リモートアクセス型L2TP+IPsec VPN 設定例

リモートアクセス型L2TP+IPsec VPN 設定例

(既設FWあり、既設NW変更なし、Global IP未使用)

本資料は、弊社での検証に基づき Firewall、ARシリーズ、RADIUSサーバー、VPNクライアント

目次

構成概要

構成図

パラメータ

ARルーターの設定手順

VPNクライアントの設定

構成概要

本資料では、FirewallのDMZ側に接続されたARルーターにVPN接続を行う設定方法をご紹介します。

Firewallの設定方法については、ご使用のFirewall製品のマニュアルをご参照ください。

本構成について

FirewallのDMZ側にARルーターを接続します。

Global IPアドレスはFirewallのUntrust側インターフェースに割り当てられており、ポートフォワーディングを

使用してVPN接続を行います。

ARルーターではFirewall機能は使用しません。

VPN接続時、Trust側に接続されたRADIUSサーバーを用いて認証を行います。

VPNクライアントはTrust側に接続されたDNSサーバーを使用して名前解決を行います。

VPN接続後、Intranet内の端末にリモートデスクトップ接続を行います。

構成図

インターネット インターネット 3Gネットワーク 3Gネットワーク ARルーター L2SW Firewall

VPNトンネル

VPNトンネル

IP: 172.16.1.1/24 zone: DMZ Interface: eth0 IP: 172.16.1.100/24 IP: 192.168.1.1/24 zone: Trust DNSサーバー&RADIUSサーバー IP: 192.168.1.100/24 GW: 192.168.1.1 IP: 192.168.1.0/24 GW: 192.168.1.1 iPhone, iPad, Android, PC

192.168.2.1-100 (L2TP経由でIP Poolより払い出し) VPNクライアント 10.100.10.1宛にVPN接続 10.100.10.1宛にVPN接続 Firewall無効 Firewall無効  ポートフォワーディングを使用し、10.100.10.1宛のIKE(UDP 500番)、NAT-T(UDP 4500番)パケットを 172.16.1.100宛に転送  192.168.2.1-100宛のパケットを172.16.1.100に転送するスタティックルートを追加  以下のFirewallポリシーを設定  ポートフォワーディングを使用し、10.100.10.1宛のIKE(UDP 500番)、NAT-T(UDP 4500番)パケットを 172.16.1.100宛に転送  192.168.2.1-100宛のパケットを172.16.1.100に転送するスタティックルートを追加  以下のFirewallポリシーを設定 Intranet 赤色表記のIPアドレス：グローバルIPアドレス 黒色表記のIPアドレス：プライベートIPアドレス 赤色表記のIPアドレス：グローバルIPアドレス 黒色表記のIPアドレス：プライベートIPアドレス 用途 動作 送信元 送信先

ZONE IPアドレス ZONE IPアドレス ポート番号 RADIUS認証 許可 DMZ 172.16.1.100 Trust 192.168.1.100 UDP 1812-1813 DNS 許可 DMZ 192.168.2.1-100 Trust 192.168.1.100 TCP 53 UDP 53 リモートデスクトップ※ 許可 DMZ 192.168.2.1-100 Trust 192.168.1.0 TCP3389 ※本資料ではVPN接続時、VPNクライアントからIntranet内の端末にリモートデスクトップ接続を行うものとしてご説明します。 他のサービスを使用する場合は、送信元IPアドレス：192.168.2.1-100のパケットを許可してください。 IP: 10.100.10.1/24 zone: Untrust

ARルーターのパラメータ

本資料では以下のパラメータでの設定例をご紹介します。

ルーターの基本設定 接続してきたVPNクライアントには、IPアドレスプール「VPNC」(192.168.2.1～192.168.2.100)から空きアドレスを 動的に割り当てます。また、クライアントの認証にはRADIUSサーバーを使用します。 WAN側物理インターフェース eth0 WAN側IPアドレス 172.16.1.100/24（eth0） IKEフェーズ1の認証方式 事前共有鍵(pre-shared key) 事前共有鍵(pre-shared key) secret(文字列)

