リモートアクセス型L2TP+IPsec VPN 設定例
(既設FWあり、既設NW変更なし、Global IP使用)
本資料は、弊社での検証に基づき Firewall、ARシリーズ、VPNクライアント目次
構成概要
構成図
パラメータ
ARルーターの設定手順
VPNクライアントの設定
構成概要
本資料では、FirewallのDMZ側に接続されたARルーターにVPN接続を行う設定方法をご紹介します。
Firewallの設定方法については、ご使用のFirewall製品のマニュアルをご参照ください。
本構成について FirewallのDMZ側にARルーターを接続します。 ARルーターのeth0にGlobal IPアドレスが設定されており、ARルーターでもFirewall機能を使用します。 VPNクライアントはTrust側に接続されたDNSサーバーを使用して名前解決を行います。 VPN接続後、Intranet内の端末にリモートデスクトップ接続を行います。構成図
インターネット インターネット 3Gネットワーク 3Gネットワーク ARルーター L2SW Firewall VPNトンネル VPNトンネル IP: 10.100.10.254/24 zone: DMZ Interface: eth0 IP: 10.100.10.1/24 IP: 192.168.1.1/24 zone: Trust DNSサーバー IP: 192.168.1.100/24 GW: 192.168.1.1 IP: 192.168.1.0/24 GW: 192.168.1.1 iPhone, iPad, Android, PC192.168.2.1-100 (L2TP経由でIP Poolより払い出し) VPNクライアント 10.100.10.1宛にVPN接続 10.100.10.1宛にVPN接続 Firewall無効 Firewall無効 192.168.2.1-100宛のパケットを10.100.10.1に転送するスタティックルートを追加 以下のFirewallポリシーを設定 192.168.2.1-100宛のパケットを10.100.10.1に転送するスタティックルートを追加 以下のFirewallポリシーを設定 Intranet 赤色表記のIPアドレス:グローバルIPアドレス 黒色表記のIPアドレス:プライベートIPアドレス 赤色表記のIPアドレス:グローバルIPアドレス 黒色表記のIPアドレス:プライベートIPアドレス 用途 動作 送信元 送信先
ZONE IPアドレス ZONE IPアドレス ポート番号 IPsec 許可 Untrust Any DMZ 10.100.10.1 UDP 500,4500
ESP (50番) DNS 許可 DMZ 192.168.2.1-100 Trust 192.168.1.100 TCP 53 UDP 53 リモートデスクトップ※ 許可 DMZ 192.168.2.1-100 Trust 192.168.1.0 TCP3389 ※本資料ではVPN接続時、VPNクライアントからIntranet内の端末にリモートデスクトップ接続を行うものとしてご説明します。 他のサービスを使用する場合は、送信元IPアドレス:192.168.2.1-100のパケットを許可してください。 IP: 111.11.11.1/24 zone: Untrust
ARルーターのパラメータ
本資料では以下のパラメータでの設定例をご紹介します。 ルーターの基本設定 接続してきたVPNクライアントには、IPアドレスプール「VPNC」(192.168.2.1~192.168.2.100)から空きアドレスを動的に 割り当てます。また、クライアントの認証にはRADIUSサーバーを使用します。 WAN側物理インターフェース eth0 WAN側IPアドレス 10.100.10.1/24(eth0)IKEフェーズ1の認証方式 事前共有鍵(pre-shared key) 事前共有鍵(pre-shared key) secret(文字列)
DPDによる死活監視 行う(対向機器がDPDをサポートしている場合) NAT-Traversalのネゴシエーション 行う
工場出荷時設定のCLIの ログインID/PW は下記の通りです。
ID : manager
PW : friend
本資料はAR415S/AR550S/AR560S/AR570Sのファームウェアバージョン 2.9.2-00
以上に適応可能です。AR260S V2はスマートフォンからのリモートアクセスに対応し
ておりません。
各設定画面のパラメータ詳細については、ユーザーマニュアルや設定例をご参照くだ
さい。
http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/index.html
http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-93.html
http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-195.html
ARルーターの設定手順
Note ‐ セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。
IPアドレスおよびSecurity Officer レベルユーザーの作成
1. IPモジュールを有効にします。 ENABLE IP ↓ 2. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成 します。PWは「secoff」とします。ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER ↓
ARルーターの設定手順
WAN側インターフェースおよびスタティックルートの設定
1. WAN側(eth0)インターフェースにIPアドレス「10.100.10.1」を設定します。
ADD IP INT=eth0 IP=10.100.10.1 MASK=255.255.255.0 ↓
2. デフォルトルートを設定します。
ARルーターの設定手順
認証ユーザーの登録
1. 暗号化されたL2TPトンネル経由でPPP接続してくるVPNクライアントを認証するためのユーザー(PPP ユーザー)を登録します。
