[ 目次
/ ダイヤルアクセス
/ エコノミー
/ スタンダード
]
[ +VPN
/ +専用線
/ +ISDN
/ +フィルタ
/ files
]
新規作成日 | 1998/Jun/11 |
最終変更日 | 2018/Nov/06 |
文書サイズ | 31KB |
[ 条件、特徴など ]
[ VPNの条件など ]
[ RT(A)の要件 ]
[ OCNエコノミー #A 設定条件 ]
項目 内容 アクセス回線 128Kbps専用線
PPP
unnumberdグローバルアドレス 172.16.184.32〜172.16.184.47 (16個)
- ユーザ分(14個)
- ネットワークアドレス(1個)
- ブロードキャストアドレス(1個)
ネットマスク 255.255.255.240 (28ビット) ルータアドレス 172.16.184.33
[ RT(B)の要件 ]
[ OCNエコノミー #B 設定条件 ]
項目 内容 アクセス回線 128Kbps専用線
PPP
unnumberdグローバルアドレス 172.16.186.32〜172.16.186.47 (16個)
- ユーザ分(14個)
- ネットワークアドレス(1個)
- ブロードキャストアドレス(1個)
ネットマスク 255.255.255.240 (28ビット) ルータアドレス 172.16.186.33
[ ネットワーク設計 ]
OCNエコノミー#A OCNエコノミー#B # # # 128Kbps専用線 # 128Kbps専用線 # # # VPN # # ??????????????????????????? # # ? ? # +-------------------+ +-------------------+ | [BRI] [tunnel] | | [tunnel] [BRI] | | | | | | RT(A) | | RT(B) | | | | | | [LAN] | | [LAN] | +---------+---------+ +---------+---------+ | 172.16.184.33(1) | 172.16.186.33(1) | 192.168.0.1(2) | 192.168.1.1(2) | 172.16.184.32/28(g) | 172.16.186.32/28(g) | 192.168.0.0/24(p) | 192.168.1.0/24(p) ----------+----------------------- ----------+-----------------------
SGWアドレス1 | 172.16.184.33…RT(A) |
SGWアドレス2 | 172.16.186.33…RT(B) |
事前共有鍵 | "RT(A)-RT(B)間の事前共有鍵" |
トンネルモード | ESP, 暗号(des-cbc), 認証(md5-hmac) |
宛先/ネットマスク | 次のホップ | 生成コマンド |
---|---|---|
default | PP[LEASED] or PP[01] | ip pp route add net |
192.168.1.2 | TUNNEL[01] | ip tunnel route add host |
172.16.184.32/28 | LAN1(172.16.184.33) | ip lan1 address |
192.168.0.0/24 | LAN1(192.168.0.1) | ip lan1 secondary address |
<外側> …PPインタフェース側 +------------+ | ☆ | …外側アドレス (グローバル・アドレス) | ↑ | | | | | ▲ | …1組のIPマスカレード変換 | / \ | | ↑↑↑↑↑ | | ○○○○○ | …内側アドレス (プライベート・アドレス) +------------+ <内側> …ルーティング側
項目 | 内容 | 生成コマンド |
---|---|---|
適用インタフェース | PP[LEASED] PP[01] | pp select leased pp select 1 |
NAT | 使用する | nat use on |
IPマスカレード | 使用する | nat masqerade on |
グローバルIPアドレス | 172.16.184.46 | nat address global |
プライベートIPアドレス | 192.168.0.1〜192.168.0.254 | nat address private |
静的なNAT設定 | なし | nat address global |
静的IPマスカレード | なし |
項目 | 内容 | 生成コマンド |
---|---|---|
NATディスクリプタ番号 | 1 | |
タイプ | masquerade | nat descriptor type |
外側アドレス | 172.16.184.46 | nat descriptor outer address |
内側アドレス | 192.168.0.1-192.168.0.254 | nat descriptor inner address |
静的なNAT設定 | なし | nat descriptor static |
静的IPマスカレード | なし | nat descriptor masquerade static |
適用インタフェース | PP[LEASED] or PP[01] | ip pp nat descriptor |
