最終更新日:2013年5月17日

<サイトに戻る> <資料室に戻る> <IPSecトップへ戻る>

ローカルネットワーク接続によるIPSec構築例

組織によっては、同じ組織内のネットワークにおいてもセキュリティで守られたゾーンを必要とする事でしょう。 例えば東京 と大阪にある研究部門同士のゾーン(セキュリティゾーン)間でVPNを構築したいような場合の構成例を示します。
この構成においては、セキュリティで守られたゾーン同士の通信は暗号化を実施して行い、それ以外はNATと組み合わせる事でセキュリティで守られたゾーン から通常のゾーンへもアクセスできる構成となっています。 また、WAN回線は広域イーサーネットまたは専用線用のルータを経由した形になります。

構成図


設定例

設定例は次のようなパラメータ値で設定を実施します。 なお、以下のルータAについては説明 を簡略化するためにアライドテレシス社の製品にて説明を行い、ルータBは各社のルータにて説明を行う事としますが、基本的にはルータBの設定と ルータAの設定はIPアドレス以外は差異がない筈ですので他社の製品でルータAを構築しても問題無い筈です。
また、IPSecにおける鍵の交換方式は手動ではなく自動(IKE)にて行うものとします。

VPNルータ-A VPNルータ-B
WAN側アドレス 172.16.1.10/24 192.168.1.10/24
LAN側アドレス 172.16.2.254/24 192.168.2.254/24
デフォルトゲートウェイ  172.16.1.254  172.16.2.254
フェーズ1 プロポーサル(IKE Proposal)
  ルータ認証方式 事前共通キー方式(Pre-Shared Key :PSK)
IKE交換モード Mainモード(両側が固定IP方式)
事前共通キー (文字列)ipsec_pass
PFSのDiffie-Hellmanグループ グループ2 (1024bit MODP)
IKEの暗号化方式 DES
IKEの認証用ハッシュアルゴリズム MD5
ISAKMP(フェーズ1)の生存期間 28800秒(8時間) 
IKEキープアライブ方式   DPD
フェーズ2 プロポーサル(IPSec Proposal)
   SAモード トンネル
セキュリティプロトコル ESP
暗号方式  DES 
認証用ハッシュアルゴリズム SHA1
トンネル対象IPアドレス 192.168.2.0/24 172.16.2.0/24
PFSの利用 off(False)
SA(フェーズ2)の生存期間 1800秒(30分)
MTU値  1500


■ルータ-A(アライドテレシス

■アライドテレシス

AR415S
version 2.9.2-01
(DPD)


※ AR410S 以前のモデルは暗号化拡張ボードを別途、購入し ていないとIPSecでの通信はできません(設定はできるみたいです)

# *********************
# * AR415S での設定手順 *
# *********************
# セキュリティ管理者用アカウント作成
add user=admin pass=admin-pass priv=securityOfficer <--- admin/admin-passは任意の文字列

set user  securedelay=1800 <---コンソールの使用制限時間を1800秒(30分)に変更(option)

# IPSec Share Key create
create enco key=1 type=general value="ipsec_pass" <---シェアキーの作成

# セキュリティ管理者で、ログインしなおし。
login admin <---セキュリティ管理者として上記のパスワード"admin-pass"でログイン

# セキュリティモード中は、Telnetでのアクセスができないので、特定のアドレスからは出来るように設定(option)
enable user rso
add user rso ip=172.16.2.0 mask=255.255.255.0

# ASYN configuration
set asyn=asyn0 flow=char <--- コンソールのフロー制御(XON/XOFF)指定(option)

# IP configuration
enable ip
add ip int=vlan1 ip=172.16.2.254 mask=255.255.255.0
add ip int=eth0 ip=172.16.1.10 mask=255.255.255.0
set ip loc ip=172.16.2.254 (※2Option)
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=172.16.1.254
add ip rou=192.168.2.0 mask=255.255.255.0 int=eth0 next=0.0.0.0

