リモートアクセス型L2TP+IPsec VPN
(既設FWあり、既設NW変更あり、Global IP使用)
本資料は、弊社での検証に基づき Firewall、ARシリーズ、VPNクライアント目次
構成概要
構成図
ARルーターのパラメータ
ARルーターの設定手順
VPNクライアントの設定
構成概要
本資料では、FirewallのTrust側に接続されたARルーターにVPN接続を行う設定方法をご紹介します。 Firewallの設定方法については、ご使用のFirewall製品のマニュアルをご参照ください。
本構成について
Firewallポリシーで、ARルーター宛のIKEパケット(UDP 500番)とNAT-Tパケット(UDP 4500番)とESPパケット (50番)を許可します。
ARルーターのEth0にGlobal IPアドレスが設定されており、ARルーターでもFirewall機能を使用します。 リモートアクセスで接続するユーザーごとに固定IPアドレスを付与します。
構成図
IP: 111.11.11.1/24 zone: Untrust インターネット インターネット 3Gネットワーク 3Gネットワーク ARルーター L2SW Firewall IP: 10.100.10.254/24 zone: Trust Interface: eth0 IP: 10.100.10.1/24 Interface: vlan1 IP: 192.168.1.1/24 10.100.10.1宛のIKE(UDP 500番)、NAT-T(UDP 4500番)、 ESP(50番)パケットを許可 10.100.10.1宛のIKE(UDP 500番)、NAT-T(UDP 4500番)、 ESP(50番)パケットを許可 Firewall有効 DHCPサーバ Firewall有効 DHCPサーバ 10.100.10.1宛にVPN接続 10.100.10.1宛にVPN接続 VPNトンネル VPNトンネルiPhone, iPad, Android, PC 192.168.2.1-4
(ユーザー毎に固定IPアドレス付与)
ARルーターのパラメータ
本資料では以下のパラメータでの設定例をご紹介します。 ルーターの基本設定 接続してきたVPNクライアントには、IPアドレスプール「VPNC」(192.168.2.1~192.168.2.100)から空きアドレスを 動的に割り当てます。また、クライアントのPPPユーザー名とパスワードは次の通りとします。 WAN側物理インターフェース eth0 WAN側IPアドレス 10.100.10.1/24(eth0) LAN側IPアドレス 192.168.1.1/24(vlan1) IKEフェーズ1の認証方式 事前共有鍵(pre-shared key) 事前共有鍵(pre-shared key) secret(文字列)DPDによる死活監視 行う(対向機器がDPDをサポートしている場合) NAT-Traversalのネゴシエーション 行う ユーザー名 パスワード 登録ユーザー(その1) AAA PasswordA 登録ユーザー(その2) BBB PasswordB 登録ユーザー(その3) CCC PasswordC 登録ユーザー(その4) DDD PasswordD
工場出荷時設定のCLIの ログインID/PW は下記の通りです。
ID : manager
PW : friend
本資料はAR415S/AR550S/AR560S/AR570Sのファームウェアバージョン 2.9.2-00
以上に適応可能です。AR260S V2はスマートフォンからのリモートアクセスに対応し
ておりません。
各設定画面のパラメータ詳細については、ユーザーマニュアルや設定例をご参照くだ
さい。
http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/index.html
http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-93.html
http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-195.html
ARルーターの設定手順
Note ‐ セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。
IPアドレスおよびSecurity Officer レベルユーザーの作成
1. IPモジュールを有効にします。
ENABLE IP ↓
2. LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.1.1 MASK=255.255.255.0 ↓
3. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成 します。PWは「secoff」とします。
ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER ↓
ARルーターの設定手順
WAN側インターフェースおよびスタティックルートの設定
1. WAN側(eth0)インターフェースにIPアドレス「172.16.1.100」を設定します。
ADD IP INT=eth0 IP=10.100.10.1 MASK=255.255.255.0 ↓
2. デフォルトルートを設定します。
ARルーターの設定手順
認証ユーザーの登録
1. 暗号化されたL2TPトンネル経由でPPP接続してくるVPNクライアントを認証するためのユーザー(PPP ユーザー)を登録します。また、ユーザ毎に固定されたIPアドレスを付与します。
ADD USER=AAA PASSWORD=PasswordA IPADDRESS=192.168.2.1 NETMASK=255.255.255.255 LOGIN=NO ↓ ADD USER=BBB PASSWORD=PasswordB IPADDRESS=192.168.2.2 NETMASK=255.255.255.255 LOGIN=NO ↓ ADD USER=CCC PASSWORD=PasswordC IPADDRESS=192.168.2.3 NETMASK=255.255.255.255 LOGIN=NO ↓ ADD USER=DDD PASSWORD=PasswordD IPADDRESS=192.168.2.4 NETMASK=255.255.255.255 LOGIN=NO ↓
ARルーターの設定手順
L2TPプロトコルならびにPPP TEMPLATEの設定
1. L2TP経由でVPNクライアントがPPP接続してきたときに動的に作成するPPPインターフェースのテンプ レート「1」を作成します。接続時の認証にはCHAPを使い、CHAPの再認証はOFFにし、VJ圧縮を有効 にします。
