本文へジャンプします。

ニフクラ ユーザーガイド

クラウド トップ>ユーザーガイド>コンピューティング>VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(YAMAHA RTX)

VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(YAMAHA RTX)

拠点側VPN装置にYAMAHA RTXシリーズを使用した場合の設定です。

下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。

構成

VPNゲートウェイを利用し、ニフクラとお客様拠点をIPsec VPN(L3VPN)で接続するためには、以下の項目を事前にご確認ください。 以降の設定手順、確認手順では下記を検証環境、構成例として用います。

検証環境
製品 YAMAHA RTXシリーズ
ソフトウエア Rev.10.01.53以上
構成例
VPNゲートウェイのIPアドレス 198.51.100.123
拠点VPN装置のIPアドレス 203.0.113.234
プライベートLAN CIDR 172.31.1.0/24
拠点CIDR 192.168.1.0/24
共有鍵 0582877a-3907-4357-8763-d32e9050eb08
トンネル・インターフェース番号 1
SAポリシーID 1
セキュリティ・ゲートウェイID 1
  • ※上記の値がすでに使用されている場合は適宜置き換えてください。

設定手順

YAMAHA RTシリーズにログインし管理者モードに移行し、NATの設定を確認します。
IPsecの通信に必要となるUDP/500、UDP/4500、ESPをLAN側のインターフェースに設定したIPアドレスへ変換するよう設定します。

# nat descriptor type 1 masquerade
# nat descriptor address outer 1 203.0.113.234
# nat descriptor address inner 1 auto
# nat descriptor masquerade static 1 1 192.168.1.1 udp 500
# nat descriptor masquerade static 1 2 192.168.1.1 udp 4500
# nat descriptor masquerade static 1 3 192.168.1.1 esp
#pp select 1
pp1#ip pp nat descriptor 1
pp1#no pp select 1
#

トンネル・インターフェース番号とSAポリシーIDを選択します。

# tunnel select 1
tunnel1# ipsec tunnel 1

SAポリシーを定義します。

tunnel1# ipsec sa policy 1 1 esp aes-cbc sha-hmac

IKEの暗号アルゴリズム、ハッシュアルゴリズム、グループ、寿命を設定します。

tunnel1# ipsec ike encryption 1 aes-cbc
tunnel1# ipsec ike hash 1 sha
tunnel1# ipsec ike group 1 modp1024
tunnel1# ipsec ike duration ike-sa 1 28800
tunnel1# ipsec ike duration ipsec-sa 1 3600

DPDの設定を行います。

tunnel1# ipsec ike keepalive use 1 on dpd

IKEの事前共有鍵を設定します。

  • ※「0582877a-3907-4357-8763-d32e9050eb08」は、実際の共有鍵に置き換えてください。
tunnel1# ipsec ike pre-shared-key 1 text 0582877a-3907-4357-8763-d32e9050eb08

拠点VPN装置のIPアドレスを設定します。

  • ※「192.168.1.1 」、「192.168.1.0/24」を実際の拠点VPN装置のIPアドレスに、置き換えてください。
tunnel1# ipsec ike local address 1 192.168.1.1
tunnel1# ipsec ike local id 1 192.168.1.0/24

VPNゲートウェイのIPアドレスを設定します。

  • ※「198.51.100.123」、「172.31.1.0/24」をVPNゲートウェイのIPアドレスに置き換えてください。
tunnel1# ipsec ike remote address 1 198.51.100.123
tunnel1# ipsec ike remote id 1 172.31.1.0/24

トンネルインターフェースを有効化します。

tunnel1# tunnel enable 1
tunnel1# no tunnel select

拠点VPN装置側からIKEを開始するよう設定します。

# ipsec auto refresh on

プライベートLAN CIDR宛のパケットが作成したトンネルインターフェースを通るようルーティングを設定します。

# ip route 172.31.1.0/24 gateway tunnel 1

saveで設定を保存します。

# save
Saving ... CONFIG0 Done .
#

確認手順

IKEのSAが正常に確立されているか確認するためにはshow ipsec saコマンドを実行します。
下記のように表示されれば正常に確立できています。

# show ipsec sa gateway 1 detail
SA[1] Duration: 22015s
Local ID: 192.168.1.1
Remote ID: 198.51.100.123
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: 5c 25 31 8f eb 8f e7 6e 84 d0 d0 34 75 dc dc 55
Key: 71 84 8e b2 08 90 dd 8c
----------------------------------------------------
SA[2] Duration: 3583s
Local ID: 192.168.1.1
Remote ID: 198.51.100.123
Direction: send
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: 42 93 71 c6
Key: 2e 01 a0 20 92 68 19 6c ae 75 5f f4 84 35 a8 25
----------------------------------------------------
SA[3] Duration: 3583s
Local ID: 192.168.1.1
Remote ID: 198.51.100.123
Direction: receive
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: 25 9f dc 71
Key: 0d 74 8a ab d3 42 31 74 8f 2f 45 31 ee a6 7f 0e
----------------------------------------------------

ニフティクラウド サイト内検索

ユーザーガイドメニュー

  • ツイッターでフォローしてください
  • ニフクラ公式フェイスブックページ

推奨画面サイズ 1024×768 以上