• 検索結果がありません。

リモートアクセス型L2TP+IPsec VPN 設定例

N/A
N/A
Protected

Academic year: 2021

シェア "リモートアクセス型L2TP+IPsec VPN 設定例"

Copied!
19
0
0

読み込み中.... (全文を見る)

全文

(1)

リモートアクセス型L2TP+IPsec VPN 設定例

(既設FWあり、既設NW変更なし、Global IP使用)

本資料は、弊社での検証に基づき Firewall、ARシリーズ、VPNクライアント

(2)

目次

構成概要

構成図

パラメータ

ARルーターの設定手順

VPNクライアントの設定

(3)

構成概要

本資料では、FirewallのDMZ側に接続されたARルーターにVPN接続を行う設定方法をご紹介します。

Firewallの設定方法については、ご使用のFirewall製品のマニュアルをご参照ください。

本構成について FirewallのDMZ側にARルーターを接続します。 ARルーターのeth0にGlobal IPアドレスが設定されており、ARルーターでもFirewall機能を使用します。 VPNクライアントはTrust側に接続されたDNSサーバーを使用して名前解決を行います。 VPN接続後、Intranet内の端末にリモートデスクトップ接続を行います。

(4)

構成図

インターネット インターネット 3Gネットワーク 3Gネットワーク ARルーター L2SW Firewall VPNトンネル VPNトンネル IP: 10.100.10.254/24 zone: DMZ Interface: eth0 IP: 10.100.10.1/24 IP: 192.168.1.1/24 zone: Trust DNSサーバー IP: 192.168.1.100/24 GW: 192.168.1.1 IP: 192.168.1.0/24 GW: 192.168.1.1 iPhone, iPad, Android, PC

192.168.2.1-100 (L2TP経由でIP Poolより払い出し) VPNクライアント 10.100.10.1宛にVPN接続 10.100.10.1宛にVPN接続 Firewall無効 Firewall無効  192.168.2.1-100宛のパケットを10.100.10.1に転送するスタティックルートを追加  以下のFirewallポリシーを設定  192.168.2.1-100宛のパケットを10.100.10.1に転送するスタティックルートを追加  以下のFirewallポリシーを設定 Intranet 赤色表記のIPアドレス:グローバルIPアドレス 黒色表記のIPアドレス:プライベートIPアドレス 赤色表記のIPアドレス:グローバルIPアドレス 黒色表記のIPアドレス:プライベートIPアドレス 用途 動作 送信元 送信先

ZONE IPアドレス ZONE IPアドレス ポート番号 IPsec 許可 Untrust Any DMZ 10.100.10.1 UDP 500,4500

ESP (50番) DNS 許可 DMZ 192.168.2.1-100 Trust 192.168.1.100 TCP 53 UDP 53 リモートデスクトップ※ 許可 DMZ 192.168.2.1-100 Trust 192.168.1.0 TCP3389 ※本資料ではVPN接続時、VPNクライアントからIntranet内の端末にリモートデスクトップ接続を行うものとしてご説明します。 他のサービスを使用する場合は、送信元IPアドレス:192.168.2.1-100のパケットを許可してください。 IP: 111.11.11.1/24 zone: Untrust

(5)

ARルーターのパラメータ

本資料では以下のパラメータでの設定例をご紹介します。 ルーターの基本設定 接続してきたVPNクライアントには、IPアドレスプール「VPNC」(192.168.2.1~192.168.2.100)から空きアドレスを動的に 割り当てます。また、クライアントの認証にはRADIUSサーバーを使用します。 WAN側物理インターフェース eth0 WAN側IPアドレス 10.100.10.1/24(eth0)

IKEフェーズ1の認証方式 事前共有鍵(pre-shared key) 事前共有鍵(pre-shared key) secret(文字列)

DPDによる死活監視 行う(対向機器がDPDをサポートしている場合) NAT-Traversalのネゴシエーション 行う

(6)

工場出荷時設定のCLIの ログインID/PW は下記の通りです。

ID : manager

PW : friend

本資料はAR415S/AR550S/AR560S/AR570Sのファームウェアバージョン 2.9.2-00

以上に適応可能です。AR260S V2はスマートフォンからのリモートアクセスに対応し

ておりません。

各設定画面のパラメータ詳細については、ユーザーマニュアルや設定例をご参照くだ

さい。

http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/index.html

http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-93.html

http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-195.html

ARルーターの設定手順

(7)

Note ‐ セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。

IPアドレスおよびSecurity Officer レベルユーザーの作成

1. IPモジュールを有効にします。 ENABLE IP ↓ 2. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成 します。PWは「secoff」とします。

ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER ↓

(8)

ARルーターの設定手順

WAN側インターフェースおよびスタティックルートの設定

1. WAN側(eth0)インターフェースにIPアドレス「10.100.10.1」を設定します。

ADD IP INT=eth0 IP=10.100.10.1 MASK=255.255.255.0 ↓

2. デフォルトルートを設定します。

(9)