CREATE PPP TEMPLATE=1 AUTHENTICATION=CHAP BAP=OFF ECHO=30 RECHALLENGE=OFF VJC=ON ↓ 2. L2TPモジュールを有効にします。 ENABLE L2TP ↓ 3. L2TPサーバーをBOTHモードで起動します。 ENABLE L2TP SERVER=BOTH ↓ 4. VPNクライアントにDNSサーバーアドレス「192.168.1.100」を通知します。 SET PPP DNSPRIMARY=192.168.1.100 ↓ Note –VPNクライアントにDNSサーバーを通知する場合に必要な設定です。本コマンドを使用せず、 ADD IP DNS PRIMARY=192.168.1.100 コマンドでルーター本体にDNSサーバーを手動登録すれば同様に通知可能です。
ARルーターの設定手順
Firewallの設定
1. ファイアウォール機能を有効にします。
ENABLE FIREWALL ↓
2. ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
CREATE FIREWALL POLICY=net ↓
3. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
4. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対し て、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
5. VPNクライアントがL2TP経由で接続してきたときに動的に作成されるPPPインターフェース用のファイア ウォール設定を行います。最初に、ダイナミックインターフェーステンプレート「vpnif」を作成します。名前は 自由です。
ARルーターの設定手順
6. 次に、ダイナミックインターフェーステンプレート「vpnif」の対象ユーザーを指定します。USERパラメーター で指定したユーザーが接続してきたときに動的作成されるPPPインターフェースは、ADD FIREWALL POLICY INTERFACEコマンドで「DYN-templatename」として参照できます(templatenameはテンプレート 名)。ここでは対象ユーザーとして「ANY」を指定しています。これは、PPPの認証をパスしたすべてのユー ザーが対象であることを示します。ADD FIREWALL POLICY=net DYNAMIC=vpnif USER=ANY ↓
7. ファイアウォールポリシーの適用対象となるインターフェースを指定します。 LAN側インターフェース(vlan1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
8. WAN側インターフェース(eth0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=eth0 TYPE=PUBLIC ↓
9. L2TP経由でユーザーが接続してきたときに動的作成されるPPPインターフェース(vpnif)をPRIVATE(内 部)に設定します。
ARルーターの設定手順
11. VPNクライアントがENAT機能を使用できるよう設定します。グローバルアドレスには、eth0のIPアドレスを 使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=DYN-vpnif GBLINT=eth0 ↓
12. VPNクライアントから受信したIKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)がファイアウォール を通過できるように設定します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=eth0 PROT=UDP GBLPORT=500 GBLIP=10.100.10.1 PORT=500 IP=10.100.10.1 ↓
ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=eth0 PROT=UDP GBLPORT=4500 GBLIP=10.100.10.1 PORT=4500 IP=10.100.10.1 ↓
13. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるための ルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこ のルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットがUDPで終点ポート が1701番(L2TPパケット)ならば許可する」の意味になります。
ADD FIREWALL POLICY=net RULE=3 AC=ALLOW INT=eth0 PROT=UDP GBLPORT=1701 GBLIP=10.100.10.1 PORT=1701 IP=10.100.10.1 ENCAP=IPSEC ↓
ARルーターの設定手順
DHCP Server の設定
1. DHCPサーバー機能を有効にします。
ENABLE DHCP ↓
2. DHCPポリシー「DHCP」を作成します。IPアドレスの使用期限は3,600秒(1時間)とします。
CREATE DHCP POLI="DHCP" LEASE=3600 ↓
3. クライアントに提供する情報を設定します。ここでは、DNSサーバーアドレスとして、ルーターのLAN側イン ターフェースのIPアドレスを指定しています。ここへ送られたDNSリクエストは、DNSリレー機能によりISPの DNSサーバーに転送されます。
ADD DHCP POLICY="DHCP" SUBNET=255.255.255.0 ROUTER=192.168.1.1 DNSSERVER=192.168.1.100 ↓
4. クライアントに提供するIPアドレスの範囲を設定します。ここでは、192.168.1.128~192.168.1.143の16個を 指定しています。
ARルーターの設定手順
ISAKMPの設定
1. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」 という文字列で指定します(VPNクライアントにも同じ値を設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
2. VPNクライアントからのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。
