Microsoft Word - VPN設定例集(第1.0版)表紙.doc

▮

▮

▮

▮設定例集

設定例集

設定例集

_設定例集

安全のために

安全のために

安全のために

安全のために

このたびは弊社製品をご購入いただきありがとうございます。 本設定例集は以下の 本設定例集は以下の本設定例集は以下の 本設定例集は以下の機器機器機器機器を対象にしています。を対象にしています。を対象にしています。を対象にしています。 • HL310 • HL320 • HL330-D • HL330-S • HL520 本設定例集 本設定例集本設定例集 本設定例集は以下の方を対象にしています。は以下の方を対象にしています。は以下の方を対象にしています。は以下の方を対象にしています。 • ネットワークの知識を有する方 • VPN(IPsec)の知識を有する方 安全についての注意 安全についての注意安全についての注意 安全についての注意 表示内容を無視して誤った使い方をしたときに生じる危害や損害の程度を、次の表示で区分し、説明しています。 注意 注意 注意 注意 この表示は取扱を誤った場合、「障害を負う可能性又は物理障害が発生する可能性が想定される」内容です。 警告 警告 警告 警告 この表示は取扱を誤った場合、「死亡または、重傷などを負う可能性が想定される」内容です｡ お守りいただく内容の種類を、次の絵表示で区分し、説明しています。 このような絵表示は、してはいけない「禁止禁止禁止」内容です。 禁止 このような絵表示は、必ず実行していただく「強制強制強制強制」内容です。 注意 注意注意 注意 乳幼児の手の届くところに取付けない 乳幼児の手の届くところに取付けない乳幼児の手の届くところに取付けない 乳幼児の手の届くところに取付けない けがの原因になります。 電源は必ずカプラーを持って抜くこと 電源は必ずカプラーを持って抜くこと電源は必ずカプラーを持って抜くこと 電源は必ずカプラーを持って抜くこと コードを引っ張ると感電・火災の原因となります。 警告 警告 警告 警告 分解・改造をしない 分解・改造をしない 分解・改造をしない 分解・改造をしない けが・故障・火災の原因となります。 強い衝撃を与えない 強い衝撃を与えない 強い衝撃を与えない 強い衝撃を与えない 発熱・故障・火災の原因となります。 水濡れ・結露禁止 水濡れ・結露禁止 水濡れ・結露禁止 水濡れ・結露禁止 水などの液体が入る又は結露すると、感電・故障の原因となります。 高温・高湿となる場所での使用・放置禁止 高温・高湿となる場所での使用・放置禁止 高温・高湿となる場所での使用・放置禁止 高温・高湿となる場所での使用・放置禁止 感電・発煙・火災の原因となります。 直射日光のあたる場所での使用・放置禁止 直射日光のあたる場所での使用・放置禁止 直射日光のあたる場所での使用・放置禁止 直射日光のあたる場所での使用・放置禁止 感電・発煙・火災の原因となります。 ホコリの多い場所 ホコリの多い場所 ホコリの多い場所 ホコリの多い場所 感電・発煙・火災の原因となります。 不安定な場所、傾斜している場所 不安定な場所、傾斜している場所 不安定な場所、傾斜している場所 不安定な場所、傾斜している場所 故障・けがの原因となります。 振動や衝撃の激しい場所 振動や衝撃の激しい場所 振動や衝撃の激しい場所 振動や衝撃の激しい場所 故障・けがの原因となります。 雷、電気炉などサージ電圧や妨害電波などの入りやすい 雷、電気炉などサージ電圧や妨害電波などの入りやすい 雷、電気炉などサージ電圧や妨害電波などの入りやすい 雷、電気炉などサージ電圧や妨害電波などの入りやすい 場所 場所 場所 場所 感電・発煙・火災の原因となります。 装置内部を直接手で触らない 装置内部を直接手で触らない 装置内部を直接手で触らない 装置内部を直接手で触らない けが・感電・故障の原因となります。 規定入力電圧以上・以下での使用禁止 規定入力電圧以上・以下での使用禁止 規定入力電圧以上・以下での使用禁止 規定入力電圧以上・以下での使用禁止 故障・発煙・火災の原因となります。 電源端子をショートさせない 電源端子をショートさせない 電源端子をショートさせない 電源端子をショートさせない 故障・けがの原因となります。 電源ケーブルが傷んだら使用しない 電源ケーブルが傷んだら使用しない 電源ケーブルが傷んだら使用しない 電源ケーブルが傷んだら使用しない 火災・感電の原因となります。

