アグレッシブモードとは
片側が動的IPでのVPN接続の際の鍵交換はアグレッシブモードという技術を利用します。
アグレッシブモードには、双方共に固定IPの接続方式でのメインモードより多く平文で送受信される情報があるため、安全性という点では見劣りします。よって、双方の拠点が固定IPならメインモードを利用し、固定IP振ることの出来ない拠点についてはアグレッシブモードという形で限定するのがよいと思います。
また、アグレッシブモードではVPN接続はイニシエータ(動的IP側のルータ)からのリクエストのみ接続をしますので注意が必要です。
片側が動的IPでのIPsec
ここでは片側のルータが固定IPであることを前提で設定手順について説明します。
※ あくまでも接続設定が出来ているものとしていますので接続設定については基本的な接続設定を参照してください。
ネットワーク構成
| |
-----+----+----+---- 192.168.0.0/24
|
LAN1 | .1
+---------+
| RTX1000 | A地点
+---------+
LAN2 | 61.XX.XX.XX
|
インターネット ########
#
VPN
#
インターネット ########
|
LAN2 | 固定ではない
+---------+
| RTX1000 | B地点
+---------+
LAN1 | .1
|
-----+----+----+---- 192.168.1.0/24
| |
IPsec情報
| 共通鍵 | ipsec-password |
| セキュリティゲートウェイ名※1 | ipsec1 |
※1 アグレッシブモードで接続する際に必要な情報です。指定したもの以外からの接続を受け付けないようにする設定ですので任意に名前を付けて下さい。
(1) A地点
# 使用するtunnelインターフェース番号
tunnel select 1
# tunnelインターフェースで利用するIPsec設定の番号の定義
# 分かりやすいようにtunnelインターフェース番号はtunnel番号に+100を足した
# ものとしました。
ipsec tunnel 101
# IPsecプロトコル、暗号化アルゴリズム、ハッシュ関数の定義
# (書式)
# ipsec sa policy ポリシー番号 識別id esp 暗号化 ハッシュ関数
# 今回は、選択できるIPsecの暗号化アルゴリスム、ハッシュの中から一番
# セキュリティが高いと思われる3des-cbc,sha-hmacを使用しました。
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
# 2004.11.05修正) 自分自身のルータのLAN側IPの定義
ipsec ike local address 1 192.168.0.1
# IKEフェーズ2でPFSを使用するための定義
ipsec ike pfs 1 on
# IKEフェーズ1で相手を認証するために使用する、共通鍵の情報
ipsec ike pre-shared-key 1 text ipsec-password
# 対向するルータが動的IPの為、固定のIP指定ではなくanyを指定します。
ipsec ike remote address 1 any
# セキュリティゲートウェイの定義
# 対向するルータのIPアドレスの代わりとして名前(ipsec1)を指定します。
ipsec ike remote name 1 ipsec1
# トンネリングインターフェースの有効
tunnel enable 1
# IPsec SAの自動更新を有効
ipsec auto refresh on
# 対向のルータのネットワークへのルーティング定義
# ゲートウェイとしてtunnel 1となります。
ip route 192.168.1.0/24 gateway tunnel 1
# NATの定義
# ディスクリプタNo.1で定義してあるものとします。
# IPsecで利用するudp500,espをNATします。
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
(2) B地点
# 使用するtunnelインターフェース番号
tunnel select 1
# tunnelインターフェースで利用するIPsec設定の番号の定義
# 分かりやすいようにtunnelインターフェース番号はtunnel番号に+100を足した
# ものとしました。
ipsec tunnel 101
# IPsecプロトコル、暗号化アルゴリズム、ハッシュ関数の定義
# (書式)
# ipsec sa policy ポリシー番号 識別id esp 暗号化 ハッシュ関数
# 今回は、選択できるIPsecの暗号化アルゴリスム、ハッシュの中から一番
# セキュリティが高いと思われる3des-cbc,sha-hmacを使用しました。
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
# 動的IPになるルータはローカルIP(LAN1)のIPを定義します。
# 間違えやすいので注意が必要です。
ipsec ike local address 1 192.168.1.1
# IKEフェーズ2でPFSを使用するための定義
ipsec ike pfs 1 on
# IKEフェーズ1で相手を認証するために使用する、共通鍵の情報
ipsec ike pre-shared-key 1 text ipsec-password
# セキュリティゲートウェイの定義
# 動的IPの為、IPアドレスの代わりとして名前(ipsec1)を指定します。
ipsec ike local name 1 ipsec1
# 対向のルータのグローバルIPの定義
ipsec ike remote address 1 61.XX.XX.XX
# トンネリングインターフェースの有効
tunnel enable 1
# IPsec SAの自動更新を有効
ipsec auto refresh on
# 対向のルータのネットワークへのルーティング定義
# ゲートウェイとしてtunnel 1となります。
ip route 192.168.0.0/24 gateway tunnel 1
# NATの定義
# ディスクリプタNo.1で定義してあるものとします。
# IPsecで利用するudp500,espをNATします。
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 esp
これで設定は完了です。
A地点、B地点で接続したクライアントに対してファイル共有、PING等で通信の確認ができればVPNは構築できています。
また、その際のWAN側へのフィルタ設定には、udp500,espを通すようにしてください。
ip filter 200018 pass * ルータLAN側IP udp * 500
ip filter 200019 pass * ルータLAN側IP esp * *
を例にとって手順を説明していますが、IPsecの利用できる
当方の環境は YAMAHA RTX1000
, RT58i
,
RTX1200
は固定IPにこだわったプロバイダで複数固定格安! 月額2100円/3675円でグローバル固定IPを取得できます。
はとにかく安くブロードバンド回線を利用したい方におすすめです。月額300円から利用できます。