ISAKMPメッセージの暗号化には「3DES」、認証には「SHA」アルゴリズム、Oakleyグループは「2」を使用し、 VPNクライアントとの認証には前の手順で作成した事前共有鍵(鍵番号「1」)を使います。さらに、クライアン トのIPアドレスが不定なためPEERにANYを指定し、NAT-Traversalを有効にしています。
CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE NATTRAVERSAL=TRUE ↓ SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA GROUP=2 ↓
3. DPDを有効にします。
SET ISAKMP POLICY="i" DPDMODE=both ↓
↓
Note ‐ CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)な どで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
ARルーターの設定手順
IPsecの設定
1. IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号 化方式 「AES256bit」、認証方式「SHA」に設定します。この例ではL2TPによってトンネリングを行うため、デ フォルトのトンネルモードは使用せずに、トランスポートモードを使用します。UDP1701番ポートを使って送 受信されるL2TPパケットだけを暗号化する形になります。CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES256 HASHALG=SHA MODE=TRANSPORT ↓
2. 同様にIPsec通信の仕様を定義するSAスペック「2」を作成します。鍵管理方式「ISAKMP」、プロトコル 「ESP」、暗号化方式 「AES128bit」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES128 HASHALG=SHA MODE=TRANSPORT ↓
3. 同様にIPsec通信の仕様を定義するSAスペック「3」を作成します。鍵管理方式「ISAKMP」、プロトコル 「ESP」、暗号化方式 「3DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=3 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA MODE=TRANSPORT ↓
ARルーターの設定手順
5. IKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)を素通しさせるIPsecポリシー「isa」「nat」を 作成します。
CREATE IPSEC POLICY=isa INT=eth0 ACTION=PERMIT LPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY=nat INT=eth0 ACTION=PERMIT LPORT=4500 TRANSPORT=UDP ↓
6. L2TPパケットを暗号化するIPsecポリシー「L2」をeth0インターフェースに対して作成します。鍵管理方式に は「ISAKMP」を指定します。VPNクライアントのIPアドレスが不定なため、PEERにはISAKMPの認証をパスし た相手という意味の「DYNAMIC」を、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定しま す。また、LPORTとTRANSPORTで対象となるパケットの条件(ここではL2TPパケット)を指定します。
CREATE IPSEC POLICY=L2 INT=eth0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓ SET IPSEC POLICY=L2 LPORT=1701 TRANSPORT=UDP ↓
7. インターネットへの平文通信を許可するIPsecポリシー「inet」をeth0インターフェースに対して作成します。
CREATE IPSEC POLICY="inet" INT=eth0 ACTION=PERMIT ↓
Note ‐ NAT‐Traversalを使用する場合は、必ずIKEとNAT‐Tのパケットが通過できるような設定を行ってください。
Note ‐ 「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICY コマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメータを使用します。
ARルーターの設定手順
8. IPsecモジュールを有効にします。 ENABLE IPSEC ↓ 9. ISAKMPモジュールを有効にします。 ENABLE ISAKMP ↓ 10. Security Officerレベルのユーザーでログインしなおします。 LOGIN secoff ↓ 11. 動作モードをセキュリティーモードに切り替えます。ENABLE SYSTEM SECURITY_MODE ↓
12. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。 Note ‐ セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security
VPNクライアントの設定
VPNクライアントの設定手順は、以下を参照下さい。
VPN接続先のIPアドレスやパスワード等、各種パラメータがそのまま流用できます。
■参照先
CentreCOM AR560S 設定例集 2.9 #197
「リモートアクセス型L2TP+IPsec VPNとResponder Rekey Extensionによる死活監視 (クライアントはWindows XP/Vista/7、iPhone/iPadおよびAndroid(TM)端末)」
http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-197.html
※Windows接続検証は以下を参照し実施しております(当社独自調査であり、接続を保証するものではございません)。
WindowsXP (Service Pack 3) : Microsoftサポート 文書番号: 885407 Windows7 : Microsoftサポート 文書番号: 926179