目次

目次

目次

目次

安全のために

安全のために

安全のために

安全のために... 1

目次

目次

目次

目次 ... 2

1．．．VPN 設定について． 設定について設定について ... 3設定について 1-1．概要．概要．概要 ... 3．概要 1-2．．．VPN とは． とはとはとは ... 3 1-3．設定項目一覧．設定項目一覧．設定項目一覧 ... 4．設定項目一覧 1-4．．．VPN 設定時の注意点． 設定時の注意点設定時の注意点設定時の注意点 ... 6 1-5．．．RSA 公開鍵の作成手順． 公開鍵の作成手順公開鍵の作成手順 ... 7公開鍵の作成手順 2．．．VPN 接続設定例． 接続設定例接続設定例 ... 8接続設定例 2-1．．．HL シリーズ対向による． シリーズ対向によるシリーズ対向によるシリーズ対向による VPN 接続接続接続接続 ... 8 2-2．．．HL シリーズ対向による． シリーズ対向によるシリーズ対向によるシリーズ対向による VPN 接続接続接続接続 （動的（動的（動的（動的 IP 使用、メインモード）使用、メインモード）使用、メインモード）使用、メインモード）... 10 2-3．．．HL シリーズ対向による． シリーズ対向によるシリーズ対向によるシリーズ対向による VPN 接続接続接続接続 （動的（動的（動的（動的 IP 使用、アグレッシブモード）使用、アグレッシブモード）使用、アグレッシブモード）使用、アグレッシブモード） ... 12 2-4．．．HL シリーズ対向による． シリーズ対向によるシリーズ対向によるシリーズ対向による VPN 接続接続接続接続 （ダイナミック（ダイナミック（ダイナミック（ダイナミック DNS 使用）使用）使用）使用） ... 14 2-5．．．HL シリーズと． シリーズとシリーズとシリーズと VPN ルータ間でルータ間でルータ間でルータ間で VPN 接続接続接続 （メインモード）接続（メインモード）（メインモード） ... 16（メインモード） 2-6．．．HL シリーズと． シリーズとシリーズとシリーズと VPN ルータ間でルータ間でルータ間でルータ間で VPN 接続接続接続 （アグレッシブモード）接続（アグレッシブモード）（アグレッシブモード） ... 17（アグレッシブモード） 2-7．．．HL シリーズと． シリーズとシリーズとシリーズと Windows PC（（（（XP、、Vista、、、 、、、7）間で）間で）間で）間で VPN 接続接続接続接続 ... 18 2-8．．．HL シリーズと． シリーズとシリーズとシリーズと Windows XP 間で間で間で間で VPN 接続接続接続 （（（（NAT-Traversal）））） ... 19接続 2-9．．．Microsoft Windows 7 （（（（Vista）の． ）の）の）の VPN 設定方法設定方法設定方法設定方法 ... 21

2-10．．．．Microsoft Windows XP のののの VPN 設定方法設定方法設定方法 ... 27設定方法

1．

．

．VPN 設定について

．

設定について

設定について

設定について

1-1．

．

．概要

．

概要

概要

概要

この設定例集では、HL シリーズの製品を使用して VPN 接続を行う場合の設定例を紹介します。 HL シリーズは WAN 側(インターネット側)で VPN 接続を行います（LAN 側での VPN 接続はご利用いただけません）。 VPN 接続相手は、VPN ルータや Windows 7、XP パソコンになります。また HL シリーズ同士で VPN 接続することが可能です。 次の様な使い方ができます。 1．HL シリーズ同士で VPN を張り、2 つの仮設ネットワーク間（展示場、工事現場）を VPN 接続する。 2．HL シリーズと VPN ルータ間で VPN を張り、仮設ネットワークと社内 LAN を VPN 接続する。 3．HL シリーズと Windows 7、XP パソコン間で VPN を張り、仮設ネットワークと社内パソコンを VPN 接続する。 主な仕様
接続形態 ：IPsec／NAT Traversal 対応
登録件数 ：5 本 （登録件数はカスタマイズできます）
同時接続数 ：5 本
接続モード ：トンネルモード

IKE モード ：Main モード、Quick モード、Aggressive モード

認証方式 ：共有鍵／公開鍵（1024bit）

暗号化アルゴリズム ：AES、3DES、DES （DES はフェーズ 2 のみ対応）

認証アルゴリズム ：MD5、SHA1

Diffie-Hellman 交換：Modp2048,Modp1536, Modp1024

1-2．

．

．VPN とは

．

とは

とは

とは

VPN とは Virtual Private Network の略で、仮想プライベートネットワークの意味です。送受信するデータに対して暗号化を施すなどして、公衆

網であるインターネット上に「仮想的な専用線」を張ることができる技術です。 拠点 拠点 拠点 拠点1 拠点拠点拠点拠点2 インターネット クライアント クライアント クライアント クライアント 暗号化・トンネル化・認証 暗号化・トンネル化・認証 暗号化・トンネル化・認証 暗号化・トンネル化・認証 HLシリーズ (VPNゲートウェイ） VPNゲートウェイ VPN モバイル通信端末を使用した定額インターネット接続サービスを利用することで、ランニングコストを抑えつつ、専用線並みの高セキュリティな 通信ネットワークをインターネット上に構築することができます。 VPN 構築のメリットは、 1. トンネル化 ローカルアドレスを持った拠点 1 のクライアントと拠点 2 のクライアントが、双方向に直接アクセスできるようになります。 2. 暗号化 VPN ゲートウェイ間のデータは暗号化されます。