SGW定義 | |
---|---|
SGWアドレス | 172.16.186.33 |
RT(A)-RT(B)事前共有鍵 | "RT(A)-RT(B)間の事前共有鍵" |
IPsecポリシーの定義 | |
ポリシー識別番号 | 101 |
形式 | ESP |
暗号 | des-cbc |
認証 | md5-hmac |
トンネルの定義 | |
トンネルIF番号 | 1 |
ボリシー番号 | 101 |
宛先/ネットマスク | 次のホップ | 生成コマンド |
---|---|---|
default | PP[LEASED] or PP[01] | ip pp route add net |
192.168.0.2 | TUNNEL[01] | ip tunnel route add host |
172.16.186.32/28 | LAN1(172.16.186.33) | ip lan1 address |
192.168.1.0/24 | LAN1(192.168.1.1) | ip lan1 secondary address |
<外側> …PPインタフェース側 +------------+ | ☆ | …外側アドレス (グローバル・アドレス) | ↑ | | | | | ▲ | …1組のIPマスカレード変換 | / \ | | ↑↑↑↑↑ | | ○○○○○ | …内側アドレス (プライベート・アドレス) +------------+ <内側> …ルーティング側
項目 | 内容 | 生成コマンド |
---|---|---|
適用インタフェース | PP[LEASED] PP[01] | pp select leased pp select 1 |
NAT | 使用する | nat use on |
IPマスカレード | 使用する | nat masqerade on |
グローバルIPアドレス | 172.16.186.46 | nat address global |
プライベートIPアドレス | 192.168.1.1〜192.168.1.254 | nat address private |
静的なNAT設定 | なし | nat address global |
静的IPマスカレード | なし |
項目 | 内容 | 生成コマンド |
---|---|---|
NATディスクリプタ番号 | 1 | |
タイプ | masquerade | nat descriptor type |
外側アドレス | 172.16.186.46 | nat descriptor outer address |
内側アドレス | 192.168.1.1-192.168.1.254 | nat descriptor inner address |
静的なNAT設定 | なし | nat descriptor static |
静的IPマスカレード | なし | nat descriptor masquerade static |
適用インタフェース | PP[LEASED] or PP[01] | ip pp nat descriptor |
SGW定義 | |
---|---|
SGWアドレス | 172.16.184.33 |
RT(A)-RT(B)事前共有鍵 | "RT(A)-RT(B)間の事前共有鍵" |
IPsecポリシーの定義 | |
ポリシー識別番号 | 101 |
形式 | ESP |
暗号 | des-cbc |
認証 | md5-hmac |
トンネルの定義 | |
トンネルIF番号 | 1 |
ボリシー番号 | 101 |
[ RT(A)の設定内容 ]
[ RT(A)の設定例 ]
# # RTに関する設定 # pp line l128 ip lan address 172.16.184.33/28 ip lan secondary address 192.168.0.1/24 ip lan routing protocol none # # IPsecに関する設定 # ipsec auto refresh on ipsec ike host 172.16.186.33 ipsec pre-shared-key 172.16.186.33 "RT(A)-RT(B)間の事前共有鍵" ipsec sa policy 101 172.16.186.33 esp 3des-cbc sha-hmac # # トンネル(VPN)に関する設定 # tunnel select 1 ip tunnel route add host 192.168.1.2 1 ipsec tunnel 101 tunnel enable 1 # # 接続相手(OCNエコノミー,専用線)に関する設定 # pp select leased ip pp route add net default 1 nat use on nat masquerade on nat address global 172.16.184.46 nat address private 192.168.0.1-192.168.0.254 pp enable leased # # RTに関する設定 # dns server "172.16.184.34" dns domain "ドメイン名" # # 保存と再起動 # save restart
# # RTに関する設定 # bri line 1 l128 ip lan address 172.16.184.33/28 ip lan secondary address 192.168.0.1/24 ip lan routing protocol none # # 鍵交換に関する設定 (IPsecリリース3) # ipsec auto refresh on ipsec ike remote address 1 172.16.186.33 !