NAPT 除外設定を使用した IPsec 接続を行う

アグレッシブモードで

IPsec

接続を行う場合、

WAN

側インタフェースに

NAPT

の設定を すると共に、

IPsec

接続用のプロトコルを

NAPT

対象から除外する

NAPT

除外設定をする 必要があります。

NAPT

除外設定を使用してインターネット上に

VPN

を構築する設定を説 明します。

本設定は、以下の環境を想定した設定例です。

・外部からの不正アクセスを防ぐためにフィルタ設定をすると共に、

NTP

同期用と疎通確 認用の通信を許可します。

（1）IPsec接続で必要なプロトコル（ESP、IKE）

（2）NTP動作時に外部DNSサーバと接続するためのIPアドレス（プライマリ、セカンダリ）

（3）対向装置との通信確認用のICMP

・

NAPT

除外設定（

esp / udp / icmp

）を行います。

icmp

は疎通確認用です。

■接続構成

■設定概要

以下の設定を行います。

・ フィルタ設定

・

NAPT

除外設定

注意

・設定例のフィルタを設定した場合はインターネットへのアクセスが出来ません。

・

WAN

側は

NAPT

が動作していますので、

IN

側のフィルタ設定は出来ません。

フィルタ設定より

NAPT

変換の優先順位が高いためです。

FE0.0 MobileEthernet

データ通信端末

（（（

モバイル 通信事業者 インターネット サービスプロバイダ 3G/LTE

動的IP

固定IP 192.0.2.2/32 IPsec

端末Ｂ

IKEモード : Aggressive IPsec通信モード : Tunnel 暗号 : AES(256bit)

認証 : SHA2 DH-group : 768bit

192.168.1.0/24 192.168.2.0/24

GE1.0 GE0.0

端末Ａ

装置Ｂ UNIVERGE WA2610-AP UNIVERGE

WA1510

装置Ａ

■設定（コンフィグ作成バージョン：

Ver7.3.7

）

[

装置Ａ：

WA1510

設定

]

! hostname WA1510

! ip access-list FLT-1 permit 50 src any dest 192.0.2.2/32

ip access-list FLT-1 permit udp src any sport eq 500 dest 192.0.2.2/32 dport eq 500 ip access-list FLT-1 permit udp src any sport any dest any dport eq 53

ip access-list FLT-1 permit icmp src any dest 192.0.2.2/32

! no wireless-adapter enable

! interface GigaEthernet0.0 no ip address

no shutdown

! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown

! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown

! interface MobileEthernet0.0 ip address dhcp

ip filter FLT-1 10 out ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp mobile id IP example.net auto-connect

no shutdown

! interface IPsec0

ip address unnumbered ip tcp adjust-mss auto

! ip route default MobileEthernet0.0 ip route 192.168.2.0/24 IPsec0

! proxy-dns ip enable

proxy-dns server default MobileEthernet0.0 dhcp

! ike proposal ikeprop1

encryption-algorithm aes256-cbc

authentication-algorithm hmac-sha2-256 lifetime 28800

! ike policy ikepol1 mode aggressive local-id key-id test2

dpd-keepalive enable ph1 20 3

proposal ikeprop1

pre-shared-key plain test

! ipsec proposal ipsecprop1

protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800

! ipsec policy ipsecpol1 local-id 192.168.1.0/24 remote-id 192.168.2.0/24 proposal ipsecprop1

! ipsec profile ipsecprof1 mode tunnel

ipsec policy ipsecpol1 ike policy ikepol1

source MobileEthernet0.0 peer 192.0.2.2

! led vpn ipsec

!

[

装置Ｂ：

WA2610-AP

設定

]

! hostname WA2610-AP

! ip dhcp-server enable ip dhcp-server profile default default-gateway auto dns-server auto subnet-mask auto

! interface GigaEthernet0.0 ip address 192.0.2.2/24 ip napt enable

ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp no shutdown

! interface GigaEthernet1.0 ip address 192.168.2.254/24 ip dhcp-server binding default no shutdown

! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown

! interface IPsec0

ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1

! ip route 192.168.1.0/24 IPsec0 ip route default 192.0.2.1

! proxy-dns ip enable

proxy-dns server default 172.16.2.1 172.16.2.2

! ike proposal ikeprop1

encryption-algorithm aes256-cbc

authentication-algorithm hmac-sha2-256 lifetime 28800

! ike policy ikepol1 mode aggressive remote-id key-id test2

dpd-keepalive enable ph1 20 3 proposal ikeprop1

pre-shared-key plain test

! ipsec proposal ipsecprop1

protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800

! ipsec policy ipsecpol1 local-id 192.168.2.0/24 remote-id 192.168.1.0/24 commit-bit enable

proposal ipsecprop1

! ipsec profile ipsecprof1 mode tunnel

ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer any

!

■解説

[

装置Ａ：

WA1510

設定

]

ip access-list FLT-1 permit 50 src any dest 192.0.2.2/32

ESP（パケットの認証、ペイロード部の暗号化）を行うためのパケットを許可します。

ip access-list FLT-1 permit udp src any sport eq 500 dest 192.0.2.2/32 dport eq 500 IKE（秘密鍵情報の交換）を安全に行うためのパケットを許可します。

ip access-list FLT-1 permit udp src any sport any dest any dport eq 53 NTP動作時に外部のDNSサーバと通信するためのアドレスを許可します。

ip access-list FLT-1 permit icmp src any dest 192.0.2.2/32 対向装置との疎通確認のためのアドレスを許可します。

interface MobileEthernet0.0

ip filter FLT-1 10 out

外部からの不正アクセス対応のフィルタ指定をします。

ip napt enable

インターネットアクセスを行うため

NAPT

機能を有効化します。

ip napt reserve esp

ドキュメント内 はじめに はじめに 本設定事例集では UNIVERGE WA シリーズの設定事例について説明しています ルータと組み合わせて使用する構成では UNIVERGE IX2000/IX3000 シリーズの設定例を記載しています 各コマンドの詳細については コマンドリファレンスや機能説明書をご参照下さい 本 (ページ 69-73)