最終更新日:2012年4月7日
<サイトに戻る> <資料室に戻る> <IPSecトップへ戻る>
組織によっては、同じ組織内のネットワークにおいてもセキュリティで守られたゾーンを必要とする事でしょう。 そのような場合、以下の構成例のように例えば東京
と大阪にある研究部門同士のゾーン(セキュリティゾーン)間でVPNを構築したいような場合の構成例を示します。
この構成においては、セキュリティで守られたゾーン同士の通信は暗号化を実施して行い、それ以外はNATと組み合わせる事でセキュリティで守られたゾーン
から通常のゾーンへもアクセスできる構成となっています。
この構成では、NATで守られたセキュリティゾーンへはセキュリティゾーン間でのみ IPSecによる相互にアクセスが可能です。 またセキュリティゾーン内からは他のゾーンにあるサーバ(サーバ-A)などへのアクセスも可能です。
設定例は次のようなパラメータ値で設定を実施します。 なお、以下のルータAについては説明 を簡略化するためにアライドテレシス社の製品にて説明を行い、ルータBは各社のルータにて説明を行う事としますが、基本的にはルータBの設定と
ルータAの設定はIPアドレス以外は差異がない筈ですので他社の製品でルータAを構築しても問題無い筈です。
また、IPSecにおける鍵の交換方式は手動ではなく自動(IKE)にて行うものとします。
| VPNルータ-A | VPNルータ-B | ||
| WAN側アドレス | 172.16.1.10/24 | 192.168.1.10/24 | |
| LAN側アドレス | 172.16.2.254/24 | 192.168.2.254/24 | |
| デフォルトゲートウェイ | 172.16.1.254 | 172.16.2.254 | |
| フェーズ1 プロポーサル(IKE Proposal) | |||
| ルータ認証方式 | 事前共通キー方式(Pre-Shared Key :PSK) | ||
| IKE交換モード | Mainモード(両側が固定IP方式) | ||
| 事前共通キー | (文字列)ipsec_pass | ||
| PFSのDiffie-Hellmanグループ | グループ2 (1024bit MODP) | ||
| IKEの暗号化方式 | DES | ||
| IKEの認証用ハッシュアルゴリズム | MD5 | ||
| ISAKMP(フェーズ1)の生存期間 | 28800秒(8時間) | ||
| IKEキープアライブ方式 (注意2) | DPD | ||
| フェーズ2 プロポーサル(IPSec Proposal) | |||
| SAモード | トンネル | ||
| セキュリティプロトコル | ESP | ||
| 暗号方式 | DES | ||
| 認証用ハッシュアルゴリズム | SHA1 | ||
| トンネル対象IPアドレス | 192.168.2.0/24 | 172.16.2.0/24 | |
| PFSの利用 | off(False) | ||
| SA(フェーズ2)の生存期間 | 1800秒(30分) | ||
| MTU値 | 1500 | ||
注意: 上記の設定項目は、プロポーサル(proposal)に関係するもので、暗号方式や認証方法などをお互いのルータ間で取り決めるための規約となります。 このため、これらの規約がお互いに同じになっていないと、VPNの接続で不都合が生じることとなります。
場合によっては、片側のルータでOSに不具合を起こしリブートが発生してしまう事があるので、これらの規約は確実に同じになるように設定を行いましょう。
(因みに、自分はアライドとNECの設定でフェーズ2の生存期間が食い違っていただけで、SAの生成に失敗してアライドのルータがハングアップするという現象を発生させてしまい、その原因調査に手間取りました)
なおプロポーサルで定義している暗号方式やハッシュアルゴリズムは、ルータ間の互換性を考慮して、比較的セキュリティが弱い方式をここでは使用していますが、実際の構築では利用するそれぞれのルータがサポートできる、強固な方式を利用すると良いでしょう。(ex
3DES, sha等)
注意2: IKE(SA)の情報は一定時間の間、それぞれのVPNルータ上のメモリに生存しています。 この時、相手のルータが何らかの理由で再起動などがされたような場合、相手側にはSA情報が無く、こちらだけにSA情報がが残っているという状態になってしまい、結果としてIKE(SA)の生存期間の時間が経過するまで、VPNセッションが利用できない状態になる可能性があります。 これを避けるには、それぞれのルータが相手の生存状態を確認(キープアライブ)して、相手が応答できない状態になった場合には現状のIKE(SA)の情報を廃棄して新たにSAを構築することで、接続障害時間を短縮する事が可能になります。
しかし、SAのキープアライブの実施方法は当初、各ルータベンダー毎にその実現方法にばらつきがあり、このため、SAの廃棄ができないという状態になってしまう事が見受けられました。
最近のルータであれば、DPD(RFC3706で規格化された)方式が提案(フェーズ1 プロポーザル)できるようになってきており、これを使ったキープアライブを実施することで、上記のような問題を避ける事ができます。 本資料では、DPDの利用を前提とした設定を実施しています。 DPDに非対応なルータの場合には、従来のようにkeepaliveを利用の上で、検知時間を短くするなどの工夫でSAの廃棄を行うと良いでしょう。
| アライド製品におけるIPSecの注意: アライド製品は、企業向けとルータでありながらなIPSecを標準実装したのが遅く、AR450sより前に出荷された製品(AR410以前)では、IPSecを標準では利用できず、追加ライセンスや追加ボードが必要でした。 また、AR450sにおいてもIPSecは標準実装されているものの、暗号方式に3DESが選べなかったり、ハッシュ長が短いものしか使えないという状況(後期型から標準実装されています)で、同じ価格帯の他社製品に比べると見劣りする状態でした。 また、これが原因で他社ルータとのプロポーザルをきちんと揃えて設定を行わないと、結果としてIPSecの接続に失敗してしまい、これが俗にいう「YAMAHAとアライドはつながらない」。「Netscreenとつなぐとハングアップする」的なコメントになっていたりします。: 実際には、プロポーザルを合わせれば接続できるのですが、このあたりをきちんと説明している資料が皆無なことが混乱を助長していると思います。 |
| AR415S version 2.9.2-01 (DPD) ※ AR410S 以前のモデルは暗号化拡張ボードを別途、購入し ていないとIPSecでの通信はできません(設定はできるみたいです) |
