リモートアクセス型L2TP+IPsec VPN

リモートアクセス型L2TP+IPsec VPN

(既設FWあり、既設NW変更あり、Global IP使用)

本資料は、弊社での検証に基づき Firewall、ARシリーズ、VPNクライアント

目次

構成概要

構成図

ARルーターのパラメータ

ARルーターの設定手順

VPNクライアントの設定

構成概要

本資料では、FirewallのTrust側に接続されたARルーターにVPN接続を行う設定方法をご紹介します。 Firewallの設定方法については、ご使用のFirewall製品のマニュアルをご参照ください。

本構成について

Firewallポリシーで、ARルーター宛のIKEパケット(UDP 500番)とNAT-Tパケット(UDP 4500番)とESPパケット (50番)を許可します。

ARルーターのEth0にGlobal IPアドレスが設定されており、ARルーターでもFirewall機能を使用します。 リモートアクセスで接続するユーザーごとに固定IPアドレスを付与します。

構成図

IP: 111.11.11.1/24 zone: Untrust インターネット インターネット 3Gネットワーク 3Gネットワーク ARルーター L2SW Firewall IP: 10.100.10.254/24 zone: Trust Interface: eth0 IP: 10.100.10.1/24 Interface: vlan1 IP: 192.168.1.1/24 10.100.10.1宛のIKE(UDP 500番)、NAT-T(UDP 4500番)、 ESP(50番)パケットを許可 10.100.10.1宛のIKE(UDP 500番)、NAT-T(UDP 4500番)、 ESP(50番)パケットを許可 Firewall有効 DHCPサーバ Firewall有効 DHCPサーバ 10.100.10.1宛にVPN接続 10.100.10.1宛にVPN接続 VPNトンネル VPNトンネル

iPhone, iPad, Android, PC 192.168.2.1-4

(ユーザー毎に固定IPアドレス付与)

ARルーターのパラメータ

本資料では以下のパラメータでの設定例をご紹介します。 ルーターの基本設定 接続してきたVPNクライアントには、IPアドレスプール「VPNC」(192.168.2.1～192.168.2.100)から空きアドレスを 動的に割り当てます。また、クライアントのPPPユーザー名とパスワードは次の通りとします。 WAN側物理インターフェース eth0 WAN側IPアドレス 10.100.10.1/24（eth0） LAN側IPアドレス 192.168.1.1/24（vlan1） IKEフェーズ1の認証方式 事前共有鍵(pre-shared key) 事前共有鍵(pre-shared key) secret(文字列)

DPDによる死活監視 行う(対向機器がDPDをサポートしている場合) NAT-Traversalのネゴシエーション 行う ユーザー名 パスワード 登録ユーザー(その1) AAA PasswordA 登録ユーザー(その2) BBB PasswordB 登録ユーザー(その3) CCC PasswordC 登録ユーザー(その4) DDD PasswordD

工場出荷時設定のCLIの ログインID/PW は下記の通りです。

ID : manager

PW : friend

本資料はAR415S/AR550S/AR560S/AR570Sのファームウェアバージョン 2.9.2-00

以上に適応可能です。AR260S V2はスマートフォンからのリモートアクセスに対応し

ておりません。

各設定画面のパラメータ詳細については、ユーザーマニュアルや設定例をご参照くだ

さい。

http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/index.html

http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-93.html

http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-195.html

ARルーターの設定手順

Note ‐ セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。

IPアドレスおよびSecurity Officer レベルユーザーの作成

1. IPモジュールを有効にします。

ENABLE IP ↓

2. LAN側(vlan1)インターフェースにIPアドレスを設定します。

ADD IP INT=vlan1 IP=192.168.1.1 MASK=255.255.255.0 ↓

3. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成 します。PWは「secoff」とします。

ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER ↓

ARルーターの設定手順

WAN側インターフェースおよびスタティックルートの設定

1. WAN側（eth0）インターフェースにIPアドレス「172.16.1.100」を設定します。

ADD IP INT=eth0 IP=10.100.10.1 MASK=255.255.255.0 ↓

2. デフォルトルートを設定します。

ARルーターの設定手順

認証ユーザーの登録

1. 暗号化されたL2TPトンネル経由でPPP接続してくるVPNクライアントを認証するためのユーザー(PPP ユーザー)を登録します。また、ユーザ毎に固定されたIPアドレスを付与します。

ADD USER=AAA PASSWORD=PasswordA IPADDRESS=192.168.2.1 NETMASK=255.255.255.255 LOGIN=NO ↓ ADD USER=BBB PASSWORD=PasswordB IPADDRESS=192.168.2.2 NETMASK=255.255.255.255 LOGIN=NO ↓ ADD USER=CCC PASSWORD=PasswordC IPADDRESS=192.168.2.3 NETMASK=255.255.255.255 LOGIN=NO ↓ ADD USER=DDD PASSWORD=PasswordD IPADDRESS=192.168.2.4 NETMASK=255.255.255.255 LOGIN=NO ↓