ADD USER=AAA PASSWORD=PasswordA LOGIN=NO ↓ ADD USER=BBB PASSWORD=PasswordB LOGIN=NO ↓ ADD USER=CCC PASSWORD=PasswordC LOGIN=NO ↓ ADD USER=DDD PASSWORD=PasswordD LOGIN=NO ↓
2. IPアドレスプール「VPNC」を作成し、接続してきたVPNクライアントに割り当てるアドレスの範囲を指定 します。ここでは100台分のアドレスプールを用意しています。
ARルーターの設定手順
L2TPプロトコルならびにPPP TEMPLATEの設定
1. L2TP経由でVPNクライアントがPPP接続してきたときに動的に作成するPPPインターフェースのテンプ レート「1」を作成します。接続時の認証にはCHAPを使い、CHAPの再認証はOFFにし、VJ圧縮を有効 にします。また、アドレス割り当てにはIPアドレスプール「VPNC」を使うようにします。
CREATE PPP TEMPLATE=1 IPPOOL=VPNC AUTHENTICATION=CHAP BAP=OFF ECHO=30 RECHALLENGE=OFF VJC=ON ↓ 2. L2TPモジュールを有効にします。 ENABLE L2TP ↓ 3. L2TPサーバーをBOTHモードで起動します。 ENABLE L2TP SERVER=BOTH ↓ 4. VPNクライアントにDNSサーバーアドレス「192.168.1.100」を通知します。 SET PPP DNSPRIMARY=192.168.1.100 ↓ 5. L2TP経由でVPNクライアントが接続してきたときに使用するPPPテンプレートを指定します。ここでは クライアントのアドレスが不定なので、どのアドレスからでも接続を受け入れるように設定します。
ADD L2TP IP=0.0.0.0-255.255.255.255 PPPTEMPLATE=1 ↓
Note –VPNクライアントにDNSサーバーを通知する場合に必要な設定です。本コマンドを使用せず、
ARルーターの設定手順
Firewallの設定
1. ファイアウォール機能を有効にします。
ENABLE FIREWALL ↓
2. ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
CREATE FIREWALL POLICY=net ↓
3. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
4. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対し て、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
5. VPNクライアントがL2TP経由で接続してきたときに動的に作成されるPPPインターフェース用のファイア
ARルーターの設定手順
6. 次に、ダイナミックインターフェーステンプレート「vpnif」の対象ユーザーを指定します。USERパラメーター で指定したユーザーが接続してきたときに動的作成されるPPPインターフェースは、ADD FIREWALL POLICY INTERFACEコマンドで「DYN-templatename」として参照できます(templatenameはテンプレート 名)。ここでは対象ユーザーとして「ANY」を指定しています。これは、PPPの認証をパスしたすべてのユー ザーが対象であることを示します。ADD FIREWALL POLICY=net DYNAMIC=vpnif USER=ANY ↓
7. WAN側インターフェース(eth0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=eth0 TYPE=PUBLIC ↓
8. L2TP経由でユーザーが接続してきたときに動的作成されるPPPインターフェース(vpnif)をPRIVATE(内 部)に設定します。
ARルーターの設定手順
9. VPNクライアントから受信したIKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)がファイアウォールを通 過できるように設定します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=eth0 PROT=UDP PORT=500 IP=10.100.10.1 ↓ ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=eth0 PROT=UDP PORT=4500 IP=10.100.10.1 ↓
10. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルール を設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを 適用することを示します。よって、以下のコマンドは、「取り出したパケットがUDPで終点ポートが1701番(L2TP パケット)ならば許可する」の意味になります。
ARルーターの設定手順
ISAKMPの設定
1. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」 という文字列で指定します(VPNクライアントにも同じ値を設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
2. VPNクライアントからのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。
ISAKMPメッセージの暗号化には「3DES」、認証には「SHA」アルゴリズム、Oakleyグループは「2」を使用し、 VPNクライアントとの認証には前の手順で作成した事前共有鍵(鍵番号「1」)を使います。さらに、クライアン トのIPアドレスが不定なためPEERにANYを指定し、NAT-Traversalを有効にしています。
CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE NATTRAVERSAL=TRUE ↓ SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA GROUP=2 ↓
