最終更新日:2013年5月17日
<サイトに戻る> <資料室に戻る> <IPSecトップへ戻る>
組織によっては、同じ組織内のネットワークにおいてもセキュリティで守られたゾーンを必要とする事でしょう。 例えば東京 と大阪にある研究部門同士のゾーン(セキュリティゾーン)間でVPNを構築したいような場合の構成例を示します。
この構成においては、セキュリティで守られたゾーン同士の通信は暗号化を実施して行い、それ以外はNATと組み合わせる事でセキュリティで守られたゾーン から通常のゾーンへもアクセスできる構成となっています。 また、WAN回線は広域イーサーネットまたは専用線用のルータを経由した形になります。
設定例は次のようなパラメータ値で設定を実施します。 なお、以下のルータAについては説明 を簡略化するためにアライドテレシス社の製品にて説明を行い、ルータBは各社のルータにて説明を行う事としますが、基本的にはルータBの設定と ルータAの設定はIPアドレス以外は差異がない筈ですので他社の製品でルータAを構築しても問題無い筈です。
また、IPSecにおける鍵の交換方式は手動ではなく自動(IKE)にて行うものとします。
VPNルータ-A | VPNルータ-B | ||
WAN側アドレス | 172.16.1.10/24 | 192.168.1.10/24 | |
LAN側アドレス | 172.16.2.254/24 | 192.168.2.254/24 | |
デフォルトゲートウェイ | 172.16.1.254 | 172.16.2.254 | |
フェーズ1 プロポーサル(IKE Proposal) | |||
ルータ認証方式 | 事前共通キー方式(Pre-Shared Key :PSK) | ||
IKE交換モード | Mainモード(両側が固定IP方式) | ||
事前共通キー | (文字列)ipsec_pass | ||
PFSのDiffie-Hellmanグループ | グループ2 (1024bit MODP) | ||
IKEの暗号化方式 | DES | ||
IKEの認証用ハッシュアルゴリズム | MD5 | ||
ISAKMP(フェーズ1)の生存期間 | 28800秒(8時間) | ||
IKEキープアライブ方式 | DPD | ||
フェーズ2 プロポーサル(IPSec Proposal) | |||
SAモード | トンネル | ||
セキュリティプロトコル | ESP | ||
暗号方式 | DES | ||
認証用ハッシュアルゴリズム | SHA1 | ||
トンネル対象IPアドレス | 192.168.2.0/24 | 172.16.2.0/24 | |
PFSの利用 | off(False) | ||
SA(フェーズ2)の生存期間 | 1800秒(30分) | ||
MTU値 | 1500 |
AR415S version 2.9.2-01 (DPD) ※ AR410S 以前のモデルは暗号化拡張ボードを別途、購入し ていないとIPSecでの通信はできません(設定はできるみたいです) |
# ********************* # * AR415S での設定手順 * # ********************* # セキュリティ管理者用アカウント作成 add user=admin pass=admin-pass priv=securityOfficer <--- admin/admin-passは任意の文字列 set user securedelay=1800 <---コンソールの使用制限時間を1800秒(30分)に変更(option) # IPSec Share Key create create enco key=1 type=general value="ipsec_pass" <---シェアキーの作成 # セキュリティ管理者で、ログインしなおし。 login admin <---セキュリティ管理者として上記のパスワード"admin-pass"でログイン # セキュリティモード中は、Telnetでのアクセスができないので、特定のアドレスからは出来るように設定(option) enable user rso add user rso ip=172.16.2.0 mask=255.255.255.0 # ASYN configuration set asyn=asyn0 flow=char <--- コンソールのフロー制御(XON/XOFF)指定(option) # IP configuration enable ip add ip int=vlan1 ip=172.16.2.254 mask=255.255.255.0 add ip int=eth0 ip=172.16.1.10 mask=255.255.255.0 set ip loc ip=172.16.2.254 (※2Option) add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=172.16.1.254 add ip rou=192.168.2.0 mask=255.255.255.0 int=eth0 next=0.0.0.0 # Firewall configuration enable firewall create firewall policy="net" disable firewall policy="net" identproxy enable firewall policy="net" icmp_f=unre,ping add firewall policy="net" int=vlan1 type=private enable firewall policy="net" fragment=icmp ※1 add firewall policy="net" int=eth0 type=public add firewall poli="net" nat=enhanced int=vlan1 gblin=eth0 add firewall poli="net" ru=3 ac=allo int=eth0 prot=udp po=500 ip=172.16.1.10 gblip=172.16.1.10 gblp=500 add firewall poli="net" ru=4 ac=non int=eth0 prot=ALL ip=172.16.2.1-172.16.2.254 enc=ips add firewall poli="net" ru=2 ac=non int=vlan1 prot=ALL ip=172.16.2.1-172.16.2.254 set firewall poli="net" ru=2 rem=192.168.2.1-192.168.2.254 # NTP configuration (option) # enable ntp # set ntp utc=+09:00:00 # add ntp peer=172.16.1.250 # IPSEC configuration (フェーズ2の設定) # ポリシーの順は動作に影響があるので注意すること。 