# Firewall configuration
enable firewall
create firewall policy="net"
disable firewall policy="net" identproxy
enable firewall policy="net" icmp_f=unre,ping
add firewall policy="net" int=vlan1 type=private
enable firewall policy="net" fragment=icmp ※1
add firewall policy="net" int=eth0 type=public
add firewall poli="net" nat=enhanced int=vlan1 gblin=eth0
add firewall poli="net" ru=3 ac=allo int=eth0 prot=udp po=500 ip=172.16.1.10 gblip=172.16.1.10 gblp=500
add firewall poli="net" ru=4 ac=non int=eth0 prot=ALL ip=172.16.2.1-172.16.2.254 enc=ips
add firewall poli="net" ru=2 ac=non int=vlan1 prot=ALL ip=172.16.2.1-172.16.2.254
set firewall poli="net" ru=2 rem=192.168.2.1-192.168.2.254

# NTP configuration (option)
# enable ntp
# set ntp utc=+09:00:00
# add ntp peer=172.16.1.250

# IPSEC configuration (フェーズ2の設定)
# ポリシーの順は動作に影響があるので注意すること。
create ipsec sas=1 key=isakmp prot=esp enc=des hasha=sha
create ipsec bund=1 key=isakmp string="1" expirys=1800
create ipsec pol="eth" int=eth0 ac=permit pos=1
set ipsec pol="eth" lp=500 rp=500 tra=UDP
create ipsec pol="vpn_1" int=eth0 ac=ipsec key=isakmp bund=1 peer=192.168.1.10 pos=2
set ipsec pol="vpn_1" lad=172.16.2.0 lma=255.255.255.0 rad=192.168.2.0 rma=255.255.255.0
set ipsec pol="vpn_1" srci=eth0
create ipsec pol="inet" int=eth0 ac=permit pos=3
enable ipsec

# ISAKMP configuration (フェーズ1の設定)
# AR同士の接続の場合「HEARTBEATMODE=BOTH」とすると良い
create isakmp pol="ike_rt" pe=192.168.1.10 has=md5 key=1
set isakmp pol="ike_rt" SRCINTERFACE=ppp0 ※2
set isakmp pol="ike_rt" expirys=28800 gro=2 pre=true
set isakmp pol="ike_rt" sendn=true
set isakmp pol="ike_rt" dpdm=both dpdi=5 localid="172.16.1.10" remotei="192.168.1.10"
enable isakmp

# セキュリティモードにしないままで保存した場合には、作成したシェアキーやISAKMP情報が登録され
# ないので要注意。
enable system security_mode <---セキュリティモードにする。
create config=ipsec_eth.cfg
set config=ipsec_eth.cfg

※1: VPNを使ったActive Directory(AD)環境において、遠隔地にあるWindows XP端末に対してグループポリシーの適用が正常に行えない事があります。 これは、Windows XPとADの間で最初にネットワークの回線速度の検査を行うために2048オクテッドのICMPを通信する事に起因します。 ARのデフォルト状態では1780オクテッド以上のパケットは場合によってはフラグメンテーション攻撃のパケットとして判断されて破棄されてしまいます。 これを回避するには、Windows XP側でレジストリを操作してこのチェック用パケットの長さを1500以下にするか、AR側でこのパケット破棄を実施しないようにすれば良いことになります。

※2 :"set ip loc"する事で、ルータから送り出されるパケットのソースアドレスを指定したアドレスで行う事が可能になります。 ただし、これを指定した場合にはフェーズ1の際の接続パケットのソースアドレスまで"set ip loc"で指定したものになってしまい、フェーズ1の接続に失敗してしまいます。 それを避けるには、フェーズ1接続の際に使うインターフェース(SRCINTERFACE=ppp0)を明示的に指定することで正常にフェーズ1の接続が行えるようになります。

アライドのルータのコンフィグを初期状態にするには、
# set config=none
# restart router
とする。

■ルータ-B(SonicWALL, NEC, Netscreen, YAMAHA, 古川電工, 富士通, Cisco )