1-3．設定項

．設定項

．設定項目一覧

．設定項

目一覧

目一覧

目一覧

◆ VPN 設定一覧設定一覧設定一覧設定一覧 設定設定設定項目設定項目項目 項目 項目 項目項目 項目 設定値設定値 設定値設定値 説明説明説明説明 初期値初期値初期値初期値 VPN 有効 (use) 0：無効 1：有効 VPN 機能を有効にするか無効にするか選択します。 0：無効 NAT トラバーサル (nattr) yes：有効 no ：無効 NAT トラバーサル機能を有効にするか無効にするか選択 します。 no：無効 RSA 公開鍵 (rsakey) 本装置の公開鍵です。鍵作成にチェックを入れて設定保存 をすると、新しい公開鍵が作成されます。 （古い公開鍵は無効になります） ※1 名称 (name1 ~ 5) 英数字 16 文字まで 各接続の名称を設定して下さい。 connect1 ~ 5 (HL3XX) NULL (HL520) 有効／無効 (use1 ~ 5) 0：無効 1：有効 各接続を有効にするか、無効にするか選択します。 0：無効 ※1 ローカル RSA 公開鍵は初期値でも使用できますが、セキュリティを高めるには新しい公開鍵を作成して使用してください。 ◆ ◆◆ ◆ 各各各各接続接続接続接続のののの設定項目設定項目設定項目設定項目 項目 項目 項目 項目 設定値設定値 設定値設定値 説明説明説明説明 初期値初期値初期値初期値 名称 (name) 英数字 16 文字まで。 先頭はアルファベットで始ま らなければいけません。 トンネルの名称を設定して下さい。 connect1 ~ 5 (HL3XX) NULL (HL520) 有効・無効 (use) 0：無効 1：有効 このトンネルを有効にするか、無効にするか選択します。 0：無効 モード (mode) main：メインモード aggr ：アグレッシブモード モードを選択して下さい。 main：メインモード タイプ (type) tunnel ：トンネル transport：トランスポート トンネルを選択して下さい。 トランスポートは使用できません。 tunnel：トンネル ローカル アドレス (ladsel,lad) 0：デフォルト 1：IP 指定 デフォルトを選択して下さい。 0：デフォルト サブネットアドレス (lsubsel,lsub) IP アドレス/マスクビット （例：192.168.1.0/24） “使用する”を選択して、サブネットアドレスを入力して下さ い。 NULL ID (lid) 半角英数字及び記号 16 文字以内 動的 IP を使った接続や、RSA 認証を使って接続する時に 使用します。先頭に@が必要です。 NULL ネクストホップ (lhopsel,lhop) 0：デフォルト 1：IP 指定 2：なし “なし”を選択して下さい。 2：なし リモート アドレス (radsel,rad) 0：ANY 1：IP 指定 2：ドメイン指定 VPN ゲートウェイ（相手側）の IP アドレスを指定します。 0：ANY サブネットアドレス (rsubsel,rsub) IP アドレス/マスクビット （例：192.168.2.0/24） VPN 相手側のサブネットアドレスを指定します。 NULL ID (rid) 半角英数字及び記号 16 文字以内 動的 IP を使った接続や、RSA 認証を使って接続する時に 使用します。先頭に@が必要です。 NULL 認証鍵 (keysel) secret：PSK 方式 rsasig：RSA 方式 認証方式を選択します。複数の VPN 接続を受け入れる場 合は、RSA 方式を選択して下さい。 secret：PSK 方式 共有鍵 (psk) 32 文字以内で半角英数字 認証鍵で PSK 方式を選択した場合、この文字列が認証に 使われるパスワードになります。 NULL リモート公開鍵 (rsa) 相手側の RSA を記入 認証鍵で RSA 方式を選択した場合、ここに VPN ゲートウェ イ（相手側）の公開鍵を貼り付けて下さい。 NULL 暗号方式 フェーズ 1 (ikesel,ike) 0：デフォルト 1：3DES-SHA1-MODP1024 2：3DES-MD5-MODP1024 3：その他 4：不使用（※2） フェーズ 1 で使用する暗号方式を選択します。 その他を使用する場合は、使用する暗号方式を全て大文 字で指定して頂きます。 記入例 ： AES-SHA1-MODP1536 不使用は特殊な用途でのみ使用します。通常は使用しな いでください。 0：デフォルト フェーズ 2 0：デフォルト 1：3DES-SHA1 フェーズ 2 で使用する暗号方式を選択します。 その他を使用する場合は、使用する暗号方式を全て大文 0：デフォルト

オプション PFS (pfs) yes ：有効 no ：無効 PFS を使用するか、使用しないか選択します。通常この設 定は VPN 接続相手の設定と一致している必要がありま す。 no：無効 鍵交換のマージン (keymg) 30 ~ 3600 鍵交換のマージンを秒数で指定します。 540 秒 鍵の寿命 (keytm) 61 ~ 86400 ただし SA の寿命以上の値 IPSEC SA の寿命を秒数で指定します。 7200 秒 SA の寿命 (satm) 61 ~ 28800 ただし鍵交換のマージンの 2 倍より大きい値 ISAKMP SA の寿命を秒数で指定します。 3600 秒 Dead Peer Detection