create ipsec sas=1 key=isakmp prot=esp enc=des hasha=sha create ipsec bund=1 key=isakmp string="1" expirys=1800 create ipsec pol="eth" int=eth0 ac=permit pos=1 set ipsec pol="eth" lp=500 rp=500 tra=UDP create ipsec pol="vpn_1" int=eth0 ac=ipsec key=isakmp bund=1 peer=192.168.1.10 pos=2 set ipsec pol="vpn_1" lad=172.16.2.0 lma=255.255.255.0 rad=192.168.2.0 rma=255.255.255.0 set ipsec pol="vpn_1" srci=eth0 create ipsec pol="inet" int=eth0 ac=permit pos=3 enable ipsec # ISAKMP configuration (フェーズ1の設定) # AR同士の接続の場合「HEARTBEATMODE=BOTH」とすると良い create isakmp pol="ike_rt" pe=192.168.1.10 has=md5 key=1 set isakmp pol="ike_rt" SRCINTERFACE=ppp0 ※2 set isakmp pol="ike_rt" expirys=28800 gro=2 pre=true set isakmp pol="ike_rt" sendn=true set isakmp pol="ike_rt" dpdm=both dpdi=5 localid="172.16.1.10" remotei="192.168.1.10" enable isakmp # セキュリティモードにしないままで保存した場合には、作成したシェアキーやISAKMP情報が登録され # ないので要注意。 enable system security_mode <---セキュリティモードにする。 create config=ipsec_eth.cfg set config=ipsec_eth.cfg |
※1: VPNを使ったActive Directory(AD)環境において、遠隔地にあるWindows XP端末に対してグループポリシーの適用が正常に行えない事があります。 これは、Windows XPとADの間で最初にネットワークの回線速度の検査を行うために2048オクテッドのICMPを通信する事に起因します。 ARのデフォルト状態では1780オクテッド以上のパケットは場合によってはフラグメンテーション攻撃のパケットとして判断されて破棄されてしまいます。 これを回避するには、Windows XP側でレジストリを操作してこのチェック用パケットの長さを1500以下にするか、AR側でこのパケット破棄を実施しないようにすれば良いことになります。
※2 :"set ip loc"する事で、ルータから送り出されるパケットのソースアドレスを指定したアドレスで行う事が可能になります。 ただし、これを指定した場合にはフェーズ1の際の接続パケットのソースアドレスまで"set ip loc"で指定したものになってしまい、フェーズ1の接続に失敗してしまいます。 それを避けるには、フェーズ1接続の際に使うインターフェース(SRCINTERFACE=ppp0)を明示的に指定することで正常にフェーズ1の接続が行えるようになります。
アライドのルータのコンフィグを初期状態にするには、
# set config=none
# restart router
とする。
TZ 170 GUIでの設定手順 |
SonicWALLでの設定は、GUIでの設定が基本になります。 なお、SonicWALL自身はDPDの設定ができるのですが、 AR415との間ではDPD の認識に失敗している様子。 |
SonicWALLの初期化は、リセットボタンの長押し(10秒程度)で実施されます。 その際に、古い型のSonicWALLではファームウェアを必要とする場合があるので予めファームウェアを本体からダウンロードしておくと良いでしょう。 なお、初期化が実施されるとIPアドレスが、192.168.168.168に戻ってしまいます。
IX2025 Version 8.3.13 (DPD) |
configure ! timezone +09 00 ! logging buffered 10240 logging subsystem all warn logging timestamp timeofday ! ip route default 192.168.1.254 ip route 172.16.2.0/24 Tunnel0.0 ip access-list ac-all_forward permit ip src any dest any ip access-list sec-list1 permit ip src any dest any ip access-list sec-list2 permit ip src 192.168.2.0/24 dest any ip ufs-cache enable ! ike initial-contact always ! ike proposal ike-pro1 encryption des hash md5 group 1024-bit lifetime 28800 ! ike policy ike-policy1 peer 172.16.1.10 key ipsec_pass ike-pro1 ike keepalive ike-policy1 60 10 ! ipsec autokey-proposal ipsec-prop1 esp-des esp-sha lifetime time 1800 ! ipsec autokey-map auto-map1 sec-list1 peer 172.16.1.10 ipsec-prop1 ipsec local-id auto-map1 192.168.2.0/24 ipsec remote-id auto-map1 172.16.2.0/24 ! telnet-server ip enable ! watch-group watch-router-a 10 event 10 ip unreach-host 172.16.2.254 Tunnel0.0 source FastEthernet1/0.0 action 10 ipsec clear-sa Tunnel0.0 probe-counter variance 5 probe-counter restorer 3 probe-timer restorer 10 exit ! network-monitor watch-router-a enable ! interface FastEthernet0/0.0 no ip address shutdown exit ! WAN側ポートには、FastEthernet0/1 を使用しています。 interface FastEthernet0/1.0 ip address 192.168.1.10/24 ip tcp adjust-mss auto ip napt enable ip napt inside list sec-list2 ip napt translation max-entries 30000 ip napt static FastEthernet0/1.0 udp 500 ip napt static FastEthernet0/1.0 50 ip filter ac-all_forward 65000 in ip filter ac-all_forward 65000 out no shutdown exit ! IXシリーズでは、物理ポートに実際に機器が接続(LinkUP)されないと、インターフェースとして認識されません。 テストをする場合には、物理ポートにHUBやPCなどを接続してテストを実施してください。 interface FastEthernet1/0.0 ip address 192.168.2.254/24 no shutdown exit ! interface Tunnel0.0 tunnel mode ipsec ip unnumbered FastEthernet0/1.0 ip tcp adjust-mss auto ipsec policy tunnel auto-map1 pre-fragment out no shutdown exit write mem |