■SonicWALL

TZ 170

GUIでの設定手順
SonicWALLでの設定は、GUIでの設定が基本になります。
なお、SonicWALL自身はDPDの設定ができるのですが、 AR415との間ではDPD の認識に失敗している様子。

SonicWALLの初期化は、リセットボタンの長押し(10秒程度)で実施されます。 その際に、古い型のSonicWALLではファームウェアを必要とする場合があるので予めファームウェアを本体からダウンロードしておくと良いでしょう。 なお、初期化が実施されるとIPアドレスが、192.168.168.168に戻ってしまいます。

■NEC

IX2025
Version 8.3.13
(DPD)

configure

!
timezone +09 00

!
logging buffered 10240
logging subsystem all warn
logging timestamp timeofday

!
ip route default 192.168.1.254
ip route 172.16.2.0/24 Tunnel0.0
ip access-list ac-all_forward permit ip src any dest any
ip access-list sec-list1 permit ip src any dest any
ip access-list sec-list2 permit ip src 192.168.2.0/24 dest any
ip ufs-cache enable

!
ike initial-contact always

!
ike proposal ike-pro1 encryption des hash md5 group 1024-bit lifetime 28800

!
ike policy ike-policy1 peer 172.16.1.10 key ipsec_pass ike-pro1
ike keepalive ike-policy1 60 10

!
ipsec autokey-proposal ipsec-prop1 esp-des esp-sha lifetime time 1800

!
ipsec autokey-map auto-map1 sec-list1 peer 172.16.1.10 ipsec-prop1
ipsec local-id auto-map1 192.168.2.0/24
ipsec remote-id auto-map1 172.16.2.0/24

!
telnet-server ip enable

!
watch-group watch-router-a 10
 event 10 ip unreach-host 172.16.2.254 Tunnel0.0 source FastEthernet1/0.0
 action 10 ipsec clear-sa Tunnel0.0
 probe-counter variance 5
 probe-counter restorer 3
 probe-timer restorer 10
 exit

!
network-monitor watch-router-a enable

!
interface FastEthernet0/0.0
 no ip address
 shutdown
 exit

! WAN側ポートには、FastEthernet0/1 を使用しています。
interface FastEthernet0/1.0
 ip address 192.168.1.10/24
 ip tcp adjust-mss auto
 ip napt enable
 ip napt inside list sec-list2
 ip napt translation max-entries 30000
 ip napt static FastEthernet0/1.0 udp 500
 ip napt static FastEthernet0/1.0 50
 ip filter ac-all_forward 65000 in
 ip filter ac-all_forward 65000 out
 no shutdown
 exit

! IXシリーズでは、物理ポートに実際に機器が接続(LinkUP)されないと、インターフェースとして認識されません。 テストをする場合には、物理ポートにHUBやPCなどを接続してテストを実施してください。
interface FastEthernet1/0.0
 ip address 192.168.2.254/24
 no shutdown
 exit

!
interface Tunnel0.0
 tunnel mode ipsec
 ip unnumbered FastEthernet0/1.0
 ip tcp adjust-mss auto
 ipsec policy tunnel auto-map1 pre-fragment out
 no shutdown
 exit

write mem

IXシリーズでコンフィグファイルを工場出荷時に戻す場合には、スーパーリセットを実施してください。 スーパーリセットの手順は取り扱い説明書の6章を参照してください。