(dpd) 0：無効 1：有効 DeadPeerDetection 機能の有効、無効を選択します。 0：無効 DPD 送信間隔 (dpddelay) 5 ~ 86400 DPD の送信間隔を秒数で指定します。 30 秒 DPD タイムアウト (dpdtmout) 5 ~ 86400 DPD タイムアウト時間を秒数で設指定します。 120 秒 DPD アクション (dpdact) hold ：維持 clear ：切断 restart ：再接続 DPD タイムアウト後の本装置の動作を指定します。 通常は再接続で使用します。 restart：再接続 接続方法 (auto) start ：開始 add ：待機 route：イベント 開始 ：PPP 接続後にすぐに VPN を張りに行きます。リモー トアドレスが固定 IP アドレスまたはダイナミック DNS で指定 されている必要があります。 待機 ：PPP 接続後、VPN の待機状態になります。リモート からの VPN 接続要求を受け入れます。 イベント ：使用できません start：開始 リキー (rekey) yes ：あり no ：なし リキーを無効にした場合、SA の寿命が来たら VPN を切断 します。 リキーを有効にした場合、SA が寿命に達しても代わりのキ ーが作成されますので、VPN 接続は維持されます。 yes：あり

※2 フェーズ 1 不使用については、HL310(ver. 1.00(k1.2))、HL320(ver. 1.31(k1.2))、HL330-D(ver. 1.38(k1.2))、HL330-S(ver. 1.40(k1.2))から 対応となります。HL520 は ver. 1.10(k1.1)時点では未対応となっています。

1-4．

．

．VPN 設定時の注意点

．

設定時の注意点

設定時の注意点

設定時の注意点

1. VPN 機能を使う場合は、本装置のバーチャルサーバ機能は OFF にして下さい（デフォルト：OFF）。 2. 両拠点は異なるサブネットを使用しなければいけません。（例）拠点 1：192.168.1.0/24、拠点 2：192.168.2.0/24 3. 静的 NAT とフィルタ機能は、VPN のパケットに対しては無効です。VPN 以外のパケットには適用されます。 4. VPN トンネル以外から本装置設定画面へのアクセスを拒否する場合、静的 NAT で本装置の設定ポート番号（デフォルト：80 番）を存在し ないダミーの IP アドレスに転送するよう設定して下さい。 5. VPN 接続状態の詳細は本装置の動作ログで確認できます（下表参照）。 特に 2 つ目のログは重要です。これが表示されない場合は設定が間違っています。 ログ表示 内容

Starting IPsec IPsec 起動

IPSEC：added connection description xxx 接続名 xxx の設定が正しくロードできました。

このログが表示されない場合は、本装置の VPN 設定が間違っています。

IPSEC：xxx：initiating Main Mode 接続名 xxx のメインモード（フェーズ 1）を開始しました。

IPSEC：xxx：initiating Aggressive Mode 接続名 xxx のアグレッシブモード（フェーズ 1）を開始しました。

IPSEC：xxx：initiating Quick Mode 接続名 xxx のクイックモード（フェーズ 2）を開始しました。

IPSEC：xxx：ISAKMP SA established 接続名 xxx の ISAKMP SA（フェーズ 1）が完成しました。

IPSEC：xxx：IPsec SA established 接続名 xxx の IPsec SA（フェーズ 2）が完成しました。 このログが表示されれば VPN 接続は完了です。

IPSEC：xxx：IPsec SA expired (--dontrekey) 接続名 xxx の IPsec SA が消えました（寿命）。リキーは OFF 設定です。

IPSEC：xxx：IPsec SA expired (--LATEST) 接続名 xxx の IPsec SA が消えました（寿命）。リキーは ON 設定ですが、リキーがまだ 完了していません。もしくはリキーの処理が失敗しています。

IPSEC：xxx：IPsec SA expired (superseded by #xx)

接続名 xxx の IPsec SA が消えました（寿命）。変わりの SA（xx 番目）が完成している ので、それに引き継ぎました。

IPSEC：xxx：initiating Main Mode to replace 接続名 xxx のメインモードを開始しました（リキー）。

IPSEC：xxx：initiating Aggressive Mode to replace

接続名 xxx のアグレッシブモードを開始しました（リキー）。

IPSEC：xxx：initiating Quick Mode to replace 接続名 xxx のクイックモードを開始しました（リキー）。

IPSEC：xxx：reponding Main Mode 接続名 xxx のメインモードに応答しました。

IPSEC：xxx：reponding Quick Mode 接続名 xxx のクイックモードに応答しました。

IPSEC：xxx：reponding Main Mode from unknown peer

接続名 xxx のメインモードに応答しました。接続相手は不明です（ANY 接続を使って、 相手側動的 IP での接続を許可している場合）。

IPSEC：xxx：DPD： No response from peer – declaring peer dead

1-5．

．

．RSA 公開鍵の作成手順

．

公開鍵の作成手順

公開鍵の作成手順

公開鍵の作成手順

設定画面にログインして VPN 設定画面を開きます。 1. 鍵変更にチェックを入れます。 2. 上部の仮保存ボタンを押します。 3. 左下の設定保存ボタンを押して、設定保存を 行います。 新しい公開鍵が作成されています。 （古い公開鍵は使えなくなります） [注] 設定画面や設定メニューは機種、本体バージョンによって異なります。 トンネル設定画面は共通の画面となっております。

