ip nat enable
6.5. NAPT 除外設定を使用した IPsec 接続を行う
アグレッシブモードで
IPsec
接続を行う場合、WAN
側インタフェースにNAPT
の設定を すると共に、IPsec
接続用のプロトコルをNAPT
対象から除外するNAPT
除外設定をする 必要があります。NAPT
除外設定を使用してインターネット上にVPN
を構築する設定を説 明します。本設定は、以下の環境を想定した設定例です。
・外部からの不正アクセスを防ぐためにフィルタ設定をすると共に、
NTP
同期用と疎通確 認用の通信を許可します。(1)IPsec接続で必要なプロトコル(ESP、IKE)
(2)NTP動作時に外部DNSサーバと接続するためのIPアドレス(プライマリ、セカンダリ)
(3)対向装置との通信確認用のICMP
・
NAPT
除外設定(esp / udp / icmp
)を行います。icmp
は疎通確認用です。■接続構成
■設定概要
以下の設定を行います。
・ フィルタ設定
・
NAPT
除外設定注意
・設定例のフィルタを設定した場合はインターネットへのアクセスが出来ません。
・
WAN
側はNAPT
が動作していますので、IN
側のフィルタ設定は出来ません。フィルタ設定より
NAPT
変換の優先順位が高いためです。FE0.0 MobileEthernet
データ通信端末
(((
モバイル 通信事業者 インターネット サービスプロバイダ 3G/LTE
動的IP
固定IP 192.0.2.2/32 IPsec
端末B
IKEモード : Aggressive IPsec通信モード : Tunnel 暗号 : AES(256bit)
認証 : SHA2 DH-group : 768bit
192.168.1.0/24 192.168.2.0/24
GE1.0 GE0.0
端末A
装置B UNIVERGE WA2610-AP UNIVERGE
WA1510
装置A
■設定(コンフィグ作成バージョン:
Ver7.3.7
)[
装置A:WA1510
設定]
! hostname WA1510
! ip access-list FLT-1 permit 50 src any dest 192.0.2.2/32
ip access-list FLT-1 permit udp src any sport eq 500 dest 192.0.2.2/32 dport eq 500 ip access-list FLT-1 permit udp src any sport any dest any dport eq 53
ip access-list FLT-1 permit icmp src any dest 192.0.2.2/32
! no wireless-adapter enable
! interface GigaEthernet0.0 no ip address
no shutdown
! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown
! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown
! interface MobileEthernet0.0 ip address dhcp
ip filter FLT-1 10 out ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp mobile id IP example.net auto-connect
no shutdown
! interface IPsec0
ip address unnumbered ip tcp adjust-mss auto
! ip route default MobileEthernet0.0 ip route 192.168.2.0/24 IPsec0
! proxy-dns ip enable
proxy-dns server default MobileEthernet0.0 dhcp
! ike proposal ikeprop1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256 lifetime 28800
! ike policy ikepol1 mode aggressive local-id key-id test2
dpd-keepalive enable ph1 20 3
proposal ikeprop1
pre-shared-key plain test
! ipsec proposal ipsecprop1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800
! ipsec policy ipsecpol1 local-id 192.168.1.0/24 remote-id 192.168.2.0/24 proposal ipsecprop1
! ipsec profile ipsecprof1 mode tunnel
ipsec policy ipsecpol1 ike policy ikepol1
source MobileEthernet0.0 peer 192.0.2.2
! led vpn ipsec
!
[
装置B:WA2610-AP
設定]
! hostname WA2610-AP
! ip dhcp-server enable ip dhcp-server profile default default-gateway auto dns-server auto subnet-mask auto
! interface GigaEthernet0.0 ip address 192.0.2.2/24 ip napt enable
ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp no shutdown
! interface GigaEthernet1.0 ip address 192.168.2.254/24 ip dhcp-server binding default no shutdown
! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown
! interface IPsec0
ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1
! ip route 192.168.1.0/24 IPsec0 ip route default 192.0.2.1
! proxy-dns ip enable
proxy-dns server default 172.16.2.1 172.16.2.2
! ike proposal ikeprop1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256 lifetime 28800
! ike policy ikepol1 mode aggressive remote-id key-id test2
dpd-keepalive enable ph1 20 3 proposal ikeprop1
pre-shared-key plain test
! ipsec proposal ipsecprop1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800
! ipsec policy ipsecpol1 local-id 192.168.2.0/24 remote-id 192.168.1.0/24 commit-bit enable
proposal ipsecprop1
! ipsec profile ipsecprof1 mode tunnel
ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer any
!
■解説
[
装置A:WA1510
設定]
ip access-list FLT-1 permit 50 src any dest 192.0.2.2/32
ESP(パケットの認証、ペイロード部の暗号化)を行うためのパケットを許可します。
ip access-list FLT-1 permit udp src any sport eq 500 dest 192.0.2.2/32 dport eq 500 IKE(秘密鍵情報の交換)を安全に行うためのパケットを許可します。
ip access-list FLT-1 permit udp src any sport any dest any dport eq 53 NTP動作時に外部のDNSサーバと通信するためのアドレスを許可します。
ip access-list FLT-1 permit icmp src any dest 192.0.2.2/32 対向装置との疎通確認のためのアドレスを許可します。
interface MobileEthernet0.0
ip filter FLT-1 10 out外部からの不正アクセス対応のフィルタ指定をします。
ip napt enable
インターネットアクセスを行うため