■NetScreen

NetScreen-5GT
Vev.6.2.0r13.00
(DPD)
GUIでの設定手順

unset key protection enable
set clock dst-off
set clock timezone 9
set clock dst recurring start-weekday 2 0 3 02:00 end-weekday 1 0 11 02:00
set vrouter trust-vr sharable
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
unset auto-route-export
exit
set alg appleichat enable
unset alg appleichat re-assembly enable
set alg sctp enable
set auth-server "Local" id 0
set auth-server "Local" server-name "Local"
set auth default auth server "Local"
set auth radius accounting port 1646
set admin name "netscreen"
set admin password "nKVUM2rwMUzPcrkG5sWIHdCtqkAibn"
set admin auth web timeout 30
set admin auth server "Local"
set admin format dos
set zone "Trust" vrouter "trust-vr"
set zone "Untrust" vrouter "trust-vr"
set zone "VLAN" vrouter "trust-vr"
set zone id 100 "VPN-Zone"
set zone "Untrust-Tun" vrouter "trust-vr"
set zone "Trust" tcp-rst
set zone "Untrust" block
unset zone "Untrust" tcp-rst
set zone "MGT" block
unset zone "V1-Trust" tcp-rst
unset zone "V1-Untrust" tcp-rst
unset zone "VLAN" tcp-rst
unset zone "VPN-Zone" tcp-rst
set zone "Untrust" screen tear-drop
set zone "Untrust" screen syn-flood
set zone "Untrust" screen ping-death
set zone "Untrust" screen ip-filter-src
set zone "Untrust" screen land
set zone "V1-Untrust" screen tear-drop
set zone "V1-Untrust" screen syn-flood
set zone "V1-Untrust" screen ping-death
set zone "V1-Untrust" screen ip-filter-src
set zone "V1-Untrust" screen land
set interface "trust" zone "Trust"
set interface "untrust" zone "Untrust"
set interface "tunnel.1" zone "VPN-Zone"
unset interface vlan1 ip
set interface trust ip 192.168.2.254/24
set interface trust nat
set interface untrust ip 192.168.1.10/24
set interface untrust route
set interface tunnel.1 ip unnumbered interface untrust
unset interface vlan1 bypass-others-ipsec
unset interface vlan1 bypass-non-ip
unset interface vlan1 bypass-ipv6-others-ipsec
set interface vlan1 bypass-icmpv6-ndp
set interface vlan1 bypass-icmpv6-mld
unset interface vlan1 bypass-icmpv6-mrd
unset interface vlan1 bypass-icmpv6-msp
set interface vlan1 bypass-icmpv6-snd
set interface trust ip manageable
unset interface untrust ip manageable
set interface trust dhcp server service
set interface trust dhcp server auto
set interface trust dhcp server option netmask 255.255.255.0
unset interface trust dhcp server config next-server-ip
set flow tcp-mss
unset flow no-tcp-seq-check
set flow tcp-syn-check
unset flow tcp-syn-bit-check
set flow reverse-route clear-text prefer
set flow reverse-route tunnel always
set dbuf usb filesize 0
set pki authority default scep mode "auto"
set pki x509 default cert-path partial
set crypto-policy
exit
set ike p1-proposal "ar-pre-g2-des-md5" preshare group2 esp des md5 second 28800
set ike p2-proposal "ar-nopfs-des-sha" no-pfs esp des sha-1 second 1800
set ike gateway "ar-gw" address 172.16.1.10 Main outgoing-interface "untrust" preshare "3+8qD3jBN4kSJksfvWCORnVThFnieHPR8w==" proposal "ar-pre-g2-des-md5"
set ike gateway "ar-gw" dpd-liveness interval 10
set ike respond-bad-spi 1
set ike ikev2 ike-sa-soft-lifetime 60
unset ike ikeid-enumeration
unset ike dos-protection
unset ipsec access-session enable
set ipsec access-session maximum 5000
set ipsec access-session upper-threshold 0
set ipsec access-session lower-threshold 0
set ipsec access-session dead-p2-sa-timeout 0
unset ipsec access-session log-error
unset ipsec access-session info-exch-connected
unset ipsec access-session use-error-log
set vpn "ar-vpn" gateway "ar-gw" no-replay tunnel idletime 0 proposal "ar-nopfs-des-sha"
set vpn "ar-vpn" monitor source-interface trust destination-ip 172.16.2.254 rekey
set vpn "ar-vpn" id 0x1 bind interface tunnel.1
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
exit
set url protocol websense
exit
set vpn "ar-vpn" proxy-id local-ip 192.168.2.0/24 remote-ip 172.16.2.0/24 "ANY"
set policy id 1 from "Trust" to "Untrust" "Any-IPv4" "Any-IPv4" "ANY" permit
set policy id 1
exit
set policy id 2 from "Trust" to "VPN-Zone" "Any-IPv4" "Any-IPv4" "ANY" permit
set policy id 2
exit
set policy id 3 from "VPN-Zone" to "Trust" "Any-IPv4" "Any-IPv4" "ANY" permit
set policy id 3
exit
set nsmgmt bulkcli reboot-timeout 60
set ssh version v2
set config lock timeout 5
unset license-key auto-update
set telnet client enable
set modem speed 115200
set modem retry 3
set modem interval 10
set modem idle-time 10
set snmp port listen 161
set snmp port trap 162
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
unset add-default-route
set route 172.16.2.0/24 interface tunnel.1
set route 0.0.0.0/0 interface untrust gateway 192.168.1.254
exit
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
exit