2．

．

．VPN 接続

．

接続

接続

接続設定

設定

設定

設定例

例

例

例

2-1．

．

．HL シリーズ

．

シリーズ

シリーズ

シリーズ対向

対向

対向

対向による

による

による

による VPN 接続

接続

接続

接続

LAN機器 VPN 拠点 拠点 拠点 拠点1 拠点拠点拠点拠点2 192.168.1.0/24 192.168.2.0/24 192.168.1.1 192.168.2.1 固定IP：x.x.x.x 固定IP：y.y.y.y HLシリーズ HLシリーズ インターネット ノートPC 拠点 1 と拠点 2 の両エンドで固定 IP を使用する場合の設定例です。 両エンドで固定 IP を採用することにより、どちらからでも VPN 接続を開始できます。モバイル環境下においては不定期に PPP 切断が起こります が、拠点 1、拠点 2 どちら側が切断した場合でもすぐに VPN 再接続ができるので、安定した VPN 接続になります。 トンネルファイ トンネルファイ トンネルファイ トンネルファイル設定例ル設定例ル設定例ル設定例 （拠点 1）

2-2．

．

．HL シリーズ

．

シリーズ

シリーズ

シリーズ対向による

対向による

対向による

対向による VPN 接続

接続 （（（（動的

接続

接続

動的

動的 IP 使用

動的

使用

使用、メインモード

使用

、メインモード

、メインモード

、メインモード）

）

）

）

LAN機器 VPN 拠点 拠点 拠点 拠点1 拠点拠点拠点拠点2 192.168.1.0/24 192.168.2.0/24 192.168.1.1 192.168.2.1 固定IP：x.x.x.x 動的IP HLシリーズ インターネット HLシリーズ ノートPC 拠点 1（固定 IP）と拠点 2（動的 IP）の区間を VPN メインモードで接続する場合の設定例です。 VPN 接続の開始は拠点 2 からのみになります。拠点 1 から VPN 接続を開始することはできません。拠点 1 側にシーケンサ等の機器があり、 拠点 2 側の PC で状態監視を行う使い方が可能です。 逆方向の通信、つまり拠点 1 側の機器からの通報を拠点 2 側で受け取る使い方には注意が必要です。モバイル環境下においては不定期に PPP 切断が起こります。拠点 1 側で PPP 切断が起こった時、拠点 2 側のリキー時間が来るまで VPN 接続が切れたままの状態になります。 この時間を短縮するため、両拠点において DeadPeerDetection（DPD 機能）を有効にします。この機能により、IPsec トンネルの通信断（デッドピ ア）をリアルタイムに検出することができます。拠点 1 側で PPP 切断となっても、拠点 2 側で通信断（デッドピア）を検出し、IPsec 及び IKE セキュ リティソシエーションを削除します。その後、接続処理を実行することで再接続を行います。（DPD 機能設定で再接続を選択している場合）。 トンネルファイル設定例 トンネルファイル設定例 トンネルファイル設定例 トンネルファイル設定例 （拠点 1） ＜設定時の注意点＞ 拠点 1 側は接続方式が待機モードとなっていますので、DPD アクションは維持を選択してください。 再接続を選択しても、拠点 1 側から再接続することはできません。 拠点 2 の RSA 公開鍵となります。

（拠点 2）

＜設定時の注意点＞

拠点 2 側は接続方法が開始モードとなっていますので、DPD アクションは再接続を選択してください。

DPD 機能によってデッドピア検知後にこちら側から再接続を行います。

2-3．

．

．HL シリーズ

．

シリーズ

シリーズ

シリーズ対向による

対向による

対向による

対向による VPN 接続

接続 （（（（動的

接続

接続

動的

動的 IP 使用

動的

使用

使用、アグレッシブモード

使用

、アグレッシブモード

、アグレッシブモード

、アグレッシブモード）

）

）

）

LAN機器 VPN 拠点 拠点 拠点 拠点1 拠点拠点拠点拠点2 192.168.1.0/24 192.168.2.0/24 192.168.1.1 192.168.2.1 固定IP：x.x.x.x 動的IP HLシリーズ インターネット HLシリーズ ノートPC 拠点 1（固定 IP）と拠点 2（動的 IP）の区間を VPN アグレッシブモードで接続する場合の設定例です。 構成、接続方法については 2-2 節と同様です。 アグレッシブモードでは、フェーズ 1 での暗号化を行いません。このため、メインモードよりも簡易に設定することができます。 ただし、セキュリティレベルは低下しますので、ご利用を検討の際はご注意ください。 トンネルファイル設定例 トンネルファイル設定例 トンネルファイル設定例 トンネルファイル設定例 （拠点 1） ＜設定時の注意点＞ 拠点 1 側は接続方式が待機モードとなっていますので、DPD アクションは維持を選択してください。 再接続を選択しても、拠点 1 側から再接続することはできません。