IXシリーズでコンフィグファイルを工場出荷時に戻す場合には、スーパーリセットを実施してください。 スーパーリセットの手順は取り扱い説明書の6章を参照してください。
NetScreen-5GT Vev.6.2.0r13.00 (DPD) GUIでの設定手順 |
unset key protection enable set clock dst-off set clock timezone 9 set clock dst recurring start-weekday 2 0 3 02:00 end-weekday 1 0 11 02:00 set vrouter trust-vr sharable set vrouter "untrust-vr" exit set vrouter "trust-vr" unset auto-route-export exit set alg appleichat enable unset alg appleichat re-assembly enable set alg sctp enable set auth-server "Local" id 0 set auth-server "Local" server-name "Local" set auth default auth server "Local" set auth radius accounting port 1646 set admin name "netscreen" set admin password "nKVUM2rwMUzPcrkG5sWIHdCtqkAibn" set admin auth web timeout 30 set admin auth server "Local" set admin format dos set zone "Trust" vrouter "trust-vr" set zone "Untrust" vrouter "trust-vr" set zone "VLAN" vrouter "trust-vr" set zone id 100 "VPN-Zone" set zone "Untrust-Tun" vrouter "trust-vr" set zone "Trust" tcp-rst set zone "Untrust" block unset zone "Untrust" tcp-rst set zone "MGT" block unset zone "V1-Trust" tcp-rst unset zone "V1-Untrust" tcp-rst unset zone "VLAN" tcp-rst unset zone "VPN-Zone" tcp-rst set zone "Untrust" screen tear-drop set zone "Untrust" screen syn-flood set zone "Untrust" screen ping-death set zone "Untrust" screen ip-filter-src set zone "Untrust" screen land set zone "V1-Untrust" screen tear-drop set zone "V1-Untrust" screen syn-flood set zone "V1-Untrust" screen ping-death set zone "V1-Untrust" screen ip-filter-src set zone "V1-Untrust" screen land set interface "trust" zone "Trust" set interface "untrust" zone "Untrust" set interface "tunnel.1" zone "VPN-Zone" unset interface vlan1 ip set interface trust ip 192.168.2.254/24 set interface trust nat set interface untrust ip 192.168.1.10/24 set interface untrust route set interface tunnel.1 ip unnumbered interface untrust unset interface vlan1 bypass-others-ipsec unset interface vlan1 bypass-non-ip unset interface vlan1 bypass-ipv6-others-ipsec set interface vlan1 bypass-icmpv6-ndp set interface vlan1 bypass-icmpv6-mld unset interface vlan1 bypass-icmpv6-mrd unset interface vlan1 bypass-icmpv6-msp set interface vlan1 bypass-icmpv6-snd set interface trust ip manageable unset interface untrust ip manageable set interface trust dhcp server service set interface trust dhcp server auto set interface trust dhcp server option netmask 255.255.255.0 unset interface trust dhcp server config next-server-ip set flow tcp-mss unset flow no-tcp-seq-check set flow tcp-syn-check unset flow tcp-syn-bit-check set flow reverse-route clear-text prefer set flow reverse-route tunnel always set dbuf usb filesize 0 set pki authority default scep mode "auto" set pki x509 default cert-path partial set crypto-policy exit set ike p1-proposal "ar-pre-g2-des-md5" preshare group2 esp des md5 second 28800 set ike p2-proposal "ar-nopfs-des-sha" no-pfs esp des sha-1 second 1800 set ike gateway "ar-gw" address 172.16.1.10 Main outgoing-interface "untrust" preshare "3+8qD3jBN4kSJksfvWCORnVThFnieHPR8w==" proposal "ar-pre-g2-des-md5" set ike gateway "ar-gw" dpd-liveness interval 10 set ike respond-bad-spi 1 set ike ikev2 ike-sa-soft-lifetime 60 unset ike ikeid-enumeration unset ike dos-protection unset ipsec access-session enable set ipsec access-session maximum 5000 set ipsec access-session upper-threshold 0 set ipsec access-session lower-threshold 0 set ipsec access-session dead-p2-sa-timeout 0 unset ipsec access-session log-error unset ipsec access-session info-exch-connected unset ipsec access-session use-error-log set vpn "ar-vpn" gateway "ar-gw" no-replay tunnel idletime 0 proposal "ar-nopfs-des-sha" set vpn "ar-vpn" monitor source-interface trust destination-ip 172.16.2.254 rekey set vpn "ar-vpn" id 0x1 bind interface tunnel.1 set vrouter "untrust-vr" exit set vrouter "trust-vr" exit set url protocol websense exit set vpn "ar-vpn" proxy-id local-ip 192.168.2.0/24 remote-ip 172.16.2.0/24 "ANY" set policy id 1 from "Trust" to "Untrust" "Any-IPv4" "Any-IPv4" "ANY" permit set policy id 1 exit set policy id 2 from "Trust" to "VPN-Zone" "Any-IPv4" "Any-IPv4" "ANY" permit set policy id 2 exit set policy id 3 from "VPN-Zone" to "Trust" "Any-IPv4" "Any-IPv4" "ANY" permit set policy id 3 exit set nsmgmt bulkcli reboot-timeout 60 set ssh version v2 set config lock timeout 5 unset license-key auto-update set telnet client enable set modem speed 115200 set modem retry 3 set modem interval 10 set modem idle-time 10 set snmp port listen 161 set snmp port trap 162 set vrouter "untrust-vr" exit set vrouter "trust-vr" unset add-default-route set route 172.16.2.0/24 interface tunnel.1 set route 0.0.0.0/0 interface untrust gateway 192.168.1.254 exit set vrouter "untrust-vr" exit set vrouter "trust-vr" exit save |
NetScreenのコンフィグを初期状態にするには、コンソールから
# unset all
Erase all system config, are you sure y/[n] ? y
# reset
Configuration modified, save? [y]/n n
System reset, are you sure? y/[n] y
とするか、ログインIDとパスワードにそれぞれシリアル番号を入力する。
RTX1200 Rev.10.01.34 (DPD) |
ip route default gateway 192.168.1.254 ip route 172.16.2.0/24 gateway tunnel 1 ip lan1 address 192.168.2.254/24 ip lan2 address 192.168.1.10/24 ip lan2 nat descriptor 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp des-cbc sha-hmac ipsec ike always-on 1 on ipsec ike duration ipsec-sa 1 1800 ipsec ike duration isakmp-sa 1 28800 ipsec ike encryption 1 des-cbc ipsec ike group 1 modp1024 ipsec ike hash 1 md5 ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on dpd 10 5 ipsec ike local address 1 192.168.1.10 ipsec ike local id 1 192.168.2.0/24 ipsec ike log 1 key-info message-info payload-info ipsec ike payload type 1 2 ipsec ike pre-shared-key 1 text ipsec_pass ipsec ike remote address 1 172.16.1.10 ipsec ike remote id 1 172.16.2.0/24 tunnel enable 1 ip filter 100 pass * * nat descriptor type 1 masquerade nat descriptor address outer 1 192.168.1.10 nat descriptor address inner 1 192.168.2.1-192.168.2.254 nat descriptor masquerade static 1 1 192.168.2.254 udp 500 nat descriptor masquerade static 1 2 192.168.2.254 esp ipsec use on ipsec auto refresh on syslog debug off # tftp host any no dhcp service server no dhcp server rfc2131 compliant no dhcp scope 1 save |
FITELnet-F100 V02.10.(04) (DPD) |