# !# 鍵交換に関する設定 (IPsecリリース1,2) !# !ipsec auto refresh on !ipsec ike host 172.16.186.33 # # トンネル(VPN)に関する設定 # ipsec pre-shared-key 172.16.186.33 "RT(A)-RT(B)間の事前共有鍵" ipsec sa policy 101 172.16.186.33 esp 3des-cbc sha-hmac # tunnel select 1 ip tunnel route add host 192.168.1.2 1 ipsec tunnel 101 tunnel enable 1 # # 接続相手(OCNエコノミー,専用線)に関する設定 # pp select 1 pp bind bri 1 ip pp route add net default 1 nat use on nat masquerade on nat address global 172.16.184.46 nat address private 192.168.0.1-192.168.0.254 pp enable 1 # # RTに関する設定 # dns server "172.16.184.34" dns domain "ドメイン名" # # 保存と再起動 # save restart
[ RT(B)の設定内容 ]
[ RT(B)の設定例 ]
# # RTに関する設定 # pp line l128 ip lan address 172.16.186.33/28 ip lan secondary address 192.168.1.1/24 ip lan routing protocol none # # 鍵交換に関する設定 (IPsecリリース3) # ipsec auto refresh on ipsec ike remote address 1 172.16.184.33 !# !# 鍵交換に関する設定 (IPsecリリース1,2) !# !ipsec auto refresh on !ipsec ike host 172.16.184.33 # # トンネル(VPN)に関する設定 # ipsec pre-shared-key 172.16.184.33 "RT(A)-RT(B)間の事前共有鍵" ipsec sa policy 101 172.16.184.33 esp 3des-cbc sha-hmac # tunnel select 1 ip tunnel route add host 192.168.0.2 1 ipsec tunnel 101 tunnel enable 1 # # 接続相手(OCNエコノミー,専用線)に関する設定 # pp select leased ip pp route add net default 1 nat use on nat masquerade on nat address global 172.16.186.46 nat address private 192.168.1.1-192.168.1.254 pp enable leased # # RTに関する設定 # dns server "172.16.186.34" dns domain "ドメイン名" # # 保存と再起動 # save restart
# # RTに関する設定 # bri line 1 l128 ip lan address 172.16.186.33/28 ip lan secondary address 192.168.1.1/24 ip lan routing protocol none # # 鍵交換に関する設定 (IPsecリリース3) # ipsec auto refresh on ipsec ike remote address 1 172.16.184.33 !# !# 鍵交換に関する設定 (IPsecリリース1,2) !# !ipsec auto refresh on !ipsec ike host 172.16.184.33 # # トンネル(VPN)に関する設定 # ipsec pre-shared-key 172.16.184.33 "RT(A)-RT(B)間の事前共有鍵" ipsec sa policy 101 172.16.184.33 esp 3des-cbc sha-hmac # tunnel select 1 ip tunnel route add host 192.168.0.2 1 ipsec tunnel 101 tunnel enable 1 # # 接続相手(OCNエコノミー,専用線)に関する設定 # pp select 1 pp bind bri 1 ip pp route add net default 1 nat use on nat masquerade on nat address global 172.16.186.46 nat address private 192.168.1.1-192.168.1.254 pp enable 1 # # RTに関する設定 # dns server "172.16.186.34" dns domain "ドメイン名" # # 保存と再起動 # save restart
Question & Answer
