.0/24
    [edit vpn ipsec site-to-site peer 198.51.100.123]
    vyos@vyos# set tunnel 1 remote prefix 172.31.1.0/24
    [edit vpn ipsec site-to-site peer 198.51.100.123]
    vyos@vyos# top

    WAN側のインターフェースでNATを利用している場合は、プライベートLAN CIDR宛てのパケットをNATによるアドレス変換対象から除外する必要があります。
    これは、VyOSがIPsecトンネルを通すか通さないかの判断をする前に、NATを適用するためです。

    例えば、以下のNATルールがWAN側のインタフェースに設定されているとします。

    nat {
        source {
            rule 1 {
                outbound-interface eth0
                translation {
                    address masquerade
                }
            }
        }
    }

    この場合、以下のコマンドを実行することでプライベートLAN CIDR宛てのパケットはアドレス変換の対象外とすることができます。
    この設定は、WAN側のインターフェースにNATの設定がされていない場合は不要です。

    [edit]
    vyos@vyos# set nat source rule 1 destination address !172.31.1.0/24
  8. commitで設定を反映し、saveで設定を保存します。

    [edit]
    vyos@vyos# commit
    [edit]
    vyos@vyos# save
    Saving configuration to '/config/config.boot'...
    Done

確認手順

IKEのSAが正常に確立されているか確認する

show vpn ike saコマンドを実行します。
下記のようにStateがupとなっていれば正常に確立できています。

[edit]
vyos@vyos# run show vpn ike sa
Peer ID / IP      Local ID / IP
------------      -------------
198.51.100.123    203.0.113.234

State  Encrypt  Hash  D-H Grp  NAT-T  A-Time  L-Time
-----  -------  ----  -------  -----  ------  ------
up     aes128   sha1  2        no     1013    28800
ESPのSAが正常に確立されているか確認する

show vpn ipsec saコマンドを実行します。
下記のようにStateがupとなっていれば正常に確立できています。

[edit]
vyos@vyos# run show vpn ipsec sa
Peer ID / IP      Local ID / IP
------------      -------------
198.51.100.123    203.0.113.234

Tunnel  State  Bytes Out/In   Encrypt  Hash  NAT-T  A-Time  L-Time  Proto
------  -----  -------------  -------  ----  -----  ------  ------  -----
1       up     0.0/0.0        aes128   sha1  no     272     3600    all

これらがupとなっていない場合は、VPNゲートウェイのIPアドレス、拠点VPN装置のIPアドレス、プライベートLAN CIDR、拠点CIDRのどれかが間違っている可能性がありますのでご確認ください。

ニフティクラウド サイト内検索

ユーザーガイドメニュー

  • ツイッターでフォローしてください
  • ニフクラ公式フェイスブックページ

推奨画面サイズ 1024×768 以上