（拠点 2）

＜設定時の注意点＞

拠点 2 側は接続方法が開始モードとなっていますので、DPD アクションは再接続を選択してください。

2-4．

．

．HL シリーズ

．

シリーズ

シリーズ

シリーズ対向による

対向による

対向による

対向による VPN 接続

接続 （（（（ダイナミック

接続

接続

ダイナミック

ダイナミック DNS 使用

ダイナミック

使用

使用

使用）

）

）

）

LAN機器 ノートPC インターネット VPN 拠点 拠点拠点 拠点1 拠点拠点2拠点拠点 動的IP 動的IP 192.168.1.0/24 192.168.1.1 192.168.2.1 192.168.2.0/24 ドメイン名：aaa.ddo.jp ドメイン名：bbb.ddo.jp HLシリーズ HLシリーズ 拠点 1（動的 IP）と拠点 2（動的 IP）の区間を VPN 接続する場合の設定例です。 固定 IP の代わりにダイナミック DNS を使ってアクセスします。両サイドの HL シリーズでダイナミック DNS 設定を行い、どちらからでも VPN 接 続を開始できるようにします。ダイナミック DNS を使った場合、VPN の接続に 5 分～10 分程度かかる場合があります。これは PPP が切断され て再接続した時、HL シリーズ側で DNS 情報を更新する必要がある為です。 （注） ダイナミック DNS を使うには、事前にダイナミック DNS サーバへのアカウント登録が必要です（無料）。 トンネルファイル設定例 トンネルファイル設定例 トンネルファイル設定例 トンネルファイル設定例 （拠点 1） ダイナミック DNS の設定画面は機種ごとに異なります。 ＜HL3XX の場合＞ ＜HL520 の場合＞ 拠点 2 の RSA 公開鍵となります。

（拠点 2）

ダイナミック DNS の設定画面は機種ごとに異なります。

＜HL3XX の場合＞ ＜HL520 の場合＞

2-5．

．HL シリーズ

．

．

シリーズ

シリーズ

シリーズと

と

と VPN ルータ間で

と

ルータ間で VPN 接続

ルータ間で

ルータ間で

接続

接続

接続 （（（（メインモード

メインモード

メインモード）

メインモード

）

）

）

ノートPC インターネット VPN ADSLモデム VPNルータ PPPoeブリッジ PPPoe＋VPN LAN機器 192.168.1.0/24 192.168.2.0/24 固定IP：x.x.x.x 固定IP HLシリーズ HL シリーズ、VPN ルータの両方に固定 IP を付与します。 上図の構成では、VPN ルータ側の環境で ADSL 回線の固定 IP サービスを使用しています。

検証済ルータ ①YAMAHA 製 RTX1200（両側固定 IP）（※3） ②Juniper ネットワークス製 SSG-5（両側固定 IP）

③古河電工製 FITELnet-F100（両側固定 IP） ④シスコ リンクシス製 BEFSR41C-JP V2（両側固定 IP）

⑤YAMAHA 製 RTX810（両側固定 IP） ※3 YAMAHA 製ルータ RTX1200 の設定例を 2-11 項に記載します。 トンネルファイル設定例 トンネルファイル設定例 トンネルファイル設定例 トンネルファイル設定例

2-6．

．HL シリーズ

．

．

シリーズ

シリーズ

シリーズと

と

と VPN ルータ間で

と

ルータ間で VPN 接続

ルータ間で

ルータ間で

接続

接続

接続 （（（（アグレッシブモード

アグレッシブモード

アグレッシブモード）

アグレッシブモード

）

）

）

ノートPC インターネット VPN ADSLモデム VPNルータ PPPoeブリッジ PPPoe＋VPN LAN機器 192.168.1.0/24 192.168.2.0/24 固定IP：x.x.x.x 動的IP HLシリーズ VPN ルータに固定 IP を付与し、HL シリーズには動的 IP を使用します。 上記構成ではアグレッシブモードを使用します。 VPN ルータ側の環境で ADSL 回線の固定 IP サービスを使用しています。

検証済ルータ ①YAMAHA 製 RTX1200（ルータ側固定 IP）（※4） ②Juniper ネットワークス製 SSG-5（ルータ側固定 IP）

③YAMAHA 製 RTX810（ルータ側固定 IP） 注：構成について ルータ側動的 IP、HL シリーズ側固定 IP とし、ルータ側から接続する構成では暗号化の互換性問題のため接続できません。 ※4 YAMAHA 製ルータ RTX1200 の設定例を 2-11 項に記載します。 トンネルファイル設定例 トンネルファイル設定例 トンネルファイル設定例 トンネルファイル設定例

2-7．

．HL シリーズ

．

．

シリーズ

シリーズ

シリーズと

と

と Windows PC（（（（XP、

と

、Vista、

、

、

、

、7））））間で

、

間で

間で

間で VPN 接続

接続

接続

接続

インターネット VPN LAN機器 192.168.1.0/24 固定IP FOMA FOMA ノートPC WindowsXP 固定IP：x.x.x.x HLシリーズ Windows パソコンに USB や CF カードタイプのモバイル通信端末を直接挿してインターネット接続し、同じくインターネット接続した HL シリーズと の間で VPN を張る場合です。 Windows パソコン側と HL シリーズ側の両方で固定 IP が必要です。 Windows PC 側から VPN 接続を開始します（Windows PC は無通信時間が 5 分ほど続くと VPN を切断します）。 トンネルファイル設定例 トンネルファイル設定例 トンネルファイル設定例 トンネルファイル設定例

2-8．

．

．HL シリーズ

．

シリーズ

シリーズ

シリーズと

と

と Windows XP 間で

と

間で

間で

間で VPN 接続

接続

接続 （（（（NAT-Traversal））））

接続

ノートPC インターネット VPN ADSLモデム VPNルータ PPPoeブリッジ PPPoe＋VPN LAN機器 192.168.1.0/24 192.168.2.2 固定IP HLシリーズ