DPDによる死活監視 行う(対向機器がDPDをサポートしている場合) NAT-Traversalのネゴシエーション 行う

本資料では以下のパラメータでの設定例をご紹介します。

RADIUSサーバーの設定

RADIUSサーバーに登録するユーザーのユーザー名とパスワードと認証方式

RADIUSサーバーのパラメータ

ユーザー名 パスワード 認証方式 登録ユーザー(その1) AAA PasswordA CHAP 登録ユーザー(その2) BBB PasswordB CHAP 登録ユーザー(その3) CCC PasswordC CHAP 登録ユーザー(その4) DDD PasswordD CHAP RADIUSサーバーのIPアドレス 192.168.1.100 RADIUSクライアント 172.16.1.100 共有パスワード secret

工場出荷時設定のCLIの ログインID/PW は下記の通りです。

ID : manager

PW : friend

本資料はAR415S/AR550S/AR560S/AR570Sのファームウェアバージョン 2.9.2-00

以上に適応可能です。AR260S V2はスマートフォンからのリモートアクセスに対応し

ておりません。

各設定画面のパラメータ詳細については、ユーザーマニュアルや設定例をご参照くだ

さい。

http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/index.html

http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-93.html

http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-195.html

ARルーターの設定手順

Note ‐ セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。

IPアドレスおよびSecurity Officer レベルユーザーの作成

1. IPモジュールを有効にします。

ENABLE IP ↓

2. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成

します。PWは「secoff」とします。

ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER ↓

ARルーターの設定手順

WAN側インターフェースおよびスタティックルートの設定

1. WAN側（eth0）インターフェースにIPアドレス「172.16.1.100」を設定します。

ADD IP INT=eth0 IP=172.16.1.100 MASK=255.255.255.0 ↓

2. デフォルトルートを設定します。

ARルーターの設定手順

認証ユーザーの登録

1. VPNクライアントのユーザーを認証する際に使用するRADIUSサーバーを登録します。

ADD RADIUS SERVER=192.168.1.100 SECRET=secret PORT=1812 ↓

2. IPアドレスプール「VPNC」を作成し、接続してきたVPNクライアントに割り当てるアドレスの範囲を指定

します。ここでは100台分のアドレスプールを用意しています。

ARルーターの設定手順

L2TPプロトコルならびにPPP TEMPLATEの設定

1. L2TP経由でVPNクライアントがPPP接続してきたときに動的に作成するPPPインターフェースのテンプ

レート「1」を作成します。接続時の認証にはCHAPを使い、CHAPの再認証はOFFにし、VJ圧縮を有効

にします。また、アドレス割り当てにはIPアドレスプール「VPNC」を使うようにします。

CREATE PPP TEMPLATE=1 IPPOOL=VPNC AUTHENTICATION=CHAP BAP=OFF ECHO=30 RECHALLENGE=OFF VJC=ON ↓

2. L2TPモジュールを有効にします。

ENABLE L2TP ↓

3. L2TPサーバーをBOTHモードで起動します。

ENABLE L2TP SERVER=BOTH ↓

4. VPNクライアントにDNSサーバーアドレス「192.168.1.100」を通知します。

SET PPP DNSPRIMARY=192.168.1.100 ↓ Note –VPNクライアントにDNSサーバーを通知する場合に必要な設定です。本コマンドを使用せず、 ADD IP DNS PRIMARY=192.168.1.100 コマンドでルーター本体にDNSサーバーを手動登録すれば同様に通知可能です。

ARルーターの設定手順

ISAKMPの設定

1. ISAKMP用の事前共有鍵（pre-shared key）を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」

という文字列で指定します（VPNクライアントにも同じ値を設定）。

CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓

2. VPNクライアントからのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。

ISAKMPメッセージの暗号化には「3DES」、認証には「SHA」アルゴリズム、Oakleyグループは「2」を使用し、

VPNクライアントとの認証には前の手順で作成した事前共有鍵（鍵番号「1」）を使います。さらに、クライアン

トのIPアドレスが不定なためPEERにANYを指定し、NAT-Traversalを有効にしています。

CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE NATTRAVERSAL=TRUE ↓ SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA GROUP=2 ↓

