peerFQDN を使用して動的 IP アドレス環境で IPsec 接続を行う

ip napt reserve udp 4500

9.5. peerFQDN を使用して動的 IP アドレス環境で IPsec 接続を行う

動的

IP

アドレス対向の環境において、

Dynamic DNS

と組み合わせることで、対向装置の

IP

アドレスを

FQDN

指定することが可能となり、

IPsec

接続を確立することが可能です。

WAN

回線の

IP

アドレスが接続毎に変化する契約の場合でも

IPsec

通信が可能となります。

IPsec

のメインモードで

peer

コマンドの

FQDN

オプションを使用した場合の設定を説明

します。

本設定は、以下の環境を想定した設定例です。

・

IPsec

アグレッシブモード（装置Ａはイニシエータ、装置Ｂはレスポンダ）を使用しま

す。

・暗号化アルゴリズムは

AES-CBC

、認証アルゴリズムは

SHA2 MAC

とします。

・装置Ａ、Ｂとも

WAN

側

IP

アドレスは動的

IP

アドレスを使用します。

・装置Ａ、Ｂともインターネットアクセスが可能なように

NAPT

を設定します。

・

Dynamic DNS

サービス名を

testddns

、ユーザ名を

abcdef

、パスワードを

dynamic

、

FQDN

を

wa*.example.net

と設定します。サービスは架空のものです。

■接続構成

■設定概要

以下の設定を行います。

・ルータモード設定

・

IPsec

インタフェース設定

・

IKE

プロポーザル設定

・

IKE

ポリシー設定

・

IPsec

プロポーザル設定

・

IPsec

ポリシー設定

GE1.0 ME0.0

(内蔵モジュール)

（（（

モバイル通信事業者インターネットサービスプロバイダ動的IP

IPsec

端末Ｂ

IKEモード : aggressive IPsec通信モード : Tunnel 暗号 : AES(256bit)

認証 : SHA2 DH-group : 768bit 192.168.1.0/24

192.168.2.0/24 GE1.0 PPPoE

端末Ａ

装置Ｂ動的IP

DynamicDNS

サービス名称：testddns ユーザ名 : abcdef パスワード : dynamic

FQDN : wa2.example.com

装置Ａ

UNIVERGE WA2610-AP UNIVERGE

WA1511

・

LAN

インタフェース設定

・

WAN

インタフェース設定

・スタティックルート設定

・プロキシ

DNS

設定

・

Dynamic DNS

設定

メモ

・メインモードの利用はソフトウェアバージョン

4.0

から、ソフトウェアバージョン

3.2

以前はアグレッシブモードのみ利用可能です。

・

Peer FQDN

の設定はアグレッシブモードのイニシエータ側でのみ利用できます。

・装置

A

に

IKE

ポリシーのアグレッシブモードの

DPD KeepAlive

の設定をすることを推奨します。

DPD KeepAlive

の設定がされないと、装置

B

側の回線が切断された場合、

SA

が切れたのち、

rekey

によって

SA

が更新されるまで通信ができません。

・

Version 3.0.x

、

3.1.x

ではトンネルモードのみサポートのため、本コマンドの有無に関わ

らず

"tunnel"

以外の動作は出来ません。

■設定（コンフィグ作成バージョン：

Ver7.1.3

）

[

装置Ａ：

WA1511

設定

]

hostname WA1511

! no wireless-adapter enable

! interface GigaEthernet0.0 ip address 192.168.1.254/24 no shutdown

! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown

! interface MobileEthernet0.0 ip address dhcp

ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp mobile id IP example.net auto-connect

no shutdown

! interface IPsec0

ip address unnumbered ipsec map ipsecprof1 no shutdown

! ip route 192.168.2.0/24 IPsec0 ip route default MobileEthernet0.0

! proxy-dns ip enable

proxy-dns server default MobileEthernet0.0 dhcp

! ike proposal ikeprop1

encryption-algorithm aes256-cbc

authentication-algorithm hmac-sha2-256 lifetime 28800

! ike policy ikepol1 mode aggressive local-id key-id test2 dpd-keepalive enable proposal ikeprop1

pre-shared-key plain test

! ipsec proposal ipsecprop1

protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800

! ipsec policy ipsecpol1 local-id 192.168.1.0/24

remote-id 192.168.2.0/24 proposal ipsecprop1

! !

ipsec profile ipsecprof1 mode tunnel

ipsec policy ipsecpol1 ike policy ikepol1

source MobileEthernet0.0 peer wa2.example.net

[

装置Ｂ：

WA2610-AP

設定

]

hostname WA2610-AP

! ppp profile pppoe

authentication username [email protected] authentication password plain test

! interface GigaEthernet0.0 no ip address

encapsulation PPPoE0 no shutdown

! interface GigaEthernet1.0 ip address 192.168.2.254/24 no shutdown

! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown

! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp no shutdown

! interface IPsec0

ip address unnumbered ipsec map ipsecprof1 no shutdown

! ip route 192.168.1.0/24 IPsec0 ip route default PPPoE0

! proxy-dns ip enable

proxy-dns server default PPPoE0 ipcp

! ike proposal ikeprop1

encryption-algorithm aes256-cbc

authentication-algorithm hmac-sha2-256 lifetime 28800

! ike policy ikepol1 mode aggressive remote-id key-id test2 dpd-keepalive enable proposal ikeprop1

pre-shared-key plain test

! ipsec proposal ipsecprop1

protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800

! ipsec policy ipsecpol1 local-id 192.168.2.0/24 remote-id 192.168.1.0/24 commit-bit enable

proposal ipsecprop1

! ipsec profile ipsecprof1 mode tunnel

ipsec policy ipsecpol1 ike policy ikepol1 source PPPoE0 peer any

! ddns enable ddns interval 1

ddns account testddns interface PPPoE0 wa2.example.net username abcdef

password plain dynamic

■解説

[

装置Ａ：

WA1511

設定

] ike proposal ikeprop1

IKE

プロポーザルを

"ikeprop1"