save

NetScreenのコンフィグを初期状態にするには、コンソールから
# unset all
Erase all system config, are you sure y/[n] ? y
# reset
Configuration modified, save? [y]/n n
System reset, are you sure? y/[n] y

とするか、ログインIDとパスワードにそれぞれシリアル番号を入力する。


■YAMAHA

RTX1200 Rev.10.01.34
(DPD)
ip route default gateway 192.168.1.254
ip route 172.16.2.0/24 gateway tunnel 1
ip lan1 address 192.168.2.254/24
ip lan2 address 192.168.1.10/24
ip lan2 nat descriptor 1
tunnel select 1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp des-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike duration ipsec-sa 1 1800
  ipsec ike duration isakmp-sa 1 28800
  ipsec ike encryption 1 des-cbc
  ipsec ike group 1 modp1024
  ipsec ike hash 1 md5
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on dpd 10 5
  ipsec ike local address 1 192.168.1.10
  ipsec ike local id 1 192.168.2.0/24
  ipsec ike log 1 key-info message-info payload-info
  ipsec ike payload type 1 2
  ipsec ike pre-shared-key 1 text ipsec_pass
  ipsec ike remote address 1 172.16.1.10
  ipsec ike remote id 1 172.16.2.0/24
 tunnel enable 1
ip filter 100 pass * *
nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.1.10
nat descriptor address inner 1 192.168.2.1-192.168.2.254
nat descriptor masquerade static 1 1 192.168.2.254 udp 500
nat descriptor masquerade static 1 2 192.168.2.254 esp
ipsec use on
ipsec auto refresh on
syslog debug off
# tftp host any

no dhcp service server
no dhcp server rfc2131 compliant
no dhcp scope 1

save


■古川電工

FITELnet-F100
V02.10.(04)
(DPD)
enable
configure terminal

ip route 0.0.0.0 0.0.0.0 192.168.1.254
access-list 1 permit 192.168.2.0 0.0.0.255
!
vpn enable
vpnlog enable
!
ipsec access-list 1 ipsec ip 192.168.2.0 0.0.0.255 172.16.2.0 0.0.0.255
ipsec access-list 64 bypass ip any any
ipsec transform-set p1-policy esp-des esp-sha-hmac
!
no service dhcp-server
!
interface ewan 1
 crypto map vpn
 ip address 192.168.1.10 255.255.255.0
 ip nat inside source list 1 interface
exit
interface lan 1
 ip address 192.168.2.254 255.255.255.0
exit
!
!
crypto isakmp policy 1
 authentication prekey
 encryption des
 group 2
 hash md5
 keepalive always-send
 keepalive-icmp peer-address 172.16.2.254
 keepalive-icmp source-interface lan 1
 key ascii ipsec_pass
 lifetime 28800
 my-identity 192.168.2.254
 negotiation-mode main
 peer-identity address 172.16.1.10
 release security-association
exit
crypto map vpn 1
crypto map vpn 1
 match address 1
 set peer address 172.16.1.10
 set security-association ipsec-src-id 192.168.2.0 0.0.0.255
 set security-association lifetime seconds 1800
 set transform-set p1-policy
exit
crypto security-association
 alive freq 60
 ikealive retry max 1
 ikealive freq 30
 retry rekey-ipsec timer 20
 retry rekey-ipsec max 2
exit
crypto ipsec-log
 vpnlog-detail all
exit