# ********************* # * AR415S での設定手順 * # ********************* # セキュリティ管理者用アカウント作成 add user=admin pass=admin-pass priv=securityOfficer <--- admin/admin-passは任意の文字列 set user securedelay=1800 <---コンソールの使用制限時間を1800秒(30分)に変更(option) # IPSec Share Key create create enco key=1 type=general value="ipsec_pass" <---シェアキーの作成 # セキュリティ管理者で、ログインしなおし。 login admin <---セキュリティ管理者として上記のパスワード"admin-pass"でログイン # セキュリティモード中は、Telnetでのアクセスができないので、特定のアドレスからは出来るように設定(option) enable user rso add user rso ip=172.16.2.0 mask=255.255.255.0 # ASYN configuration set asyn=asyn0 flow=char <--- コンソールのフロー制御(XON/XOFF)指定(option) # IP configuration enable ip add ip int=vlan1 ip=172.16.2.254 mask=255.255.255.0 add ip int=eth0 ip=172.16.1.10 mask=255.255.255.0 set ip loc ip=172.16.2.254 <--- ルータからの送信パケットのソースアドレスを強制指定(option(注1)) add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=172.16.1.254 add ip rou=192.168.2.0 mask=255.255.255.0 int=eth0 next=0.0.0.0 # Firewall configuration enable firewall create firewall policy="net" disable firewall policy="net" identproxy enable firewall policy="net" icmp_f=unre,ping add firewall policy="net" int=vlan1 type=private add firewall policy="net" int=eth0 type=public add firewall poli="net" nat=enhanced int=vlan1 gblin=eth0 add firewall poli="net" ru=3 ac=allo int=eth0 prot=udp po=500 ip=172.16.1.10 gblip=172.16.1.10 gblp=500 add firewall poli="net" ru=4 ac=non int=eth0 prot=ALL ip=172.16.2.1-172.16.2.254 enc=ips add firewall poli="net" ru=2 ac=non int=vlan1 prot=ALL ip=172.16.2.1-172.16.2.254 set firewall poli="net" ru=2 rem=192.168.2.1-192.168.2.254 # NTP configuration (option) # enable ntp # set ntp utc=+09:00:00 # add ntp peer=172.16.1.250 # IPSEC configuration (フェーズ2の設定) create ipsec sas=1 key=isakmp prot=esp enc=des hasha=sha create ipsec bund=1 key=isakmp string="1" expirys=1800 create ipsec pol="eth" int=eth0 ac=permit set ipsec pol="eth" lp=500 rp=500 tra=UDP create ipsec pol="vpn_1" int=eth0 ac=ipsec key=isakmp bund=1 peer=192.168.1.10 set ipsec pol="vpn_1" lad=172.16.2.0 lma=255.255.255.0 rad=192.168.2.0 rma=255.255.255.0 set ipsec pol="vpn_1" srci=eth0 create ipsec pol="inet" int=eth0 ac=permit enable ipsec # ISAKMP configuration (フェーズ1の設定) # AR同士の接続の場合「HEARTBEATMODE=BOTH」とすると良い create isakmp pol="ike_rt" pe=192.168.1.10 has=md5 key=1 set isakmp pol="ike_rt" expirys=28800 gro=2 pre=true set isakmp pol="ike_rt" sendn=true set isakmp pol="ike_rt" dpdm=both dpdi=5 localid="172.16.1.10" remotei="192.168.1.10" enable isakmp # セキュリティモードにしないままで保存した場合には、作成したシェアキーやISAKMP情報が登録され # ないので要注意。 enable system security_mode <---セキュリティモードにする。 create config=ipsec_eth.cfg set config=ipsec_eth.cfg |
アライドのルータのコンフィグを初期状態にするには、
# set config=none
# restart router
とする。
| IX2015 Version 7.5.62 WAN側ポートには、FE0/1 を使用しています。 |