IPsecリリースによる仕様の違いを明示することとします。
IPsecリリース1やIPsecリリース2からIPsecリリース3に移行する場合は、 「セキュリティ・ゲートウェイ機能とIPsec」の 「IPsecリリース3への設定変更の手引き」を参考にしてください。
Rev.4.00.33から追加されたダイヤルアップVPN機能により、ipsec pre-shared-keyコマンドの仕様変更 があり、コマンドもipsec ike pre-shared-keyへと変更されました。
Rev.4.00.33以降のファームウェアの場合は、 ipsec pre-shared-keyコマンドの代りにipsec ike pre-shared-keyコマンドを 設定してください。
「pingが通るか通らないか?」という判断もありますが、 パケットが流れる経路を片道づつ検討します。 そこで、往路の経路と復路の経路が確保されていれば、通信可能と判断できます。
ルーティング設定などの状況次第で、往路の経路と復路の経路が 異なることがあります。 セキュリティ上重要な情報が流れる可能性がある場合、 経路のチェックも慎重に行ないましょう。
ホスト ネット ホスト ネット パケットの流れ
[大文字]→[小文字][x] [a] [b] [c] [d] [e] [f] [g] [h] [i] [j] Internet [X] ◎ ◎ ? ◎ ? ◎ ◎ ? ◎ ? SGW(172.16.184.33) [A] ◎ ● ● ● ● ◎ ◎ ? ◎ ? ホスト(172.16.184.34) [B] ◎ ● ● ● ● ◎ ◎ ? ◎ ? ホスト(192.168.0.2) [C] ○ ● ● ● ● ○ ○ × ○ × 172.16.184.32/28 [D] ◎ ● ● ● ● ● ◎ ◎ ? ◎ ? 192.168.0.0/24 [E] ○ ● ● ● ● ● ○ ○ × ○ × SGW(172.16.186.33) [F] ◎ ◎ ◎ ? ◎ ? ● ● ● ● ホスト(172.16.186.34) [G] ◎ ◎ ◎ ? ◎ ? ● ● ● ● ホスト(192.168.1.2) [H] ○ ○ ○ × ○ × ● ● ● ● 172.16.186.32/28 [I] ◎ ◎ ◎ ? ◎ ? ● ● ● ● ● 192.168.1.0/24 [J] ○ ○ ○ × ○ × ● ● ● ● ●
● 同じLAN/問題無い ◎ インターネット経由で通信 ○ NATやIPマスカレード ★ VPN経由で通信 × 通信できない ? 不明/場合によりけり
ホスト ネット ホスト ネット パケットの流れ
[大文字]→[小文字][x] [a] [b] [c] [d] [e] [f] [g] [h] [i] [j] Internet [X] ◎ ◎ ? ◎ ? ◎ ◎ ? ◎ ? SGW(172.16.184.33) [A] ◎ ● ● ● ● ◎ ◎ ★ ◎ ? ホスト(172.16.184.34) [B] ◎ ● ● ● ● ◎ ◎ ★ ◎ ? ホスト(192.168.0.2) [C] ○ ● ● ● ● ○ ○ ★ ○ × 172.16.184.32/28 [D] ◎ ● ● ● ● ● ◎ ◎ ★ ◎ ? 192.168.0.0/24 [E] ○ ● ● ● ● ● ○ ○ ★ ○ × SGW(172.16.186.33) [F] ◎ ◎ ◎ ★ ◎ ? ● ● ● ● ホスト(172.16.186.34) [G] ◎ ◎ ◎ ★ ◎ ? ● ● ● ● ホスト(192.168.1.2) [H] ○ ○ ○ ★ ○ × ● ● ● ● 172.16.186.32/28 [I] ◎ ◎ ◎ ★ ◎ ? ● ● ● ● ● 192.168.1.0/24 [J] ○ ○ ○ ★ ○ × ● ● ● ● ●
ホスト ネット ホスト ネット パケットの流れ
[大文字]→[小文字][x] [a] [b] [c] [d] [e] [f] [g] [h] [i] [j] Internet [X] ◎ ◎ ? ◎ ? ◎ ◎ ? ◎ ? SGW(172.16.184.33) [A] ◎ ● ● ● ● ◎ ★ ? ◎ ? ホスト(172.16.184.34) [B] ◎ ● ● ● ● ◎ ★ ? ◎ ? ホスト(192.168.0.2) [C] ○ ● ● ● ● ○ ★ × ○ × 172.16.184.32/28 [D] ◎ ● ● ● ● ● ◎ ★ ? ◎ ? 192.168.0.0/24 [E] ○ ● ● ● ● ● ○ ★ × ○ × SGW(172.16.186.33) [F] ◎ ◎ ★ ? ◎ ? ● ● ● ● ホスト(172.16.186.34) [G] ◎ ◎ ★ ? ◎ ? ● ● ● ● ホスト(192.168.1.2) [H] ○ ○ ★ × ○ × ● ● ● ● 172.16.186.32/28 [I] ◎ ◎ ★ ? ◎ ? ● ● ● ● ● 192.168.1.0/24 [J] ○ ○ ★ × ○ × ● ● ● ● ●
[ 目次
/ ダイヤルアクセス
/ エコノミー
/ スタンダード
]
[ +VPN
/ +専用線
/ +ISDN
/ +フィルタ
/ files
]
|