Example for YAMAHA RT Series / OCN+VPN(IPsec 9)

[ OCN接続 + VPN(IPsec)接続 ]

[ 目次 / ダイヤルアクセス / エコノミー / スタンダード ]
[ ＋VPN / ＋専用線 / ＋ISDN / ＋フィルタ / files ]

(OCN/VPN.9) OCN接続された基幹ネットワークと遠隔地をVPN(IPsec)接続する事例

新規作成日	1998/Jun/11
最終変更日	2018/Nov/06
文書サイズ	20KB

[ 条件、特徴など ]

２個所のプロバイダ(OCN)接続ネットワークをIP接続する。
ルーティング情報は、スタティック設定する(明示する)

[ VPNの条件など ]

SGWは、RT(C)とRT(D)
内部のネットワーク間をルーティング
認証+暗号トンネル
…トンネルモード(ESP:暗号+認証)

[ ネットワーク設計 ]

ネットワーク構成図

     OCNエコノミー                     OCNエコノミー
          #                                 #
          # 128Kbps専用線                   # 128Kbps専用線
          #                                 #
     +---------+                       +---------+                   
     |  RT(A)  |                       |  RT(B)  |
     +----+----+                       +----+----+                   
          | 172.16.184.33                   | 172.16.186.33
          |       172.16.184.32/28          |       172.16.186.32/28
    ------+-----------------------    ------+-----------------------
          |                                 | 
          | 172.16.184.45                   | 172.16.186.45
     +----+----+                       +----+----+
     |  RT(C)  |???????????????????????|  RT(D)  |
     +----+----+         VPN           +----+----+
          | 192.168.0.1                     | 192.168.1.1
          |         192.168.0.0/24          |         192.168.1.0/24
    ------+-----------------------    ------+-----------------------

RT(C)-RT(D)間のVPN(IPsec)設計

SGWアドレス1 172.16.184.45…RT(C)

SGWアドレス2 172.16.186.45…RT(D)

事前共有鍵 "RT(C)-RT(D)間の事前共有鍵"

トンネルモード ESP, 暗号(des-cbc), 認証(md5-hmac)

[ RT(A)の要件 ]

RT(A)自身の設定
OCNエコノミーに関する設定
スタティックルーティング情報に関する設定

RT(A)のstaticルーティング設計

宛先/ネットマスク次のホップ生成コマンド

default PP[LEASED] or PP[01] ip pp route add net

172.16.186.45/32 PP[LEASED] or PP[01] ip pp route add host

172.16.186.32/28 LAN1(172.16.184.45) ip lan1 route add net

192.168.1.0/24 LAN1(172.16.184.45) ip lan1 route add net

172.16.184.32/28 LAN1(172.16.184.33) ip lan1 address

192.168.0.0/24 LAN1(172.16.184.45) ip lan1 route add net

宛先/ネットマスク	次のホップ	生成コマンド
default	PP[LEASED] or PP[01]	ip pp route add net
172.16.186.45/32	PP[LEASED] or PP[01]	ip pp route add host
172.16.186.32/28	LAN1(172.16.184.45)	ip lan1 route add net
192.168.1.0/24	LAN1(172.16.184.45)	ip lan1 route add net
172.16.184.32/28	LAN1(172.16.184.33)	ip lan1 address
192.168.0.0/24	LAN1(172.16.184.45)	ip lan1 route add net

RT(A)のNAT/NATディスクリプタのイメージ図

    ＜外側＞    …PPインタフェース側
 +------------+
 |     ☆     | …外側アドレス (グローバル・アドレス)
 |     ↑     |
 |     ｜     |
 |     ▲     | …1組のIPマスカレード変換
 |   ／  ＼   |
 | ↑↑↑↑↑ |
 | ○○○○○ | …内側アドレス (プライベート・アドレス)
 +------------+
    ＜内側＞    …ルーティング側

RT(A)のNATとIPマスカレードの設計 (Rev.3系以前)

項目内容生成コマンド

適用インタフェース PP[LEASED]
PP[01] pp select leased
pp select 1

NAT 使用する nat use on

IPマスカレード使用する nat masqerade on

グローバルIPアドレス 172.16.184.46 nat address global

プライベートIPアドレス 192.168.0.1～192.168.0.254 nat address private

静的なNAT設定なし nat address global

静的IPマスカレードなし

項目	内容	生成コマンド
適用インタフェース	PP[LEASED] PP[01]	pp select leased pp select 1
NAT	使用する	nat use on
IPマスカレード	使用する	nat masqerade on
グローバルIPアドレス	172.16.184.46	nat address global
プライベートIPアドレス	192.168.0.1～192.168.0.254	nat address private
静的なNAT設定	なし	nat address global
静的IPマスカレード	なし