社内 LAN 上の Windows XP と VPN 接続する場合です。NAT（ルータ）越えでの VPN 接続になりますので、NAT トラバーサル機能を有効にし ます。HL シリーズに固定 IP を付与し、Windows XP 側から VPN 接続を開始することになります。

（注） Windows XP で NAT トラバーサルを使用するにはレジスタの変更が必要です。これについては Microsoft のサポートページをご覧下さい。

( http://support.microsoft.com/kb/885407 )

（注） Windows 7、Vista の NAT トラバーサルについては下記 VPN クライアントソフトをインストールすることにより動作することを確認していま す。

・The Green Bow VPN Client4.7

このソフトのインストール／扱い方及びそれに関わる疑問点／不具合点についてはソフトウェアメーカにお問い合わせ下さい（このソフ トに関して、弊社は免責とさせていただきます）。 トンネルファイル設定例 トンネルファイル設定例 トンネルファイル設定例 トンネルファイル設定例

2-9．

．

．Microsoft Windows 7 （（（（Vista））））の

．

の

の

の VPN 設定方法

設定方法

設定方法

設定方法

ここでは、2-7 節“HL シリーズと Windows PC（XP,Vista,7）間で VPN 接続”の接続構成における Windows 7 パソコンの VPN 設定方法を説明 します （Windows Vista の設定も同様です）。 トンネルファイル設定例 トンネルファイル設定例 トンネルファイル設定例 トンネルファイル設定例 Windows の設定 [スタート]_{―[コントロールパネル]―[管理ツール]―[セキュリティが強化された Windows ファイアウォール]を起動します。}

[キー交換（メインモード）]で[詳細設定]を選択し、[カスタマイズ]をクリックします。

[キー交換のオプション]で[Diffie-Hellman を使用してセキュリティを強化する]にチェックを入れます。OK をクリックします。

[データ保護（クイックモード）]で[詳細設定]を選択し、[カスタマイズ]をクリックします。

最初の画面[セキュリティが強化された Windows ファイアウォール]に戻り、[接続セキュリティの規則]をクリックします。 さらに[接続セキュリティの規則]を右クリックして[新しい規則]をクリックします。

設定ウィザードが立ち上がります。[カスタム]を選択します。

[エンドポイント 1]には、Windows PC の固定グローバル IP アドレスを設定します。

[受信接続と送信接続の認証を要求する]を選択します。

[詳細設定]を選択し、[カスタマイズ]をクリックします。

[次へ]をクリックします。

[次へ]をクリックします。

作成した規則のプロパティを開きます。[詳細設定]タブで[IPsec トンネリング]の[カスタマイズ]をクリックします。

[IPsec トンネリングを使用する]にチェックを入れます。[承認を適用する]にチェックを入れます。

[ローカルトンネルエンドポイント]に Windows PC の固定グローバル IP アドレスを設定します。

[リモートトンネルエンドポイント]に HL シリーズの固定グローバル IP アドレスを設定します。

2-10．

．

．Microsoft Windows XP の

．

の

の

の VPN 設定方法

設定方法

設定方法

設定方法

ここでは、2-8 節“HL シリーズと Windows XP 間で VPN 接続―NAT-Traversal”の接続構成における Windows XP パソコンの VPN 設定方法 を説明します。 NAT トラバーサルを有効にするレジスタの変更方法についてはマイクロソフトのサポートページをご覧下さい。 ( http://support.microsoft.com/kb/885407 ) トンネルファイル設定例 トンネルファイル設定例 トンネルファイル設定例 トンネルファイル設定例 Windows の設定 [スタート]_{―[コントロールパネル]―[管理ツール]―[ローカルセキュリティポリシー]でローカルセキュリティ設定ツールを起動します。} [ローカルコンピュータの IP セキュリティポリシー]を選択して右クリックし[IP セキュリティポリシーの作成]を選択し、 [IP セキュリティポリシーウィザード]を起動します。 セキュリティポリシーの名前と説明を記述します。

完了を押します。

追加をクリックします。

[次の IP アドレスでトンネルエンドポイントを指定する]を選択します。使用する HL シリーズの固定 IP アドレスを指定します。

事前共有キーを設定します。HL シリーズで設定したキーと同じでなければいけません。

追加ボタンを押して、新しいフィルタを作成します。

フィルタの名前を入力します。ここでは“送信用フィルタ”とします。追加ボタンを押します。

宛先は[特定の IP サブネット]を選択し、HL シリーズ側のサブネットアドレスを指定します。

適用するプロトコルを指定します。［任意］を選択して指定した宛先に対する全てのプロトコルに対して IPsec を適用します。

[完了]を押し、IP フィルタ設定を終了します。 プロパティを開き、ミラー化のチェックを外します。

[追加ボタン]を押して新しいフィルタ操作を追加します。

新規に作成するフィルタ名とその説明を記述します。

ここではフィルタの挙動を設定します。ここでは[セキュリティのネゴシエート]を選択し、IP フィルタに合致したパケットに対して IPsec 処理を適用 します。

IP トラフィックセキュリティでは[カスタム]を選択します カスタムを選択するとカスタム セキュリティメソッドの設定が表示されます。 ここで[暗号化をしないデータとアドレスの整合性（AH）]でチェックをはずします。 データの整合性と暗号化では[SHA1][3DES]を選択します。 プロパティではセキュリティメソッドの優先順位や PFS の設定を行います。 ここでは[セッションキーの PFS]はチェックしません。 3DES-SHA1 だけのメソッドに MD5 の設定を追加するため[追加ボタン]を押して新しいメソッドを追加します。 追加後