enable configure terminal ip route 0.0.0.0 0.0.0.0 192.168.1.254 access-list 1 permit 192.168.2.0 0.0.0.255 ! vpn enable vpnlog enable ! ipsec access-list 1 ipsec ip 192.168.2.0 0.0.0.255 172.16.2.0 0.0.0.255 ipsec access-list 64 bypass ip any any ipsec transform-set p1-policy esp-des esp-sha-hmac ! no service dhcp-server ! interface ewan 1 crypto map vpn ip address 192.168.1.10 255.255.255.0 ip nat inside source list 1 interface exit interface lan 1 ip address 192.168.2.254 255.255.255.0 exit ! ! crypto isakmp policy 1 authentication prekey encryption des group 2 hash md5 keepalive always-send keepalive-icmp peer-address 172.16.2.254 keepalive-icmp source-interface lan 1 key ascii ipsec_pass lifetime 28800 my-identity 192.168.2.254 negotiation-mode main peer-identity address 172.16.1.10 release security-association exit crypto map vpn 1 crypto map vpn 1 match address 1 set peer address 172.16.1.10 set security-association ipsec-src-id 192.168.2.0 0.0.0.255 set security-association lifetime seconds 1800 set transform-set p1-policy exit crypto security-association alive freq 60 ikealive retry max 1 ikealive freq 30 retry rekey-ipsec timer 20 retry rekey-ipsec max 2 exit crypto ipsec-log vpnlog-detail all exit end save SIDE-A.cfg |
Fitelシリーズでコンフィグファイルを初期状態に戻す場合には、「reset default」コマンドを実施すか
# clear working.cfg
# save ファイル名
とすることでコンフィグファイルの初期化が可能である。
FITELnetのコンフィグは、保存先としてSIDE-A.cfgとSIDE-B.cfgの2つのファイルに保存でき、これらを切り替えてブートができるようになっている。 現在、どちらのコンフィグを使っているかは
> enable
# show version または、show file configuration
とすることで確認できる。 また、コンフィグの切り替えは
# boot configuration ファイル名
とすることで切り替えが可能である。
起動時にVPNの接続まで数分掛かるので慌てないこと。
Si-R 220C, Si-R180B
Si-Rシリーズでコンフィグファイルを工場出荷時に戻す場合には、「reset clear」コマンドを実施するか「ご利用にあたって」の3-3章を参照してください。
Cisco
1812J (IOS Version 15.1) !検証途中! |
! hostname R1812J ! ! dot11 syslog ip source-route ! ip cef no ipv6 cef ip classless ! crypto ikev2 diagnose error 50 ! ! 共通鍵「ipsec_pass」を使うIKEポリシーの作成 crypto isakmp policy 1 hash md5 authentication pre-share group 2 crypto isakmp key ipsec_pass address 172.16.1.10 crypto isakmp keepalive 30 ! ! crypto ipsec transform-set IPSEC esp-des esp-sha-hmac ! crypto map MAP-IPSEC 1 ipsec-isakmp set peer 172.16.1.10 set transform-set IPSEC match address 100 ! ! interface BRI0 no ip address encapsulation hdlc shutdown ! interface FastEthernet0 ip address 192.168.1.10 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto no shutdown speed auto crypto map MAP-IPSEC ! interface FastEthernet1 no ip address shutdown duplex auto speed auto ! interface range fastEthernet 2 - 9 no shutdown ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ! interface FastEthernet5 ! interface FastEthernet6 ! interface FastEthernet7 ! interface FastEthernet8 ! interface FastEthernet9 ! interface Vlan1 ip address 192.168.2.254 255.255.255.0 ip nat inside ip virtual-reassembly ! ip forward-protocol nd no ip http server no ip http secure-server ! ! ip nat inside source route-map NO_NAT interface FastEthernet0 overload ip route 0.0.0.0 0.0.0.0 172.16.2.254 ! access-list 100 permit ip 192.168.2.0 0.0.0.255 172.16.2.0 0.0.0.255 access-list 105 deny ip 192.168.2.0 0.0.0.255 172.16.2.0 0.0.0.255 access-list 105 permit ip 192.168.2.0 0.0.0.255 any access-list 110 permit esp host 172.16.1.10 host 192.168.1.10 access-list 110 permit udp host 172.16.1.10 eq isakmp host 192.168.1.10 ! ! route-map NO_NAT permit 10 match ip address 105 ! end write |