RT(A)のNATディスクリプタ設計 (Rev.4系以降)

項目内容生成コマンド

NATディスクリプタ番号 1

タイプ masquerade nat descriptor type

外側アドレス 172.16.184.46 nat descriptor outer address

内側アドレス 192.168.0.1-192.168.0.254 nat descriptor inner address

静的なNAT設定なし nat descriptor static

静的IPマスカレードなし nat descriptor masquerade static

適用インタフェース PP[LEASED] or PP[01] ip pp nat descriptor

項目	内容	生成コマンド
NATディスクリプタ番号	1
タイプ	masquerade	nat descriptor type
外側アドレス	172.16.184.46	nat descriptor outer address
内側アドレス	192.168.0.1-192.168.0.254	nat descriptor inner address
静的なNAT設定	なし	nat descriptor static
静的IPマスカレード	なし	nat descriptor masquerade static
適用インタフェース	PP[LEASED] or PP[01]	ip pp nat descriptor

RT(A)の設定例

1ポート専用タイプ

#
# RTに関する設定
#
pp line l128
ip lan address 172.16.184.33/28
ip lan route add net 172.16.186.32/28 172.16.184.45 1
ip lan route add net 192.168.0.0/24 172.16.184.45 1
ip lan route add net 192.168.1.0/24 172.16.184.45 1
ip lan routing protocol none
#
# 接続相手(OCNエコノミー,専用線)に関する設定
#
pp select leased
ip pp route add net default 1
ip pp route add host 172.16.186.45 1
nat use on
nat masquerade on
nat address global 172.16.184.46
nat address private 192.168.0.1-192.168.0.254
pp enable leased
#
# RTに関する設定
#
dns server "172.16.184.34"
dns domain "ドメイン名"
#
# 保存と再起動
#
save
restart

複数ポート対応タイプ

#
# RTに関する設定
#
bri line 1 l128
ip lan address 172.16.184.33/28
ip lan route add net 172.16.186.32/28 172.16.184.45 1
ip lan route add net 192.168.0.0/24 172.16.184.45 1
ip lan route add net 192.168.1.0/24 172.16.184.45 1
ip lan routing protocol none
#
# 接続相手(OCNエコノミー,専用線)に関する設定
#
pp select 1
pp bind bri 1
ip pp route add net default 1
ip pp route add host 172.16.186.45 1
nat use on
nat masquerade on
nat address global 172.16.184.46
nat address private 192.168.0.1-192.168.0.254
pp enable 1
#
# RTに関する設定
#
dns server "172.16.184.34"
dns domain "ドメイン名"
#
# 保存と再起動
#
save
restart

[ RT(B)の要件 ]

RT(B)自身の設定
OCNエコノミーに関する設定
スタティックルーティング情報に関する設定

RT(B)のstaticルーティング設計

宛先/ネットマスク次のホップ生成コマンド

default PP[LEASED] or PP[01] ip pp route add net

172.16.184.42/32 PP[LEASED] or PP[01] ip pp route add host

172.16.184.32/28 LAN1(172.16.186.45) ip lan1 route add net

192.168.0.0/24 LAN1(172.16.186.45) ip lan1 route add net

172.16.186.32/28 LAN1(172.16.186.33) ip lan1 address

192.168.1.0/24 LAN1(172.16.186.45) ip lan1 route add net

宛先/ネットマスク	次のホップ	生成コマンド
default	PP[LEASED] or PP[01]	ip pp route add net
172.16.184.42/32	PP[LEASED] or PP[01]	ip pp route add host
172.16.184.32/28	LAN1(172.16.186.45)	ip lan1 route add net
192.168.0.0/24	LAN1(172.16.186.45)	ip lan1 route add net
172.16.186.32/28	LAN1(172.16.186.33)	ip lan1 address
192.168.1.0/24	LAN1(172.16.186.45)	ip lan1 route add net

RT(B)のNAT/NATディスクリプタのイメージ図

    ＜外側＞    …PPインタフェース側
 +------------+
 |     ☆     | …外側アドレス (グローバル・アドレス)
 |     ↑     |
 |     ｜     |
 |     ▲     | …1組のIPマスカレード変換
 |   ／  ＼   |
 | ↑↑↑↑↑ |
 | ○○○○○ | …内側アドレス (プライベート・アドレス)
 +------------+
    ＜内側＞    …ルーティング側

RT(B)のNATとIPマスカレードの設計 (Rev.3系以前)