追加したフィルタ操作が選択してあるのを確認して[次へ]を押します。

送信用フィルタが完成しました。

同様の手順で受信用フィルタを作成して下さい。受信用フィルタでは、トンネルエンドポイントが自分（Windows XP）の IP アドレスになります。

これで送信用フィルタと受信用フィルタが完成しました。

ここまでで前準備は終了です。ローカルセキュリティ設定に戻り作成した[セキュリティポリシー]を右クリックし割り当てを選択します。

2-11．

．

．VPN ルータ

．

ルータ

ルータ

ルータの設定

の設定

の設定

の設定

2-5 節及び 2-6 節で使用する VPN ルータの設定内容を紹介します。ここでは一般的に広く利用されている YAMAHA 社製 VPN ルータ RTX1200

の設定内容を紹介します。

2-5 節“HL シリーズと VPN ルータ間で VPN 接続 （メインモード）”での RTX1200 設定内容は下記の様になります。 ip route default gateway pp 1

ip route 192.168.1.0/24 gateway tunnel 1 ip lan1 address 192.168.2.1/24 pp disable all

pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap

pp auth myname USERNAME PASSWORD

ppp lcp mru on 1454 ppp ccp type none ip pp address x.x.x.x/32 ip pp mtu 1454 pp enable 1 tunnel select 1 ipsec tunnel 101

ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike keepalive use 1 on dpd

ipsec ike local address 1 x.x.x.x

ipsec ike local id 1 192.168.2.0/24 ipsec ike log 1 message-info ipsec ike payload type 1 3

ipsec ike pre-shared-key 1 text HLs-router ipsec ike remote address 1 y.y.y.y

ipsec ike remote id 1 192.168.1.0/24 tunnel enable 1

ipsec auto refresh on syslog info on syslog debug on y.y.y.y は HL シリーズの固定グローバル IP アドレスです。 メインモードでは、リモート側（HL シリーズ側）の IP アドレスを指定する必要 があります。 ご利用になる回線のユーザー名とパスワードを入力します。 . YAMAHA 製ルータと HL シリーズで VPN を行う場合はこの設定を必ず入 力してください。 x.x.x.x は VPN ルータの固定グローバル IP アドレスです。 .

2-6 節“HL シリーズと VPN ルータ間で VPN 接続 （アグレッシブモード）”での RTX1200 設定内容は下記の様になります。 ip route default gateway pp 1

ip route 192.168.1.0/24 gateway tunnel 1 ip lan1 address 192.168.2.1/24 pp disable all

pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap

pp auth myname USERNAME PASSWORD

ppp lcp mru on 1454 ppp ccp type none ip pp address x.x.x.x/32 ip pp mtu 1454 pp enable 1 tunnel select 1 ipsec tunnel 101

ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike keepalive use 1 on dpd

ipsec ike local address 1 x.x.x.x

ipsec ike log 1 message-info ipsec ike payload type 1 3

ipsec ike pre-shared-key 1 text HLs-router-aggr ipsec ike remote address 1 any

ipsec ike remote name 1 HLs key-id tunnel enable 1

ipsec auto refresh on syslog info on syslog debug on ご利用になる回線のユーザー名とパスワードを入力します。 . HL シリーズで設定した ID を入力します。HL シリーズの設定では先頭 文字を@とする必要がありますが、RTX1200 では@は必要ありません。 YAMAHA 製ルータと HL シリーズで VPN を行う場合はこの設定を必ず 入力してください。 リモート IP アドレスを any とすることでアグレッシブモードとなります。 x.x.x.x は VPN ルータの固定グローバル IP アドレスです。 .

改版履歴 版数 主な変更内容 ページ数 備考 作成日 1.0 初版 対応バージョン HL320：1.03(k1.0)以降 HL330：1.37(k1.1)以降 HL520：1.00(k1.0)以降 2012/6/1 1.1 対応機種追加 目次修正 設定項目一覧の初期値を修正 フェーズ 1(ikesel,ike)に不使用項目と説明を追加 フェーズ 1 不使用対応機種及びそのバージョンを記載 DPD アクション設定についての注意書き追加 リモート公開鍵(rsa)設定についての説明追加 構成説明修正 検証済みルータに YAMAHA 製 RTX810 追加 構成についての注意書き追加 設定例修正（リモートサブネットアドレスの表記修正） VPN ルータの設定追加 P. 1 P. 2 P. 4 ~ P. 5 P. 4 P. 5 P. 10 ~ P. 13 P. 10 ~ P. 11、P. 14 ~ P. 15 P. 16 ~ P. 17 P. 16 ~ P. 17 P. 17 P. 18 P. 35 ~ P. 36 対応バージョン HL310：1.00(k1.2)以降 HL320：1.31(k1.2)以降 HL330-D：1.38(k1.2)以降 HL330-S：1.40s(k1.2)以降 HL520：1.10(k1.1)以降 2012/11/7