ARルーターの設定手順

L2TPプロトコルならびにPPP TEMPLATEの設定

1. L2TP経由でVPNクライアントがPPP接続してきたときに動的に作成するPPPインターフェースのテンプ レート「1」を作成します。接続時の認証にはCHAPを使い、CHAPの再認証はOFFにし、VJ圧縮を有効 にします。

CREATE PPP TEMPLATE=1 AUTHENTICATION=CHAP BAP=OFF ECHO=30 RECHALLENGE=OFF VJC=ON ↓ 2. L2TPモジュールを有効にします。 ENABLE L2TP ↓ 3. L2TPサーバーをBOTHモードで起動します。 ENABLE L2TP SERVER=BOTH ↓ 4. VPNクライアントにDNSサーバーアドレス「192.168.1.100」を通知します。 SET PPP DNSPRIMARY=192.168.1.100 ↓ Note –VPNクライアントにDNSサーバーを通知する場合に必要な設定です。本コマンドを使用せず、 ADD IP DNS PRIMARY=192.168.1.100 コマンドでルーター本体にDNSサーバーを手動登録すれば同様に通知可能です。

ARルーターの設定手順

Firewallの設定

1. ファイアウォール機能を有効にします。

ENABLE FIREWALL ↓

2. ファイアウォールの動作を規定するファイアウォールポリシーを作成します。

CREATE FIREWALL POLICY=net ↓

3. ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。

ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓

4. ルーターのidentプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対し て、ただちにTCP RSTを返すよう設定します。

DISABLE FIREWALL POLICY=net IDENTPROXY ↓

5. VPNクライアントがL2TP経由で接続してきたときに動的に作成されるPPPインターフェース用のファイア ウォール設定を行います。最初に、ダイナミックインターフェーステンプレート「vpnif」を作成します。名前は 自由です。

ARルーターの設定手順

6. 次に、ダイナミックインターフェーステンプレート「vpnif」の対象ユーザーを指定します。USERパラメーター で指定したユーザーが接続してきたときに動的作成されるPPPインターフェースは、ADD FIREWALL POLICY INTERFACEコマンドで「DYN-templatename」として参照できます（templatenameはテンプレート 名）。ここでは対象ユーザーとして「ANY」を指定しています。これは、PPPの認証をパスしたすべてのユー ザーが対象であることを示します。

ADD FIREWALL POLICY=net DYNAMIC=vpnif USER=ANY ↓

7. ファイアウォールポリシーの適用対象となるインターフェースを指定します。 LAN側インターフェース（vlan1）をPRIVATE（内部）に設定します。

ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓

8. WAN側インターフェース（eth0）をPUBLIC（外部）に設定します。

ADD FIREWALL POLICY=net INT=eth0 TYPE=PUBLIC ↓

9. L2TP経由でユーザーが接続してきたときに動的作成されるPPPインターフェース（vpnif）をPRIVATE（内 部）に設定します。

ARルーターの設定手順

11. VPNクライアントがENAT機能を使用できるよう設定します。グローバルアドレスには、eth0のIPアドレスを 使用します。

ADD FIREWALL POLICY=net NAT=ENHANCED INT=DYN-vpnif GBLINT=eth0 ↓

12. VPNクライアントから受信したIKEパケット（UDP500番）とNAT-Tパケット（UDP4500番）がファイアウォール を通過できるように設定します。

ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=eth0 PROT=UDP GBLPORT=500 GBLIP=10.100.10.1 PORT=500 IP=10.100.10.1 ↓

ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=eth0 PROT=UDP GBLPORT=4500 GBLIP=10.100.10.1 PORT=4500 IP=10.100.10.1 ↓

13. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるための ルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこ のルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットがUDPで終点ポート が1701番（L2TPパケット）ならば許可する」の意味になります。

ADD FIREWALL POLICY=net RULE=3 AC=ALLOW INT=eth0 PROT=UDP GBLPORT=1701 GBLIP=10.100.10.1 PORT=1701 IP=10.100.10.1 ENCAP=IPSEC ↓

ARルーターの設定手順

DHCP Server の設定

1. DHCPサーバー機能を有効にします。

ENABLE DHCP ↓

2. DHCPポリシー「DHCP」を作成します。IPアドレスの使用期限は3,600秒（1時間）とします。

CREATE DHCP POLI="DHCP" LEASE=3600 ↓

3. クライアントに提供する情報を設定します。ここでは、DNSサーバーアドレスとして、ルーターのLAN側イン ターフェースのIPアドレスを指定しています。ここへ送られたDNSリクエストは、DNSリレー機能によりISPの DNSサーバーに転送されます。

