Soliton Net’Attest EPS + AR router series
L2TP+IPsec RADIUS 設定例
2011/June
アライドテレシス株式会社
1. はじめに
本資料は、弊社での検証に基づき、
Net’Attest EPS及びARシリーズ、VPNクライアント端末
1. はじめに
目次
1. AR シリーズ設定例(RADIUS認証)
2. Net’Attest EPS設定例
3-1. iPhone/iPad 設定例
3-2. Android 設定例
目次
1.
AR シリーズ設定例(RADIUS認証)
2. Net’Attest EPS設定例
3-1. iPhone/iPad 設定例
3-2. Android 設定例
構成
構成
Net’Attest EPS AR560S IPアドレス 192.168.1.2/24 PPPoE IPアドレス 10.100.10.1/32 Intranet Server iPhone / iPad, Android 192.168.2.1-100 (L2TP経由でIP Pool より払い出し) 本資料は、弊社での検証に基づき、Net’Attest EPS及びAR-Router、 iPhone/iPad/Androidの操作方法を記載したものです。すべての環境での動作を保証 するものではありません。 IPアドレス 192.168.1.0/24 3Gネットワーク 3Gネットワーク インターネット インターネット LAN IPアドレス 192.168.1.1/24 ※iPhone、iPadはApple Inc.の商標です。 ※iPhoneの商標は、アイホン株式会社のライセンスに基づき使用されています。 ※Androidは、Google Inc.の商標または登録商標です。1. ARシリーズルーター
工場出荷時設定の
CLIの ログインID/パスワード は下記の通りです
»
ID : manager
»
パスワード
: friend
本資料は
AR415S/AR550S/AR560S/AR570Sのファームウェアバージョ
ン
2.9.2-00以上に適応可能です。AR260S V2はスマートフォンからのリ
モートアクセスに対応しておりません。
各設定画面のパラメータ詳細についてはユーザーマニュアルや設定例
をご参照下さい
http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/index.html http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-93.html http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-195.html1. AR ルータの設定
・
IPアドレスおよびSecurity Officer レベルユーザーの作成
1. IPモジュールを有効にします。
ENABLE IP ↓
2. まず、ルータへログイン後、LAN側のインターフェースへIPアドレスを設定します
ADD IP INT=VLAN1 IP=192.168.1.1 MASK=255.255.255.0 ↓
3. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成 します。パスワードは「secoff」とします。
ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER ↓
Note -セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に 消去されます。
1. AR ルータの設定
・
PPPインターフェースおよびスタティックルートの設定
4. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分 には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け 入れられるよう、「ANY」を設定します。 CREATE PPP=0 OVER=eth0-ANY↓ 5. ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリ ンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。SET PPP=0 OVER=eth0-ANY USER=user@isp PASSWORD=isppasswd LQR=OFF BAP=OFF ECHO=ON ↓
6. WAN側(ppp0)インターフェースにIPアドレス「10.100.10.1」を設定します。
ADD IP INT=ppp0 IP=10.100.10.1 MASK=255.255.255.255 ↓
7. デフォルトルートを設定します。
1. AR ルータの設定
・
RADIUS サーバおよびIPアドレスプールの設定
8. モバイル端末のユーザーを認証する際に使用するRADIUSサーバーを登録します。
ADD RADIUS SERVER=192.168.1.2 SECRET="PASSWORD" PORT=1812 ↓
9. IPアドレスプール「VPNC」を作成し、接続してきたVPNクライアントに割り当てるアドレスの範囲を指定し
