リモートアクセス型L2TP+IPsec VPN

リモートアクセス型L2TP+IPsec VPN

(既設FWあり、既設NW変更あり、Global IP未使用)

本資料は、弊社での検証に基づき Firewall、ARシリーズ、VPNクライアント

1

目次

構成概要

構成図

ARルーターのパラメータ

ARルーターの設定手順

VPNクライアントの設定

構成概要

本資料では、FirewallのTrust側に接続されたARルーターにVPN接続を行う設定方法をご紹介します。

Firewallの設定方法については、ご使用のFirewall製品のマニュアルをご参照ください。

本構成について

Firewallでポートフォワーディングを使用し、IKEパケット(UDP 500番)とNAT-Tパケット(UDP 4500番)をAR

ルーター宛に転送します。

3

構成図

IP: 10.100.10.1/24 zone: Untrust インターネット インターネット 3Gネットワーク 3Gネットワーク ARルーター L2SW Firewall IP: 172.16.1.1/24 zone: Trust Interface: eth0 IP: 172.16.1.100/24 Interface: vlan1 IP: 192.168.1.1/24 DNSサーバー IP: 192.168.1.100/24 GW: 192.168.1.1 ポートフォワーディングを使用し、10.100.10.1宛のIKE(UDP 500 番)、NAT-T(UDP 4500番)パケットを172.16.1.100宛に転送 ポートフォワーディングを使用し、10.100.10.1宛のIKE(UDP 500 番)、NAT-T(UDP 4500番)パケットを172.16.1.100宛に転送 Firewall無効 DHCPサーバ Firewall無効 DHCPサーバ IP: 192.168.1.0/24 GW: 192.168.1.1 10.100.10.1宛にVPN接続 10.100.10.1宛にVPN接続

VPNトンネル

VPNトンネル

Intranet iPhone, iPad, Android, PC

192.168.2.1-100 (L2TP経由でIP Poolより払い出し) VPNクライアント 赤色表記のIPアドレス：グローバルIPアドレス 黒色表記のIPアドレス：プライベートIPアドレス 赤色表記のIPアドレス：グローバルIPアドレス 黒色表記のIPアドレス：プライベートIPアドレス

ARルーターのパラメータ

本資料では以下のパラメータでの設定例をご紹介します。

ルーターの基本設定 接続してきたVPNクライアントには、IPアドレスプール「VPNC」(192.168.2.1～192.168.2.100)から空きアドレスを 動的に割り当てます。また、クライアントのPPPユーザー名とパスワードは次の通りとします。 WAN側物理インターフェース eth0 WAN側IPアドレス 172.16.1.100/24（eth0） LAN側IPアドレス 192.168.1.1/24（vlan1） IKEフェーズ1の認証方式 事前共有鍵(pre-shared key) 事前共有鍵(pre-shared key) secret(文字列)

DPDによる死活監視 行う(対向機器がDPDをサポートしている場合) NAT-Traversalのネゴシエーション 行う ユーザー名 パスワード 登録ユーザー(その1) AAA PasswordA 登録ユーザー(その2) BBB PasswordB 登録ユーザー(その3) CCC PasswordC 登録ユーザー(その4) DDD PasswordD

