当方の環境は YAMAHA RTX1000
を例にとって手順を説明していますが、RT57i
, RT58i
,
RTX1100
,
RTX1200
一般的にIPsecはPPTPより強力な暗号化技術を実装しているといわれます。
IPsecは、IPパケットに対して暗号化と認証の機能を提供する物なので、NetBEUI,IPX/SPXなどのIP以外のプロトコルには対応していません。
IPsecに対応した機器、OSによって対応している認証や暗号アルゴリズムが違うことがあり、接続ができないケースが少なからず存在しますので注意が必要です。
ここでは、双方共に YAMAHA RTX1000
を利用したIPsec構築について説明します。
ここではYAMAHA RTX1000
を例にとって手順を説明していますが、
RTX1100
,
RTX1200
VPN構築でセキュリティ強化をするには固定IPをおすすめします。
インターリンク
は固定IPにこだわったプロバイダで複数固定格安! 月額2100円/3675円でグローバル固定IPを取得できます。
ここでは双方のルータが固定IPであることを前提で設定手順について説明します。
片側が動的なIPであってもアグレッシブモードという機能を使ってIPsecができます。
詳しくは ヤマハルータでIPsec(片側が動的IPでのVPN)の設定 を参照下さい。
では、実際に以下の条件での構築とします。
※ あくまでも接続設定が出来ているものとしていますので接続設定については 基本的な接続設定 を参照してください。
(ネットワーク構成)
| |
-----+----+----+---- 192.168.0.0/24
|
LAN1 | .1
+---------+
| RTX1000 | A地点
+---------+
LAN2 | 61.XX.XX.XX
|
インターネット ########
#
VPN
#
インターネット ########
|
LAN2 | 61.YY.YY.YY
+---------+
| RTX1000 | B地点
+---------+
LAN1 | .1
|
-----+----+----+---- 192.168.1.0/24
| |
(IPsec情報)
| 共通鍵 | ipsec-password |
|---|
(1) A地点
# 使用するtunnelインターフェース番号 tunnel select 1 # tunnelインターフェースで利用するIPsec設定の番号の定義 # 分かりやすいようにtunnelインターフェース番号はtunnel番号に+100を足した # ものとしました。 ipsec tunnel 101 # IPsecプロトコル、暗号化アルゴリズム、ハッシュ関数の定義 # (書式) # ipsec sa policy ポリシー番号 識別id esp 暗号化 ハッシュ関数 # 今回は、選択できるIPsecの暗号化アルゴリスム、ハッシュの中から一番 # セキュリティが高いと思われる3des-cbc,sha-hmacを使用しました。 ipsec sa policy 101 1 esp 3des-cbc sha-hmac # ipsecのキープアライブの定義 ipsec ike keepalive use 1 on # 2004.11.05修正) 自分自身のルータのLAN側IPの定義 ipsec ike local address 1 192.168.0.1 # IKEフェーズ2でPFSを使用するための定義 ipsec ike pfs 1 on # IKEフェーズ1で相手を認証するために使用する、共通鍵の情報 ipsec ike pre-shared-key 1 text ipsec-password # 対向のルータのグローバルIPの定義 ipsec ike remote address 1 61.YY.YY.YY # トンネリングインターフェースの有効 tunnel enable 1 # IPsec SAの自動更新を有効 ipsec auto refresh on # 対向のルータのネットワークへのルーティング定義 # ゲートウェイとしてtunnel 1となります。 ip route 192.168.1.0/24 gateway tunnel 1 # NATの定義 # ディスクリプタNo.1で定義してあるものとします。 # IPsecで利用するudp500,espをNATします。 nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.0.1 udp 500 nat descriptor masquerade static 1 2 192.168.0.1 esp
(2) B地点
# 使用するtunnelインターフェース番号 tunnel select 1 # tunnelインターフェースで利用するIPsec設定の番号の定義 # 分かりやすいようにtunnelインターフェース番号はtunnel番号に+100を足した # ものとしました。 ipsec tunnel 101 # IPsecプロトコル、暗号化アルゴリズム、ハッシュ関数の定義 # (書式) # ipsec sa policy ポリシー番号 識別id esp 暗号化 ハッシュ関数 # 今回は、選択できるIPsecの暗号化アルゴリスム、ハッシュの中から一番 # セキュリティが高いと思われる3des-cbc,sha-hmacを使用しました。 ipsec sa policy 101 1 esp 3des-cbc sha-hmac # ipsecのキープアライブの定義 ipsec ike keepalive use 1 on # 2004.11.5修正) 自分自身のルータのLAN側IPの定義 ipsec ike local address 1 192.168.1.1 # IKEフェーズ2でPFSを使用するための定義 ipsec ike pfs 1 on # IKEフェーズ1で相手を認証するために使用する、共通鍵の情報 ipsec ike pre-shared-key 1 text ipsec-password # 対向のルータのグローバルIPの定義 ipsec ike remote address 1 61.XX.XX.XX # トンネリングインターフェースの有効 tunnel enable 1 # IPsec SAの自動更新を有効 ipsec auto refresh on # 対向のルータのネットワークへのルーティング定義 # ゲートウェイとしてtunnel 1となります。 ip route 192.168.0.0/24 gateway tunnel 1 # NATの定義 # ディスクリプタNo.1で定義してあるものとします。 # IPsecで利用するudp500,espをNATします。 nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.1.1 udp 500 nat descriptor masquerade static 1 2 192.168.1.1 esp
これで設定は完了です。
A地点、B地点で接続したクライアントに対してファイル共有、PING等で通信の確認ができればVPNは構築できています。
また、その際のWAN側への フィルタ設定 には、udp500,espを通すようにしてください。
ip filter 200018 pass * ルータLAN側IP udp * 500 ip filter 200019 pass * ルータLAN側IP esp * *
 |
ヤマハルーター運用設定マニュアル RTX1200/ SRT100のGUI&コマンドラインの実践
住商情報システム株式会社 協力 (監修), ネットワークマガジン編集部 (編集) |
 |
ヤマハルータコマンドリファレンス 毎日コミュニケーションズ / 井上 孝司 ¥ 2,940 |
 |
ヤマハルータでつくるインターネットVPN 毎日コミュニケーションズ / 井上 孝司 |
 |
ヤマハルータでつくるインターネットVPN 毎日コミュニケーションズ / 井上 孝司 |