ARルーターの設定手順

認証ユーザーの登録

1. 暗号化されたL2TPトンネル経由でPPP接続してくるVPNクライアントを認証するためのユーザー(PPP ユーザー)を登録します。

ADD USER=AAA PASSWORD=PasswordA LOGIN=NO ↓ ADD USER=BBB PASSWORD=PasswordB LOGIN=NO ↓ ADD USER=CCC PASSWORD=PasswordC LOGIN=NO ↓ ADD USER=DDD PASSWORD=PasswordD LOGIN=NO ↓

2. IPアドレスプール「VPNC」を作成し、接続してきたVPNクライアントに割り当てるアドレスの範囲を指定 します。ここでは100台分のアドレスプールを用意しています。

(10)

ARルーターの設定手順

L2TPプロトコルならびにPPP TEMPLATEの設定

1. L2TP経由でVPNクライアントがPPP接続してきたときに動的に作成するPPPインターフェースのテンプ レート「1」を作成します。接続時の認証にはCHAPを使い、CHAPの再認証はOFFにし、VJ圧縮を有効 にします。また、アドレス割り当てにはIPアドレスプール「VPNC」を使うようにします。

CREATE PPP TEMPLATE=1 IPPOOL=VPNC AUTHENTICATION=CHAP BAP=OFF ECHO=30 RECHALLENGE=OFF VJC=ON ↓ 2. L2TPモジュールを有効にします。 ENABLE L2TP ↓ 3. L2TPサーバーをBOTHモードで起動します。 ENABLE L2TP SERVER=BOTH ↓ 4. VPNクライアントにDNSサーバーアドレス「192.168.1.100」を通知します。 SET PPP DNSPRIMARY=192.168.1.100 ↓ 5. L2TP経由でVPNクライアントが接続してきたときに使用するPPPテンプレートを指定します。ここでは クライアントのアドレスが不定なので、どのアドレスからでも接続を受け入れるように設定します。

ADD L2TP IP=0.0.0.0-255.255.255.255 PPPTEMPLATE=1 ↓

Note –VPNクライアントにDNSサーバーを通知する場合に必要な設定です。本コマンドを使用せず、

(11)

ARルーターの設定手順

Firewallの設定

1. ファイアウォール機能を有効にします。

ENABLE FIREWALL ↓

2. ファイアウォールの動作を規定するファイアウォールポリシーを作成します。

CREATE FIREWALL POLICY=net ↓

3. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。

ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓

4. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対し て、ただちにTCP RSTを返すよう設定します。

DISABLE FIREWALL POLICY=net IDENTPROXY ↓

5. VPNクライアントがL2TP経由で接続してきたときに動的に作成されるPPPインターフェース用のファイア

(12)

ARルーターの設定手順

6. 次に、ダイナミックインターフェーステンプレート「vpnif」の対象ユーザーを指定します。USERパラメーター で指定したユーザーが接続してきたときに動的作成されるPPPインターフェースは、ADD FIREWALL POLICY INTERFACEコマンドで「DYN-templatename」として参照できます(templatenameはテンプレート 名)。ここでは対象ユーザーとして「ANY」を指定しています。これは、PPPの認証をパスしたすべてのユー ザーが対象であることを示します。

ADD FIREWALL POLICY=net DYNAMIC=vpnif USER=ANY ↓

7. WAN側インターフェース(eth0)をPUBLIC(外部)に設定します。

ADD FIREWALL POLICY=net INT=eth0 TYPE=PUBLIC ↓

8. L2TP経由でユーザーが接続してきたときに動的作成されるPPPインターフェース(vpnif)をPRIVATE(内 部)に設定します。

(13)

ARルーターの設定手順

9. VPNクライアントから受信したIKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)がファイアウォールを通 過できるように設定します。

ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=eth0 PROT=UDP PORT=500 IP=10.100.10.1 ↓ ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=eth0 PROT=UDP PORT=4500 IP=10.100.10.1 ↓

10. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルール を設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを 適用することを示します。よって、以下のコマンドは、「取り出したパケットがUDPで終点ポートが1701番(L2TP パケット)ならば許可する」の意味になります。

(14)

ARルーターの設定手順

ISAKMPの設定

1. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」 という文字列で指定します(VPNクライアントにも同じ値を設定)。

CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓

2. VPNクライアントからのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。

ISAKMPメッセージの暗号化には「3DES」、認証には「SHA」アルゴリズム、Oakleyグループは「2」を使用し、 VPNクライアントとの認証には前の手順で作成した事前共有鍵(鍵番号「1」)を使います。さらに、クライアン トのIPアドレスが不定なためPEERにANYを指定し、NAT-Traversalを有効にしています。

CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE NATTRAVERSAL=TRUE ↓ SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA GROUP=2 ↓