5

工場出荷時設定のCLIの ログインID/PW は下記の通りです。

ID : manager

PW : friend

本資料はAR415S/AR550S/AR560S/AR570Sのファームウェアバージョン 2.9.2-00

以上に適応可能です。AR260S V2はスマートフォンからのリモートアクセスに対応し

ておりません。

各設定画面のパラメータ詳細については、ユーザーマニュアルや設定例をご参照くだ

さい。

http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/index.html

http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-93.html

http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-195.html

ARルーターの設定手順

Note ‐ セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。

IPアドレスおよびSecurity Officer レベルユーザーの作成

1. IPモジュールを有効にします。

ENABLE IP ↓

2. LAN側(vlan1)インターフェースにIPアドレスを設定します。

ADD IP INT=vlan1 IP=192.168.1.1 MASK=255.255.255.0 ↓

3. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成

します。PWは「secoff」とします。

ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER ↓

ARルーターの設定手順

7

ARルーターの設定手順

WAN側インターフェースおよびスタティックルートの設定

1. WAN側（eth0）インターフェースにIPアドレス「172.16.1.100」を設定します。

ADD IP INT=eth0 IP=172.16.1.100 MASK=255.255.255.0 ↓

2. デフォルトルートを設定します。

ARルーターの設定手順

認証ユーザーの登録

1. 暗号化されたL2TPトンネル経由でPPP接続してくるVPNクライアントを認証するためのユーザー(PPP

ユーザー)を登録します。

ADD USER=AAA PASSWORD=PasswordA LOGIN=NO ↓ ADD USER=BBB PASSWORD=PasswordB LOGIN=NO ↓ ADD USER=CCC PASSWORD=PasswordC LOGIN=NO ↓ ADD USER=DDD PASSWORD=PasswordD LOGIN=NO ↓

2. IPアドレスプール「VPNC」を作成し、接続してきたVPNクライアントに割り当てるアドレスの範囲を指定

します。ここでは100台分のアドレスプールを用意しています。

9

ARルーターの設定手順

L2TPプロトコルならびにPPP TEMPLATEの設定

1. L2TP経由でVPNクライアントがPPP接続してきたときに動的に作成するPPPインターフェースのテンプ

レート「1」を作成します。接続時の認証にはCHAPを使い、CHAPの再認証はOFFにし、VJ圧縮を有効

にします。また、アドレス割り当てにはIPアドレスプール「VPNC」を使うようにします。

CREATE PPP TEMPLATE=1 IPPOOL=VPNC AUTHENTICATION=CHAP BAP=OFF ECHO=30 RECHALLENGE=OFF VJC=ON ↓

2. L2TPモジュールを有効にします。

ENABLE L2TP ↓

3. L2TPサーバーをBOTHモードで起動します。

ENABLE L2TP SERVER=BOTH ↓

4. VPNクライアントにDNSサーバーアドレス「192.168.1.100」を通知します。

SET PPP DNSPRIMARY=192.168.1.100 ↓

5. L2TP経由でVPNクライアントが接続してきたときに使用するPPPテンプレートを指定します。ここでは

クライアントのアドレスが不定なので、どのアドレスからでも接続を受け入れるように設定します。

ADD L2TP IP=0.0.0.0-255.255.255.255 PPPTEMPLATE=1 ↓

Note –VPNクライアントにDNSサーバーを通知する場合に必要な設定です。本コマンドを使用せず、

ARルーターの設定手順

DHCP Server の設定

1. DHCPサーバー機能を有効にします。

ENABLE DHCP ↓

2. DHCPポリシー「DHCP」を作成します。IPアドレスの使用期限は3,600秒（1時間）とします。

CREATE DHCP POLI="DHCP" LEASE=3600 ↓

3. クライアントに提供する情報を設定します。ここでは、DNSサーバーアドレスとして、ルーターのLAN側イン

ターフェースのIPアドレスを指定しています。ここへ送られたDNSリクエストは、DNSリレー機能によりISPの

DNSサーバーに転送されます。

ADD DHCP POLICY="DHCP" SUBNET=255.255.255.0 ROUTER=192.168.1.1 DNSSERVER=192.168.1.100 ↓

4. クライアントに提供するIPアドレスの範囲を設定します。ここでは、192.168.1.128～192.168.1.143の16個を

指定しています。

CREATE DHCP RAN="CLIENT" POLI="DHCP" IP=192.168.1.128 NUM=16 ↓

11

ARルーターの設定手順

ISAKMPの設定

1. ISAKMP用の事前共有鍵（pre-shared key）を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」

という文字列で指定します（VPNクライアントにも同じ値を設定）。

CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓

2. VPNクライアントからのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。

ISAKMPメッセージの暗号化には「3DES」、認証には「SHA」アルゴリズム、Oakleyグループは「2」を使用し、

VPNクライアントとの認証には前の手順で作成した事前共有鍵（鍵番号「1」）を使います。さらに、クライアン

トのIPアドレスが不定なためPEERにANYを指定し、NAT-Traversalを有効にしています。

CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE NATTRAVERSAL=TRUE ↓ SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA GROUP=2 ↓