ADD DHCP POLICY="DHCP" SUBNET=255.255.255.0 ROUTER=192.168.1.1 DNSSERVER=192.168.1.100 ↓

4. クライアントに提供するIPアドレスの範囲を設定します。ここでは、192.168.1.128～192.168.1.143の16個を 指定しています。

ARルーターの設定手順

ISAKMPの設定

1. ISAKMP用の事前共有鍵（pre-shared key）を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」 という文字列で指定します（VPNクライアントにも同じ値を設定）。

CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓

2. VPNクライアントからのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。

ISAKMPメッセージの暗号化には「3DES」、認証には「SHA」アルゴリズム、Oakleyグループは「2」を使用し、 VPNクライアントとの認証には前の手順で作成した事前共有鍵（鍵番号「1」）を使います。さらに、クライアン トのIPアドレスが不定なためPEERにANYを指定し、NAT-Traversalを有効にしています。

CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE NATTRAVERSAL=TRUE ↓ SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA GROUP=2 ↓

3. DPDを有効にします。

SET ISAKMP POLICY="i" DPDMODE=both ↓

↓

Note ‐ CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）な どで設定スクリプトファイル（.CFG）にこのコマンドを記述しても無効になりますのでご注意ください。

ARルーターの設定手順

IPsecの設定

1. IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号 化方式 「AES256bit」、認証方式「SHA」に設定します。この例ではL2TPによってトンネリングを行うため、デ フォルトのトンネルモードは使用せずに、トランスポートモードを使用します。UDP1701番ポートを使って送 受信されるL2TPパケットだけを暗号化する形になります。

CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES256 HASHALG=SHA MODE=TRANSPORT ↓

2. 同様にIPsec通信の仕様を定義するSAスペック「2」を作成します。鍵管理方式「ISAKMP」、プロトコル 「ESP」、暗号化方式 「AES128bit」、認証方式「SHA」に設定します。

CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES128 HASHALG=SHA MODE=TRANSPORT ↓

3. 同様にIPsec通信の仕様を定義するSAスペック「3」を作成します。鍵管理方式「ISAKMP」、プロトコル 「ESP」、暗号化方式 「3DES」、認証方式「SHA」に設定します。

CREATE IPSEC SASPEC=3 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA MODE=TRANSPORT ↓

ARルーターの設定手順

5. IKEパケット（UDP500番）とNAT-Tパケット（UDP4500番）を素通しさせるIPsecポリシー「isa」「nat」を 作成します。

CREATE IPSEC POLICY=isa INT=eth0 ACTION=PERMIT LPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY=nat INT=eth0 ACTION=PERMIT LPORT=4500 TRANSPORT=UDP ↓

6. L2TPパケットを暗号化するIPsecポリシー「L2」をeth0インターフェースに対して作成します。鍵管理方式に は「ISAKMP」を指定します。VPNクライアントのIPアドレスが不定なため、PEERにはISAKMPの認証をパスし た相手という意味の「DYNAMIC」を、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定しま す。また、LPORTとTRANSPORTで対象となるパケットの条件（ここではL2TPパケット）を指定します。

CREATE IPSEC POLICY=L2 INT=eth0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓ SET IPSEC POLICY=L2 LPORT=1701 TRANSPORT=UDP ↓

7. インターネットへの平文通信を許可するIPsecポリシー「inet」をeth0インターフェースに対して作成します。

CREATE IPSEC POLICY="inet" INT=eth0 ACTION=PERMIT ↓

Note ‐ NAT‐Traversalを使用する場合は、必ずIKEとNAT‐Tのパケットが通過できるような設定を行ってください。

Note ‐ 「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICY コマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメータを使用します。

ARルーターの設定手順

8. IPsecモジュールを有効にします。 ENABLE IPSEC ↓ 9. ISAKMPモジュールを有効にします。 ENABLE ISAKMP ↓ 10. Security Officerレベルのユーザーでログインしなおします。 LOGIN secoff ↓ 11. 動作モードをセキュリティーモードに切り替えます。

ENABLE SYSTEM SECURITY_MODE ↓

12. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。 Note ‐ セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security 

VPNクライアントの設定

VPNクライアントの設定手順は、以下を参照下さい。

VPN接続先のIPアドレスやパスワード等、各種パラメータがそのまま流用できます。

■参照先

CentreCOM AR560S 設定例集 2.9 #197

「リモートアクセス型L2TP＋IPsec VPNとResponder Rekey Extensionによる死活監視 （クライアントはWindows XP/Vista/7、iPhone/iPadおよびAndroid(TM)端末）」

http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-197.html

※Windows接続検証は以下を参照し実施しております（当社独自調査であり、接続を保証するものではございません）。

WindowsXP (Service Pack 3) : Microsoftサポート 文書番号: 885407 Windows7 : Microsoftサポート 文書番号: 926179