timezone +09 00 logging buffered 10240 logging subsystem all warn logging timestamp timeofday ip route default 192.168.1.254 ip route 172.16.2.0/24 Tunnel0.0 ip access-list sec-list1 permit ip src any dest any ip access-list sec-list2 permit ip src 192.168.2.0/24 dest any ip access-list ac-all_forward permit ip src any dest any ip ufs-cache enable ike initial-contact always ike proposal ike-pro1 encryption des hash md5 group 1024-bit ike policy ike-policy1 peer 172.16.1.10 key ipsec_pass ike-pro1 ike keepalive ike-policy1 60 10 ipsec autokey-proposal ipsec-prop1 esp-des esp-sha lifetime time 1800 ipsec autokey-map auto-map1 sec-list1 peer 172.16.1.10 ipsec-prop1 ipsec local-id auto-map1 192.168.2.0/24 ipsec remote-id auto-map1 172.16.2.0/24 interface FastEthernet0/1.0 ip address 192.168.1.10/24 ip napt enable ip napt translation max-entries 30000 ip napt static FastEthernet0/1.1 udp 500 ip filter ac-all_forward 65000 in ip filter ac-all_forward 65000 out no shutdown exit interface FastEthernet1/0.0 ip address 192.168.2.254/24 no shutdown exit interface FastEthernet0/0.1 encapsulation pppoe auto-connect no ip address shutdown exit interface Tunnel0.0 tunnel mode ipsec ip unnumbered FastEthernet0/1.1 ip tcp adjust-mss auto ipsec policy tunnel auto-map1 pre-fragment out no shutdown exit write mem |
IXシリーズでコンフィグファイルを工場出荷時に戻す場合には、スーパーリセットを実施してください。 スーパーリセットの手順は取り扱い説明書の6章を参照してください。
| NetScreen-5XT Rev.5.2.0r3a.0 GUIでの設定手順 |
set clock timezone 0 set vrouter trust-vr sharable set vrouter "untrust-vr" exit set vrouter "trust-vr" unset auto-route-export exit set auth-server "Local" id 0 set auth-server "Local" server-name "Local" set auth default auth server "Local" set auth radius accounting port 1646 set admin name "netscreen" set admin password "nKVUM2rwMUzPcrkG5sWIHdCtqkAibn" set admin auth timeout 10 set admin auth server "Local" set admin format dos set zone "Trust" vrouter "trust-vr" set zone "Untrust" vrouter "trust-vr" set zone "VLAN" vrouter "trust-vr" set zone id 100 "VPN-Zone" set zone "Trust" tcp-rst set zone "Untrust" block unset zone "Untrust" tcp-rst set zone "MGT" block set zone "VLAN" block set zone "VLAN" tcp-rst unset zone "VPN-Zone" tcp-rst set zone "Untrust" screen tear-drop set zone "Untrust" screen syn-flood set zone "Untrust" screen ping-death set zone "Untrust" screen ip-filter-src set zone "Untrust" screen land set zone "V1-Untrust" screen tear-drop set zone "V1-Untrust" screen syn-flood set zone "V1-Untrust" screen ping-death set zone "V1-Untrust" screen ip-filter-src set zone "V1-Untrust" screen land set interface "trust" zone "Trust" set interface "untrust" zone "Untrust" set interface "tunnel.1" zone "VPN-Zone" unset interface vlan1 ip set interface trust ip 192.168.2.254/24 set interface trust nat set interface untrust ip 192.168.1.10/24 set interface untrust route set interface tunnel.1 ip unnumbered interface untrust set interface untrust mtu 1500 set interface tunnel.1 mtu 1500 unset interface vlan1 bypass-others-ipsec unset interface vlan1 bypass-non-ip set interface trust ip manageable unset interface untrust ip manageable set interface untrust manage ping set interface trust dhcp server service set interface trust dhcp server auto set interface trust dhcp server option gateway 192.168.1.1 set interface trust dhcp server option netmask 255.255.255.0 set interface trust dhcp server ip 192.168.1.33 to 192.168.1.126 set flow tcp-mss unset flow no-tcp-seq-check set flow