3. DPDを有効にします。

SET ISAKMP POLICY="i" DPDMODE=both ↓

↓

Note ‐ CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）な どで設定スクリプトファイル（.CFG）にこのコマンドを記述しても無効になりますのでご注意ください。

ARルーターの設定手順

IPsecの設定

1. IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号

化方式 「AES256bit」、認証方式「SHA」に設定します。この例ではL2TPによってトンネリングを行うため、デ

フォルトのトンネルモードは使用せずに、トランスポートモードを使用します。UDP1701番ポートを使って送

受信されるL2TPパケットだけを暗号化する形になります。

CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES256 HASHALG=SHA MODE=TRANSPORT ↓

2. 同様にIPsec通信の仕様を定義するSAスペック「2」を作成します。鍵管理方式「ISAKMP」、プロトコル

「ESP」、暗号化方式 「AES128bit」、認証方式「SHA」に設定します。

CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES128 HASHALG=SHA MODE=TRANSPORT

↓

3. 同様にIPsec通信の仕様を定義するSAスペック「3」を作成します。鍵管理方式「ISAKMP」、プロトコル

「ESP」、暗号化方式 「3DES」、認証方式「SHA」に設定します。

CREATE IPSEC SASPEC=3 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA MODE=TRANSPORT ↓

4. SAスペック「1」、「2」、「3」からなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定し

ます。

13

ARルーターの設定手順

5. IKEパケット（UDP500番）とNAT-Tパケット（UDP4500番）を素通しさせるIPsecポリシー「isa」「nat」を

作成します。

CREATE IPSEC POLICY=isa INT=eth0 ACTION=PERMIT LPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY=nat INT=eth0 ACTION=PERMIT LPORT=4500 TRANSPORT=UDP ↓

6. L2TPパケットを暗号化するIPsecポリシー「L2」をeth0インターフェースに対して作成します。鍵管理方式に

は「ISAKMP」を指定します。VPNクライアントのIPアドレスが不定なため、PEERにはISAKMPの認証をパスし

た相手という意味の「DYNAMIC」を、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定しま

す。また、LPORTとTRANSPORTで対象となるパケットの条件（ここではL2TPパケット）を指定します。

CREATE IPSEC POLICY=L2 INT=eth0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓ SET IPSEC POLICY=L2 LPORT=1701 TRANSPORT=UDP ↓

7. インターネットへの平文通信を許可するIPsecポリシー「inet」をeth0インターフェースに対して作成します。

CREATE IPSEC POLICY="inet" INT=eth0 ACTION=PERMIT ↓

Note ‐ NAT‐Traversalを使用する場合は、必ずIKEとNAT‐Tのパケットが通過できるような設定を行ってください。

Note ‐ 「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICY コマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメータを使用します。

Note ‐ インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポ リシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。

ARルーターの設定手順

8. IPsecモジュールを有効にします。

ENABLE IPSEC ↓

9. ISAKMPモジュールを有効にします。

ENABLE ISAKMP ↓

10. Security Officerレベルのユーザーでログインしなおします。

LOGIN secoff ↓

11. 動作モードをセキュリティーモードに切り替えます。

ENABLE SYSTEM SECURITY_MODE ↓

12. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

CREATE CONFIG=router.cfg ↓ SET CONFIG=router.cfg ↓

Note ‐ セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security  OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）の設定を行っておいてください 。

15

VPNクライアントの設定

VPNクライアントの設定手順は、以下を参照下さい。

VPN接続先のIPアドレスやパスワード等、各種パラメータがそのまま流用できます。

■参照先

CentreCOM AR560S 設定例集 2.9 #197

「リモートアクセス型L2TP＋IPsec VPNとResponder Rekey Extensionによる死活監視 （クライアントはWindows XP/Vista/7、iPhone/iPadおよびAndroid(TM)端末）」

http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-197.html

※Windows接続検証は以下を参照し実施しております

（当社独自調査であり、接続を保証するものではございません）。

WindowsXP (Service Pack 3) : Microsoftサポート 文書番号: 885407 Windows7 : Microsoftサポート 文書番号: 926179