3. DPDを有効にします。
SET ISAKMP POLICY="i" DPDMODE=both ↓
↓
Note ‐ CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)な
ARルーターの設定手順
IPsecの設定
1. IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号 化方式 「AES256bit」、認証方式「SHA」に設定します。この例ではL2TPによってトンネリングを行うため、デ フォルトのトンネルモードは使用せずに、トランスポートモードを使用します。UDP1701番ポートを使って送 受信されるL2TPパケットだけを暗号化する形になります。CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES256 HASHALG=SHA MODE=TRANSPORT ↓
2. 同様にIPsec通信の仕様を定義するSAスペック「2」を作成します。鍵管理方式「ISAKMP」、プロトコル 「ESP」、暗号化方式 「AES128bit」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES128 HASHALG=SHA MODE=TRANSPORT ↓
3. 同様にIPsec通信の仕様を定義するSAスペック「3」を作成します。鍵管理方式「ISAKMP」、プロトコル 「ESP」、暗号化方式 「3DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=3 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA MODE=TRANSPORT ↓
4. SAスペック「1」、「2」、「3」からなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定し ます。
ARルーターの設定手順
5. IKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)を素通しさせるIPsecポリシー「isa」「nat」を 作成します。
CREATE IPSEC POLICY=isa INT=eth0 ACTION=PERMIT LPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY=nat INT=eth0 ACTION=PERMIT LPORT=4500 TRANSPORT=UDP ↓
6. L2TPパケットを暗号化するIPsecポリシー「L2」をeth0インターフェースに対して作成します。鍵管理方式に は「ISAKMP」を指定します。VPNクライアントのIPアドレスが不定なため、PEERにはISAKMPの認証をパスし た相手という意味の「DYNAMIC」を、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定しま す。また、LPORTとTRANSPORTで対象となるパケットの条件(ここではL2TPパケット)を指定します。
CREATE IPSEC POLICY=L2 INT=eth0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓ SET IPSEC POLICY=L2 LPORT=1701 TRANSPORT=UDP ↓
7. インターネットへの平文通信を許可するIPsecポリシー「inet」をeth0インターフェースに対して作成します。
CREATE IPSEC POLICY="inet" INT=eth0 ACTION=PERMIT ↓
Note ‐ NAT‐Traversalを使用する場合は、必ずIKEとNAT‐Tのパケットが通過できるような設定を行ってください。
Note ‐ 「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICY
コマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメータを使用します。
Note ‐ インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポ
ARルーターの設定手順
8. IPsecモジュールを有効にします。 ENABLE IPSEC ↓ 9. ISAKMPモジュールを有効にします。 ENABLE ISAKMP ↓ 10. Security Officerレベルのユーザーでログインしなおします。 LOGIN secoff ↓ 11. 動作モードをセキュリティーモードに切り替えます。ENABLE SYSTEM SECURITY_MODE ↓
12. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
Note ‐ セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security
VPNクライアントの設定
VPNクライアントの設定手順は、以下を参照下さい。
VPN接続先のIPアドレスやパスワード等、各種パラメータがそのまま流用できます。
■参照先
CentreCOM AR560S 設定例集 2.9 #197
「リモートアクセス型L2TP+IPsec VPNとResponder Rekey Extensionによる死活監視 (クライアントはWindows XP/Vista/7、iPhone/iPadおよびAndroid(TM)端末)」
http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-197.html
※Windows接続検証は以下を参照し実施しております(当社独自調査であり、接続を保証するものではございません)。
WindowsXP (Service Pack 3) : Microsoftサポート 文書番号: 885407 Windows7 : Microsoftサポート 文書番号: 926179