ます。ここでは100台分のモバイル端末のアドレスプールを用意しています。
1. AR ルータの設定
・
L2TPプロトコルならびにPPP TEMPLATEの設定
10. L2TP経由でVPNクライアントがPPP接続してきたときに動的に作成するPPPインターフェースのテンプレート「1」 を作成します。接続時の認証にはCHAPを使い、CHAPの再認証はOFFにし、VJ圧縮を有効にします。また、アド レス割り当てにはIPアドレスプール「VPNC」を使うようにします。
CREATE PPP TEMPLATE=1 IPPOOL=VPNC AUTHENTICATION=CHAP BAP=OFF ECHO=30 RECHALLENGE=OFF VJC=ON ↓ 11. L2TPモジュールを有効にします。 ENABLE L2TP ↓ 12. L2TPサーバーをBOTHモードで起動します。 ENABLE L2TP SERVER=BOTH ↓ 13. L2TP経由でVPNクライアントが接続してきたときに使用するPPPテンプレートを指定します。ここではクライアント のアドレスが不定なので、どのアドレスからでも接続を受け入れるように設定します。
1. AR ルータの設定
・
DNSリレーの設定
14. DNSリレー機能を有効にします。 ENABLE IP DNSRELAY ↓ 15. 接続確立までISPのDNSサーバーアドレスが不明なため、DNSリクエストの転送先として、IPCPネゴシエー ションを行うインターフェース名「ppp0」を指定します。1. AR ルータの設定
・
DHCP Server の設定
16. DHCPサーバー機能を有効にします。
ENABLE DHCP ↓
17. DHCPポリシー「DHCP」を作成します。IPアドレスの使用期限は3,600秒(1時間)とします。
CREATE DHCP POLI="DHCP" LEASE=3600 ↓
18. クライアントに提供する情報を設定します。ここでは、DNSサーバーアドレスとして、ルーターのLAN側イン ターフェースのIPアドレスを指定しています。ここへ送られたDNSリクエストは、DNSリレー機能によりISPの DNSサーバーに転送されます。
ADD DHCP POLICY="DHCP" SUBNET=255.255.255.0 ROUTER=192.168.1.1 DNSSERVER=192.168.1.1 ↓
19. クライアントに提供するIPアドレスの範囲を設定します。ここでは、192.168.1.128∼192.168.1.144の16個 を指定しています。
1. AR ルータの設定
・
Firewall の設定
20. ファイアーウォール機能を有効にします。
ENABLE FIREWALL ↓
21. ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
CREATE FIREWALL POLICY=net ↓
22. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=UNRE,PING ↓
23. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、 ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
1. AR ルータの設定
・
Firewall の設定(続き)
24. VPNクライアントがL2TP経由で接続してきたときに動的に作成されるPPPインターフェース用のファイア ウォール設定を行います。最初に、ダイナミックインターフェーステンプレート「vpnif」を作成します。名前は 自由です。
CREATE FIREWALL POLICY=net DYNAMIC=vpnif ↓
25. 次に、ダイナミックインターフェーステンプレート「vpnif」の対象ユーザーを指定します。USERパラメーターで 指定したユーザーが接続してきたときに動的作成されるPPPインターフェースは、ADD FIREWALL POLICY INTERFACEコマンドで「DYN-templatename」として参照できます(templatenameはテンプレート名)。ここで は対象ユーザーとして「ANY」を指定しています。これは、PPPの認証をパスしたすべてのユーザーが対象で あることを示します。
ADD FIREWALL POLICY=net DYNAMIC=vpnif USER=ANY ↓
26. ファイアウォールポリシーの適用対象となるインターフェースを指定します。 LAN側インターフェース(vlan1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
L2TP経由でユーザーが接続してきたときに動的作成されるPPPインターフェース(vpnif)をPRIVATE(内部) に設定します。
1. AR ルータの設定
・
Firewall の設定(続き)
27. LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。 ローバルアドレスには、ppp0のIPアドレスを使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
28.
VPNクライアントがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0
IPアドレスを使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=DYN-vpnif GBLINT=ppp0 ↓
29. VPNクライアントから受信したIKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)がファイア ウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=500 GBLIP=10.100.10.1 PORT=500 IP=10.100.10.1 ↓
ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=4500 GBLIP=10.100.10.1 PORT=4500 IP=10.100.10.1 ↓
1. AR ルータの設定
・
Firewall の設定(続き)
30. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルー ルを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルー ルを適用することを示します。よって、以下のコマンドは、「取り出したパケットがUDPで終点ポートが1701番 (L2TPパケット)ならば許可する」の意味になります。ADD FIREWALL POLICY=net RULE=3 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=1701 GBLIP=10.100.10.1 PORT=1701 IP=10.100.10.1 ENCAP=IPSEC ↓
1. AR ルータの設定
・
ISAKMPの設定
31. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」 という文字列で指定します(VPNクライアントにも同じ値を設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
32. VPNクライアントからのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。
ISAKMPメッセージの暗号化には「3DES」、認証には「SHA」アルゴリズム、Oakleyグループは「2」を使用し、 VPNクライアントとの認証には前の手順で作成した事前共有鍵(鍵番号「1」)を使います。さらに、クライアン トのIPアドレスが不定なためPEERにANYを指定し、NAT-Traversalを有効にしています。
CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE NATTRAVERSAL=TRUE ↓ SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA GROUP=2 ↓
33. DPDを有効にします。
SET ISAKMP POLICY="i" DPDMODE=both ↓
↓
Note -CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スク
1. AR ルータの設定
・
IPsecの設定
34. IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号 化方式 「AES256bit」、認証方式「SHA」に設定します。この例ではL2TPによってトンネリングを行うため、デ フォルトのトンネルモードは使用せずに、トランスポートモードを使用します。UDP1701番ポートを使って送受 信されるL2TPパケットだけを暗号化する形になります。CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES256 HASHALG=SHA MODE=TRANSPORT ↓
35. 同様にIPsec通信の仕様を定義するSAスペック「2」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、 暗号化方式 「AES128bit」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES128 HASHALG=SHA MODE=TRANSPORT ↓
36. 同様にIPsec通信の仕様を定義するSAスペック「3」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、 暗号化方式 「3DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=3 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA MODE=TRANSPORT ↓
37. SAスペック「1」、「2」、「3」からなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定し ます。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1 or 2 or 3" ↓
1. AR ルータの設定
・
IPsecの設定(続き)
38. IKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)を素通しさせるIPsecポリシー「isa」「nat」を作成し ます。
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY=nat INT=ppp0 ACTION=PERMIT LPORT=4500 TRANSPORT=UDP ↓
39. L2TPパケットを暗号化するIPsecポリシー「L2」をPPPインターフェース「0」に対して作成します。鍵管理方式 には「ISAKMP」を指定します。VPNクライアントのIPアドレスが不定なため、PEERにはISAKMPの認証をパス した相手という意味の「DYNAMIC」を、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定しま す。また、LPORTとTRANSPORTで対象となるパケットの条件(ここではL2TPパケット)を指定します。
CREATE IPSEC POLICY=L2 INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓ SET IPSEC POLICY=L2 LPORT=1701 TRANSPORT=UDP ↓
40. インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
Note -NAT-Traversalを使用する場合は、必ずIKEとNAT-Tのパケットが通過できるような設定を行ってください。
Note -「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順は
SHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使 用します。
1. AR ルータの設定
・
IPsecの設定(続き)
41. IPsecモジュールを有効にします。 ENABLE IPSEC ↓ 42. ISAKMPモジュールを有効にします。 ENABLE ISAKMP ↓ 43. Security Officerレベルのユーザーでログインしなおします。 LOGIN secoff ↓ 44. 動作モードをセキュリティーモードに切り替えます。ENABLE SYSTEM SECURITY_MODE ↓
45. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓ SET CONFIG=router.cfg ↓
Note -セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードに
おいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてくださ い 。
2. Net’Attest EPS 設定例
Net’Attest EPSのIPアドレス設定など、初期設定については本資料には記載しておりません。 前提となる初期設定は以下です ・ システム初期設定 ・ サービス初期設定 ・ LDAP設定とLDAPサービスの起動 詳細は管理者マニュアル等をご参照下さい2. Net’Attest EPS 設定例
RADIUSクライアントの登録 RADIUSクライアントとしてRADIUS認証を 行なう機器を登録します。 本資料では、AR560S がRADIUSクライアントとなります。2. Net’Attest EPS 設定例
RADIUSクライアントを識別するための任意文字列を 入力します AR560SのIPアドレスを入力します。本資料では 192.168.1.1になります。 RADIUSクライアントを認証するためのパスワード として、RADIUSクライアント側に設定したものと 同一の任意文字列を入力します。 (本資料7ページのAR560S設定参照)2. Net’Attest EPS 設定例
2. Net’Attest EPS 設定例
ユーザーの登録
2. Net’Attest EPS 設定例
認証を行なうユーザーの姓および名 を入力します 認証を行なう際に入力するユーザー IDとパスワードを入力します 上記の各情報を入力後、OKをクリッ クするとユーザーが登録されます3. iPhone/iPad 設定例
本資料ではiPhone 3GS/iOS 4.2 を元として記載しております