tcp-syn-check set hostname ns5xt set ike p1-proposal "ar-pre-g2-des-md5" preshare group2 esp des md5 hour 8 set ike p2-proposal "ar-nopfs-des-sha" no-pfs esp des sha-1 minute 30 set ike gateway "ar-gw" address 172.16.1.10 Main outgoing-interface "untrust" preshare "ipsec_pass" proposal "ar-pre-g2-des-md5" set ike respond-bad-spi 1 set ike gateway "ar-gw" heartbeat hello 10 set vpn "ar-vpn" gateway "ar-gw" no-replay tunnel idletime 0 proposal "ar-nopfs-des-sha" set vpn "ar-vpn" monitor source-interface trust destination-ip 172.16.2.254 set vpn "ar-vpn" id 1 bind interface tunnel.1 set pki authority default scep mode "auto" set pki x509 default cert-path partial set vpn "ar-vpn" proxy-id local-ip 192.168.2.0/24 remote-ip 172.16.2.0/24 "ANY" set policy id 1 from "Trust" to "Untrust" "Any" "Any" "ANY" permit set policy id 1 exit set policy id 2 from "Trust" to "VPN-Zone" "Any" "Any" "ANY" permit set policy id 2 exit set policy id 3 from "VPN-Zone" to "Trust" "Any" "Any" "ANY" permit set policy id 3 exit set nsmgmt bulkcli reboot-timeout 60 set ssh version v2 set config lock timeout 5 set modem speed 115200 set modem retry 3 set modem interval 10 set modem idle-time 10 set snmp port listen 161 set snmp port trap 162 set vrouter "untrust-vr" exit set vrouter "trust-vr" unset add-default-route set route 172.16.2.0/24 interface tunnel.1 preference 20 set route 0.0.0.0/0 interface untrust gateway 192.168.1.254 preference 20 exit set vrouter "untrust-vr" exit set vrouter "trust-vr" exit save |
NetScreenのコンフィグを初期状態にするには、コンソールから
# unset all
Erase all system config, are you sure y/[n] ? y
# reset
Configuration modified, save? [y]/n n
System reset, are you sure? y/[n] y
とするか、ログインIDとパスワードにそれぞれシリアル番号を入力する。
| RT105e Rev.6.03.34 |
# RT105e Rev.6.03.34 (Thu Dec 1 16:11:49 2005) # MAC Address : 00:a0:de:0f:44:e1, 00:a0:de:0f:44:e2 # Memory 16Mbytes, 2LAN ip lan1 address 192.168.2.254/24 ip lan2 address 192.168.1.10/24 ip lan2 nat descriptor 1 tunnel select 1 ipsec tunnel 101 tunnel enable 1 ip route default gateway 192.168.1.254 ip route 172.16.2.0/24 gateway tunnel 1 ip filter 100 pass * * nat descriptor type 1 masquerade nat descriptor address outer 1 192.168.1.10 nat descriptor address inner 1 192.168.2.1-192.168.2.254 nat descriptor masquerade static 1 1 192.168.2.254 udp 500 nat descriptor masquerade static 1 2 192.168.2.254 esp ipsec use on ipsec auto refresh on ipsec ike always-on 1 on ipsec ike duration ipsec-sa 1 1800 ipsec ike duration isakmp-sa 1 28800 ipsec ike encryption 1 des-cbc ipsec ike group 1 modp1024 ipsec ike hash 1 md5 ipsec ike keepalive log 1 off ipsec ike keepalive use 1 off ipsec ike local address 1 192.168.1.10 ipsec ike local id 1 192.168.2.0/24 ipsec ike log 1 key-info message-info payload-info ipsec ike payload type 1 2 ipsec ike pre-shared-key 1 text ipsec_pass ipsec ike remote address 1 172.16.1.10 ipsec ike remote id 1 172.16.2.0/24 ipsec sa policy 101 1 esp des-cbc sha-hmac syslog debug off tftp host 192.168.2.10 save |
Si-R 220B, Si-R180
Si-Rシリーズでコンフィグファイルを工場出荷時に戻す場合には、「reset clear」コマンドを実施するか「ご利用にあたって」の3-3章を参照してください。