3. DPDを有効にします。

SET ISAKMP POLICY="i" DPDMODE=both ↓

↓

Note ‐ CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）な

ARルーターの設定手順

IPsecの設定

1. IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号

化方式 「AES256bit」、認証方式「SHA」に設定します。この例ではL2TPによってトンネリングを行うため、デ

フォルトのトンネルモードは使用せずに、トランスポートモードを使用します。UDP1701番ポートを使って送

受信されるL2TPパケットだけを暗号化する形になります。

CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES256 HASHALG=SHA MODE=TRANSPORT ↓

2. 同様にIPsec通信の仕様を定義するSAスペック「2」を作成します。鍵管理方式「ISAKMP」、プロトコル

「ESP」、暗号化方式 「AES128bit」、認証方式「SHA」に設定します。

CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES128 HASHALG=SHA MODE=TRANSPORT

↓

3. 同様にIPsec通信の仕様を定義するSAスペック「3」を作成します。鍵管理方式「ISAKMP」、プロトコル

「ESP」、暗号化方式 「3DES」、認証方式「SHA」に設定します。

CREATE IPSEC SASPEC=3 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA MODE=TRANSPORT ↓

ARルーターの設定手順

5. IKEパケット（UDP500番）とNAT-Tパケット（UDP4500番）を素通しさせるIPsecポリシー「isa」「nat」を

作成します。

CREATE IPSEC POLICY=isa INT=eth0 ACTION=PERMIT LPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY=nat INT=eth0 ACTION=PERMIT LPORT=4500 TRANSPORT=UDP ↓

6. L2TPパケットを暗号化するIPsecポリシー「L2」をeth0インターフェースに対して作成します。鍵管理方式に

は「ISAKMP」を指定します。VPNクライアントのIPアドレスが不定なため、PEERにはISAKMPの認証をパスし

た相手という意味の「DYNAMIC」を、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定しま

す。また、LPORTとTRANSPORTで対象となるパケットの条件（ここではL2TPパケット）を指定します。

CREATE IPSEC POLICY=L2 INT=eth0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓ SET IPSEC POLICY=L2 LPORT=1701 TRANSPORT=UDP ↓

7. インターネットへの平文通信を許可するIPsecポリシー「inet」をeth0インターフェースに対して作成します。

CREATE IPSEC POLICY="inet" INT=eth0 ACTION=PERMIT ↓

Note ‐ NAT‐Traversalを使用する場合は、必ずIKEとNAT‐Tのパケットが通過できるような設定を行ってください。

Note ‐ 「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICY

コマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメータを使用します。

Note ‐ インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポ

ARルーターの設定手順

8. IPsecモジュールを有効にします。

ENABLE IPSEC ↓

9. ISAKMPモジュールを有効にします。

ENABLE ISAKMP ↓

10. Security Officerレベルのユーザーでログインしなおします。

LOGIN secoff ↓

11. 動作モードをセキュリティーモードに切り替えます。

ENABLE SYSTEM SECURITY_MODE ↓

12. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

Note ‐ セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security 

VPNクライアントの設定

VPNクライアントの設定手順は、以下を参照下さい。

VPN接続先のIPアドレスやパスワード等、各種パラメータがそのまま流用できます。

■参照先

CentreCOM AR560S 設定例集 2.9 #197

「リモートアクセス型L2TP＋IPsec VPNとResponder Rekey Extensionによる死活監視 （クライアントはWindows XP/Vista/7、iPhone/iPadおよびAndroid(TM)端末）」

http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-197.html

※Windows接続検証は以下を参照し実施しております

（当社独自調査であり、接続を保証するものではございません）。

WindowsXP (Service Pack 3) : Microsoftサポート 文書番号: 885407 Windows7 : Microsoftサポート 文書番号: 926179