end

save SIDE-A.cfg

Fitelシリーズでコンフィグファイルを初期状態に戻す場合には、「reset default」コマンドを実施すか
# clear working.cfg
# save ファイル名

とすることでコンフィグファイルの初期化が可能である。

FITELnetのコンフィグは、保存先としてSIDE-A.cfgとSIDE-B.cfgの2つのファイルに保存でき、これらを切り替えてブートができるようになっている。 現在、どちらのコンフィグを使っているかは
> enable
# show version または、show file configuration

とすることで確認できる。 また、コンフィグの切り替えは
# boot configuration ファイル名

とすることで切り替えが可能である。

■富士通

起動時にVPNの接続まで数分掛かるので慌てないこと。
Si-R 220C, Si-R180B
Si-R220C
V35.03
(DPD)

Si-R220CのLANポートは、デフォルトでは独立したLANとなっています。
本設定では
LAN0: WAN用
LAN1: LAN用
として、LAN2~LAN3ポートは使用しません。
複数の機器を接続するには、別途SW-HUBを用意してください。
configure

lan 0 mode auto
lan 0 ip address 192.168.1.10/24 3
lan 0 ip route 0 default 192.168.1.254 1 0
lan 0 ip rip use off v1 0 off
lan 0 ip nat mode multi any 1 5m
lan 0 ip nat static 0 192.168.1.10 500 any 500 17
lan 0 ip nat static 1 192.168.1.10 any any any 50
lan 1 mode auto
lan 1 ip address 192.168.2.254/24 3
lan 1 ip rip use off v1 0 off
remote 1 name vpn1
remote 1 ap 0 datalink type ipsec
remote 1 ap 0 ipsec type ike
remote 1 ap 0 ipsec ike protocol esp
remote 1 ap 0 ipsec ike range 192.168.2.0/24 172.16.2.0/24
remote 1 ap 0 ipsec ike encrypt des-cbc
remote 1 ap 0 ipsec ike auth hmac-sha1
remote 1 ap 0 ipsec ike lifetime 30m
remote 1 ap 0 ike mode main
remote 1 ap 0 ike shared key text ipsec_pass
remote 1 ap 0 ike proposal 0 encrypt des-cbc
remote 1 ap 0 ike proposal 0 hash hmac-md5 <---これはデフォルト値なので表示されません。
remote 1 ap 0 ike proposal 0 pfs modp1024
remote 1 ap 0 ike proposal 0 lifetime 8h
remote 1 ap 0 ike initial connect
remote 1 ap 0 ike sessionwatch 172.16.2.254 10s 3m 5s
remote 1 ap 0 ike dpd use on
remote 1 ap 0 ike dpd idle 5m
remote 1 ap 0 ike dpd retry 5s 3
remote 1 ap 0 tunnel local 192.168.1.10
remote 1 ap 0 tunnel remote 172.16.1.10
remote 1 ip route 0 172.16.2.0/24 1 0
remote 1 ip msschange 1300
syslog facility 23
time zone 0900
consoleinfo autologout 8h
telnetinfo autologout 5m
terminal pager enable
terminal charset SJIS
alias history "show logging command brief"