| FITELnet-F100 (V02.07.xx) |
enable configure terminal ! ip route 0.0.0.0 0.0.0.0 192.168.1.254 ! access-list 1 permit 192.168.2.0 0.0.0.255 ! vpn enable vpnlog enable ! ipsec access-list 1 ipsec ip 192.168.2.0 0.0.0.255 172.16.2.0 0.0.0.255 ipsec access-list 64 bypass ip any any ipsec transform-set p1-policy esp-des esp-sha-hmac ! no service dhcp-server ! interface ewan 1 crypto map vpn ip address 192.168.1.10 255.255.255.0 ip nat inside source list 1 interface exit ! interface lan 1 ip address 192.168.2.254 255.255.255.0 exit ! crypto isakmp policy 1 authentication prekey encryption des group 2 hash md5 key ascii ipsec_pass lifetime 28800 my-identity 192.168.2.254 negotiation-mode main peer-identity address 172.16.1.10 exit ! crypto map vpn 1 match address 1 set peer address 172.16.1.10 set security-association ipsec-src-id 192.168.2.0 0.0.0.255 set security-association lifetime seconds 1800 set transform-set p1-policy exit ! crypto security-association exit ! end save SIDE-A.cfg |
Fitelシリーズでコンフィグファイルを初期状態に戻す場合には、「reset default」コマンドを実施すか
# clear working.cfg
# save ファイル名
とすることでコンフィグファイルの初期化が可能である。
FITELnetのコンフィグは、保存先としてSIDE-A.cfgとSIDE-B.cfgの2つのファイルに保存でき、これらを切り替えてブートができるようになっている。 現在、どちらのコンフィグを使っているかは
> enable
# show version または、show file configuration
とすることで確認できる。 また、コンフィグの切り替えは
# boot configuration ファイル名
とすることで切り替えが可能である。
| Cisco
1812J (IOS Version 15.1) !検証途中! |
! hostname R1812J ! ! dot11 syslog ip source-route ! ip cef no ipv6 cef ip classless ! crypto ikev2 diagnose error 50 ! ! 共通鍵「ipsec_pass」を使うIKEポリシーの作成 crypto isakmp policy 1 hash md5 authentication pre-share group 2 crypto isakmp key ipsec_pass address 172.16.1.10 crypto isakmp keepalive 30 ! ! crypto ipsec transform-set IPSEC esp-des esp-sha-hmac ! crypto map MAP-IPSEC 1 ipsec-isakmp set peer 172.16.1.10 set transform-set IPSEC match address 100 ! ! interface BRI0 no ip address encapsulation hdlc shutdown ! interface FastEthernet0 ip address 192.168.1.10 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto no shutdown speed auto crypto map MAP-IPSEC ! interface FastEthernet1 no ip address shutdown duplex auto speed auto ! interface range fastEthernet 2 - 9 no shutdown ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ! interface FastEthernet5 ! interface FastEthernet6 ! interface FastEthernet7 ! interface FastEthernet8 ! interface FastEthernet9 ! interface Vlan1 ip address 192.168.2.254 255.255.255.0 ip nat inside ip virtual-reassembly ! ip forward-protocol nd no ip http server no ip http secure-server ! ! ip nat inside source route-map NO_NAT interface FastEthernet0 overload ip route 0.0.0.0 0.0.0.0 172.16.2.254 ! access-list 100 permit ip 192.168.2.0 0.0.0.255 172.16.2.0 0.0.0.255 access-list 105 deny ip 192.168.2.0 0.0.0.255 172.16.2.0 0.0.0.255 access-list 105 permit ip 192.168.2.0 0.0.0.255 any access-list 110 permit esp host 172.16.1.10 host 192.168.1.10 access-list 110 permit udp host 172.16.1.10 eq isakmp host 192.168.1.10 ! ! route-map NO_NAT permit 10 match ip address 105 ! end write |