で設定します。

encryption-algorithm aes256-cbc

authentication-algorithm hmac-sha2-256

使用するセキュリティプロトコルとアルゴリズムを設定します。

暗号アルゴリズムを

"aes256-cbc"

、認証アルゴリズムを

"hmac-sha2-256"

に設定します。

lifetime 28800

IKE SA

の有効期間を

"28800"

に設定します。（初期値：

28800

）

ike policy ikepol1

IKE

ポリシーを

"ikepol1"

で設定します。

mode aggressive

動作モードを

"aggressive"

に設定します。

dpd-keepalive enable

IPsec

トンネルの通信断をリアルタイムに検出するために

DPD-KeepAlive

機能を有効

化します。

DPD-KeepAlive

の応答を受信できなくなると、

SA

を削除します。

回線契約が従量課金の場合、

DPD-KeepAlive

は課金対象となりますので送信間隔やリトライ回数にご注意ください。

local-id key-id test2

IKE

フェーズ

1

で送信する自装置の

ID

ペイロードを設定します。

ローカル

ID

を

"key-id test2"

に設定します。

動的

IP

が付与される拠点側は、ローカル

ID

を指定します。

proposal ikeprop1

IKE

プロポーザル

"ikeprop1"

を適用します。

pre-shared-key plain test

事前共有鍵（

Pre-shared Key

）を文字列

"test"

に設定します。

ipsec proposal ipsecprop1

IKE

プロポーザルを

"ipsecprop1"

で設定します。

protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256

使用するセキュリティプロトコルとアルゴリズムを設定します。

暗号アルゴリズムを

"aes256-cbc"

、認証アルゴリズムを

"hmac-sha2-256"

に設定します。

lifetime 28800

IPsec SA

の有効期間を

"28800"

に設定します。（初期値：

28800

）

ipsec policy ipsecpol1

IPsec

ポリシーを

"ipsecpol1"

で設定します。

local-id 192.168.1.0/24

IKE

フェーズ

2

で送信する自装置側の

ID

ペイロードを設定します。

ローカル

ID

を

"192.168.1.0/24"

に設定します。

remote-id 192.168.2.0/24

IKE

フェーズ

2

で受信する対向装置の

ID

ペイロードを設定します。

リモート

ID

を

"192.168.2.0/24"

に設定します。

ローカル

ID

、リモート

ID

は対向拠点と対になるように設定する必要があります。

proposal ipsecprop1

IPsec

プロポーザル

"ipsecprop1"

を適用します。

ipsec profile ipsecprof1

IPsec

プロファイルを

"ipsecprof1"

で設定します。

mode tunnel

IPsec

カプセル化モードを

"tunnel"

に設定します。

ipsec policy ipsecpol1

IPsec

ポリシー

"ipsecpol1"

を適用します。

ike policy ikepol1

IKE

ポリシー

"ikepol1"

を適用します。

source MobileEthernet0.0

IPsec SA

を確立するソースインタフェースを

"FastEthernet1.0"

に設定します。

peer wa2.example.net

対向先

(Peer)

には

FQDN

を設定します。対向先

(Peer)

は動的

IP

アドレスですが、

DNS

サービスを利用して

FQDN

から

IP

アドレスを解決します。

interface IPsec0

IPsec

通信を行うための専用の論理インタフェース

"IPsec0"

を設定します。

ip address unnumbered

論理インタフェース

IPsec0

の

IP

アドレスは通信に使用しませんので、

IP

アドレス付与は必要ありませんが、ルーティング設定を行いますので

”unnumbered”

を設定します。

ipsec map ipsecprof1

利用する

IPsec

プロファイル

"ipsecprof1"

を適用します。

IPsec

インタフェースでは

IPsec

プロファイルで指定されている

IPsec

カプセル化モ

ードがトンネルモード時のみ有効となります。

ip tcp adjust-mss auto

TCP MSS

調整機能を

MSS

自動計算

"auto"

に設定します。

ip route 192.168.2.0/24 IPsec0

IPsec

通信が必要なパケットを、

IPsec

インタフェースに転送します。

ip route default MobileEthernet0.0

インターネットアクセスのためにデフォルトルートを設定します。

interface MobileEthernet0.0 ip napt enable

インターネットアクセスを行うため

NAPT

機能を有効化します。

ip napt reserve esp ip napt reserve udp 500

ESP

、

IKE(UDP500)

を

NAPT

処理の対象から外します。

ip napt reserve icmp

ICMP

を

NAPT

処理の対象から外します。

ip napt reserve icmp

は疎通確認の時のみに設定してください。

フィルタが存在しない状態での設定はセキュリティが低くなる恐れがあります。

疎通確認の必要がない場合はフィルタの設定をおこなうか、設定を削除することをお薦めします。

proxy-dns ip enable

ドキュメント内はじめにはじめに本設定事例集では UNIVERGE WA シリーズの設定事例について説明していますルータと組み合わせて使用する構成では UNIVERGE IX2000/IX3000 シリーズの設定例を記載しています各コマンドの詳細についてはコマンドリファレンスや機能説明書をご参照下さい本 (ページ 119-125)