save

Si-R 180B
V35.03
(DPD)
configure

switch 0 use on
lan 0 mode auto
lan 0 ip address 192.168.1.10/24 3
lan 0 ip route 0 default 192.168.1.254 1 0
lan 0 ip nat mode multi any 1 5m
lan 0 ip nat static 0 192.168.1.10 500 any 500 17
lan 0 ip nat static 1 192.168.1.10 any any any 5
lan 1 mode auto
lan 1 ip address 192.168.2.254/24 3
lan 1 ip rip use v1 v1 0 off
lan 1 vlan bind switch 0
remote 1 ap 0 datalink type ipsec
remote 1 ap 0 ipsec type ike
remote 1 ap 0 ipsec ike protocol esp
remote 1 ap 0 ipsec ike range 192.168.2.0/24 172.16.2.0/24
remote 1 ap 0 ipsec ike encrypt des-cbc
remote 1 ap 0 ipsec ike auth hmac-sha1
remote 1 ap 0 ipsec ike lifetime 30m
remote 1 ap 0 ike mode main
remote 1 ap 0 ike shared key text ipsec_pass
remote 1 ap 0 ike proposal 0 encrypt des-cbc
remote 1 ap 0 ike proposal 0 hash hmac-md5 <---これはデフォルト値なので表示されません。
remote 1 ap 0 ike proposal 0 pfs modp1024
remote 1 ap 0 ike proposal 0 lifetime 8h
remote 1 ap 0 ike initial connect
remote 1 ap 0 ike sessionwatch 172.16.2.254 10s 3m 5s
remote 1 ap 0 ike dpd use on
remote 1 ap 0 ike dpd idle 5m
remote 1 ap 0 ike dpd retry 5s 3
remote 1 ap 0 tunnel local 192.168.1.10
remote 1 ap 0 tunnel remote 172.16.1.10
remote 1 ap 0 sessionwatch address 192.168.2.254 172.16.2.254
remote 1 ip route 0 172.16.2.0/24 1 0
remote 1 ip msschange 1300
syslog facility 23
time auto server 0.0.0.0 dhcp
time zone 0900
consoleinfo autologout 8h
telnetinfo autologout 5m
terminal pager enable
terminal charset SJIS
alias history "show logging command brief"

save

Si-Rシリーズでコンフィグファイルを工場出荷時に戻す場合には、「reset clear」コマンドを実施するか「ご利用にあたって」の3-3章を参照してください。


■Cisco

Cisco 1812J
(IOS Version 15.1)

!検証途中!
!
hostname R1812J
!
!
dot11 syslog
ip source-route
!
ip cef
no ipv6 cef
ip classless
!
crypto ikev2 diagnose error 50
!
! 共通鍵「ipsec_pass」を使うIKEポリシーの作成
crypto isakmp policy 1
 hash md5
 authentication pre-share
 group 2
crypto isakmp key ipsec_pass address 172.16.1.10
crypto isakmp keepalive 30
!
!
crypto ipsec transform-set IPSEC esp-des esp-sha-hmac
!
crypto map MAP-IPSEC 1 ipsec-isakmp
 set peer 172.16.1.10
 set transform-set IPSEC
 match address 100
!
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet0
 ip address 192.168.1.10 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 no shutdown
 speed auto
 crypto map MAP-IPSEC
!
interface FastEthernet1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface range fastEthernet 2 - 9
 no shutdown
!

interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
 ip address 192.168.2.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source route-map NO_NAT interface FastEthernet0 overload
ip route 0.0.0.0 0.0.0.0 172.16.2.254
!
access-list 100 permit ip 192.168.2.0 0.0.0.255 172.16.2.0 0.0.0.255
access-list 105 deny   ip 192.168.2.0 0.0.0.255 172.16.2.0 0.0.0.255
access-list 105 permit ip 192.168.2.0 0.0.0.255 any
access-list 110 permit esp host 172.16.1.10 host 192.168.1.10
access-list 110 permit udp host 172.16.1.10 eq isakmp host 192.168.1.10
!
!
route-map NO_NAT permit 10
 match ip address 105
!
end
write

 Mail to

Copyright(c) 2001-2012 ROBATA.ORG. All Right Reserved.


<IPSecトップへ戻る>