3. DPDを有効にします。

SET ISAKMP POLICY="i" DPDMODE=both ↓

Note ‐ CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)な

(15)

ARルーターの設定手順

IPsecの設定

1. IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号 化方式 「AES256bit」、認証方式「SHA」に設定します。この例ではL2TPによってトンネリングを行うため、デ フォルトのトンネルモードは使用せずに、トランスポートモードを使用します。UDP1701番ポートを使って送 受信されるL2TPパケットだけを暗号化する形になります。

CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES256 HASHALG=SHA MODE=TRANSPORT ↓

2. 同様にIPsec通信の仕様を定義するSAスペック「2」を作成します。鍵管理方式「ISAKMP」、プロトコル 「ESP」、暗号化方式 「AES128bit」、認証方式「SHA」に設定します。

CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES128 HASHALG=SHA MODE=TRANSPORT ↓

3. 同様にIPsec通信の仕様を定義するSAスペック「3」を作成します。鍵管理方式「ISAKMP」、プロトコル 「ESP」、暗号化方式 「3DES」、認証方式「SHA」に設定します。

CREATE IPSEC SASPEC=3 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA MODE=TRANSPORT ↓

4. SAスペック「1」、「2」、「3」からなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定し ます。

(16)

ARルーターの設定手順

5. IKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)を素通しさせるIPsecポリシー「isa」「nat」を 作成します。

CREATE IPSEC POLICY=isa INT=eth0 ACTION=PERMIT LPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY=nat INT=eth0 ACTION=PERMIT LPORT=4500 TRANSPORT=UDP ↓

6. L2TPパケットを暗号化するIPsecポリシー「L2」をeth0インターフェースに対して作成します。鍵管理方式に は「ISAKMP」を指定します。VPNクライアントのIPアドレスが不定なため、PEERにはISAKMPの認証をパスし た相手という意味の「DYNAMIC」を、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定しま す。また、LPORTとTRANSPORTで対象となるパケットの条件(ここではL2TPパケット)を指定します。

CREATE IPSEC POLICY=L2 INT=eth0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓ SET IPSEC POLICY=L2 LPORT=1701 TRANSPORT=UDP ↓

7. インターネットへの平文通信を許可するIPsecポリシー「inet」をeth0インターフェースに対して作成します。

CREATE IPSEC POLICY="inet" INT=eth0 ACTION=PERMIT ↓

Note ‐ NAT‐Traversalを使用する場合は、必ずIKEとNAT‐Tのパケットが通過できるような設定を行ってください。

Note ‐ 「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICY

コマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメータを使用します。

Note ‐ インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポ

(17)

ARルーターの設定手順

8. IPsecモジュールを有効にします。 ENABLE IPSEC ↓ 9. ISAKMPモジュールを有効にします。 ENABLE ISAKMP ↓ 10. Security Officerレベルのユーザーでログインしなおします。 LOGIN secoff ↓ 11. 動作モードをセキュリティーモードに切り替えます。

ENABLE SYSTEM SECURITY_MODE ↓

12. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

CREATE CONFIG=router.cfg ↓

Note ‐ セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security 

(18)

VPNクライアントの設定

VPNクライアントの設定手順は、以下を参照下さい。

VPN接続先のIPアドレスやパスワード等、各種パラメータがそのまま流用できます。

■参照先

CentreCOM AR560S 設定例集 2.9 #197

「リモートアクセス型L2TP+IPsec VPNとResponder Rekey Extensionによる死活監視 (クライアントはWindows XP/Vista/7、iPhone/iPadおよびAndroid(TM)端末)」

http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-197.html

※Windows接続検証は以下を参照し実施しております(当社独自調査であり、接続を保証するものではございません)。

WindowsXP (Service Pack 3) : Microsoftサポート 文書番号: 885407 Windows7 : Microsoftサポート 文書番号: 926179

(19)

参照

関連したドキュメント

Abstract: The Institute of Developing Economies (IDE) recently drew up a new policy for dissemination of research outcomes. The policy defines principles of open access and the

近年の動機づ け理論では 、 Dörnyei ( 2005, 2009 ) の提唱する L2 動機づ け自己シス テム( L2 Motivational Self System )が注目されている。この理論では、理想 L2

Patel, “T,Si policy inventory model for deteriorating items with time proportional demand,” Journal of the Operational Research Society, vol.. Sachan, “On T, Si policy inventory

直流抵抗 温度上昇 PART

本手順書は複数拠点をアグレッシブモードの IPsec-VPN を用いて FortiGate を VPN

【原因】 自装置の手動鍵送信用 IPsec 情報のセキュリティプロトコルと相手装置の手動鍵受信用 IPsec

This policy shows TMG’s approaches toward the formulation of our Climate Change Adaptation Plan, in order to avoid or reduce as much as possible the impacts on or damage to the

 今回、史上最多となる 20 大学 53 チームが参加した Sport Policy for Japan 2016