IPsec トンネル設定

本節では、IPsecを用いたVPNの設定方法についてご説明します。設定方法を説明するために、下 記のネットワーク例を使用します。

※ 本節ではインターネットとの接続インターフェイスにPPPoE0を使用しています。

ἩἻỶἫὊἚỴἛἾἋ 192.168.2.1

ἂἿὊἢἽỴἛἾἋ 10.0.2.2

ἩἻỶἫὊἚỴἛἾἋ 192.168.1.1/24

SEIL B

SEIL A

ỶὅἑὊ἟ἕἚ

἟ἕἚὁὊἁB 192.168.2.0/24

἟ἕἚὁὊἁA 192.168.1.0/24

IPsecἚὅ἟Ἵ

ἂἿὊἢἽỴἛἾἋ PPPoEỂѣႎỆл࢘

※ 本節では説明のため、「10.0.0.0〜10.255.255.255」「172.16.0.0〜172.16.255.255」までのアド レスをグローバルアドレスとして表現しています。

このネットワーク例において、ネットワークA(192.168.1.0/24)とネットワークB(192.168.2.0/24)

の間で、IPsecトンネルによるLAN間接続VPNを実現します。以下では、SEIL Aの設定についてご

7.2.拡張設定

説明します。

（1）IPsecトンネル機能の設定

「IPsecトンネル機能の有効/無効」で「有効」を選択してください。なお、「IKE交換モード」は

「メインモード」を選択してください。

（2）IPsecトンネル端点のIPアドレスの設定

「SEIL側IPアドレス」では、IPsecトンネルのSEIL側のアドレスが自動的に表示されます(使 用例では10.0.1.1)。もし、このフィールドに“0.0.0.0”が表示されている場合には、以下の原因 が考えられます。

1. 基本設定による接続設定が終っていない 2. 回線障害やコネクタ抜けなどが発生している

(1)による設定が完了している場合には、システム管理メニューの「PPPoEの接続・切断」、動作

7.2.拡張設定

「SEIL 側 LANのネットワークアドレス」には、ネットワーク A のネットワークアドレス

「192.168.1.0/ 24」を入力してください。「対向機器側LANのネットワークアドレス」には、ネッ トワークBのネットワークアドレス「192.168.2.0 / 24」を入力してください。

（4） トンネル強度の設定

「強度の選択」では、「強い」「普通」「弱い」のいずれかを選択してください。ここでの「鍵長」は 事前共有鍵(「事前共有鍵の設定」で入力します)の長さを表します。

強度が強い程、解読はされにくくなりますが、接続にかかる時間が長くなったりスループットが 低下したりする場合があります。

以下に各強度の具体的なパラメータ(IKE-SA, IPsec-SA)表を示します。他社製ルータとの接続 の際に参考にしてください。

IKE-SA

強度 暗号 ハッシュ DHグループ 強い 3DES HMAC-SHA1 modp1536(Group5) 普通 3DES HMAC-SHA1 modp1024(Group2) 弱い DES HMAC-MD5 modp768(Group1)

IPsec-SA

強度 暗号 ハッシュ DHグループ 強い 3DES HMAC-SHA1 modp1536(Group5) 普通 3DES HMAC-SHA1 modp1024(Group2) 弱い DES HMAC-MD5 modp768(Group1)

7.2.拡張設定

（5） 事前共有鍵の設定

「事前共有鍵」に、対向ルータ(SEIL-B)との間で共有する秘密情報を英数字ならびに空白、記号 で入力してください。長さは「トンネル強度の設定」で設定した強度によって異なります。正し い長さで入力してください。長くても、短くてもエラーとなります。

（6） セッション鍵の更新間隔の設定

「IKEセッション鍵の更新間隔」ではIKEセッション鍵の更新間隔を入力します。デフォルト値 は8時間です。「IPsecセッション鍵の更新間隔 」ではIPsecセッション鍵の更新間隔を入力し ます。デフォルト値は1時間です。

※ IKEセッションはphase1、IPsecセッションはphase2を示します

以上の項目の入力が完了したら「設定確認」ボタンを押して設定を行います。設定が完了すると、

SEILは対向ルータに対してIKEセッションを確立しようとします。動作状況メニューの「IPsec 情報」にて、状況を確認してください。

7.2.拡張設定