項目内容生成コマンド

適用インタフェース PP[LEASED]
PP[01] pp select leased
pp select 1

NAT 使用する nat use on

IPマスカレード使用する nat masqerade on

グローバルIPアドレス 172.16.186.46 nat address global

プライベートIPアドレス 192.168.1.1～192.168.1.254 nat address private

静的なNAT設定なし nat address global

静的IPマスカレードなし

項目	内容	生成コマンド
適用インタフェース	PP[LEASED] PP[01]	pp select leased pp select 1
NAT	使用する	nat use on
IPマスカレード	使用する	nat masqerade on
グローバルIPアドレス	172.16.186.46	nat address global
プライベートIPアドレス	192.168.1.1～192.168.1.254	nat address private
静的なNAT設定	なし	nat address global
静的IPマスカレード	なし

RT(B)のNATディスクリプタ設計 (Rev.4系以降)

項目内容生成コマンド

NATディスクリプタ番号 1

タイプ masquerade nat descriptor type

外側アドレス 172.16.186.46 nat descriptor outer address

内側アドレス 192.168.1.1-192.168.1.254 nat descriptor inner address

静的なNAT設定なし nat descriptor static

静的IPマスカレードなし nat descriptor masquerade static

適用インタフェース PP[LEASED] or PP[01] ip pp nat descriptor

項目	内容	生成コマンド
NATディスクリプタ番号	1
タイプ	masquerade	nat descriptor type
外側アドレス	172.16.186.46	nat descriptor outer address
内側アドレス	192.168.1.1-192.168.1.254	nat descriptor inner address
静的なNAT設定	なし	nat descriptor static
静的IPマスカレード	なし	nat descriptor masquerade static
適用インタフェース	PP[LEASED] or PP[01]	ip pp nat descriptor

RT(B)の設定例

1ポート専用タイプ

#
# RTに関する設定
#
pp line l128
ip lan address 172.16.186.33/28
ip lan route add net 172.16.184.32/28 172.16.186.45 1
ip lan route add net 192.168.0.0/24 172.16.186.45 1
ip lan route add net 192.168.1.0/24 172.16.186.45 1
ip lan routing protocol none
#
# 接続相手(OCNエコノミー,専用線)に関する設定
#
pp select leased
ip pp route add net default 1
ip pp route add host 172.16.184.45 1
nat use on
nat masquerade on
nat address global 172.16.186.46
nat address private 192.168.1.1-192.168.1.254
pp enable leased
#
# RTに関する設定
#
dns server "172.16.186.34"
dns domain "ドメイン名"
#
# 保存と再起動
#
save
restart

複数ポート対応タイプ

#
# RTに関する設定
#
bri line 1 l128
ip lan address 172.16.186.33/28
ip lan route add net 172.16.184.32/28 172.16.186.45 1
ip lan route add net 192.168.0.0/24 172.16.186.45 1
ip lan route add net 192.168.1.0/24 172.16.186.45 1
ip lan routing protocol none
#
# 接続相手(OCNエコノミー,専用線)に関する設定
#
pp select 1
pp bind bri 1
ip pp route add net default 1
ip pp route add host 172.16.184.45 1
nat use on
nat masquerade on
nat address global 172.16.186.46
nat address private 192.168.1.1-192.168.1.254
pp enable 1
#
# RTに関する設定
#
dns server "172.16.186.34"
dns domain "ドメイン名"
#
# 保存と再起動
#
save
restart

[ RT(C)の要件 ]

RT140eを使用する
RT(C)自身の設定
専用線接続相手に関する設定
IPsecに関する設定
トンネルインタフェース(VPN)に関する設定
スタティックルーティング情報の設定

RT(C)のstaticルーティング設計

宛先/ネットマスク次のホップ生成コマンド

default LAN1(172.16.184.33) ip lan1 route add net

172.16.186.42/32 LAN1(172.16.184.33) ip lan1 route add host

172.16.186.32/28 TUNNEL[01] ip tunnel route add net

192.168.1.0/24 TUNNEL[01] ip tunnel route add net

172.16.184.32/28 LAN1(172.16.184.45) ip lan1 address

192.168.0.0/24 LAN2(192.168.0.1) ip lan2 address

宛先/ネットマスク	次のホップ	生成コマンド
default	LAN1(172.16.184.33)	ip lan1 route add net
172.16.186.42/32	LAN1(172.16.184.33)	ip lan1 route add host
172.16.186.32/28	TUNNEL[01]	ip tunnel route add net
192.168.1.0/24	TUNNEL[01]	ip tunnel route add net
172.16.184.32/28	LAN1(172.16.184.45)	ip lan1 address
192.168.0.0/24	LAN2(192.168.0.1)	ip lan2 address

RT(C)のIPsec設計

SGW定義

SGWアドレス 172.16.186.45

RT(A)-RT(B)事前共有鍵 "RT(C)-RT(D)間の事前共有鍵"

IPsecポリシーの定義

ポリシー識別番号 101

形式 ESP

暗号 des-cbc

認証 md5-hmac

トンネルの定義

トンネルIF番号 1

ボリシー番号 101

SGW定義
SGWアドレス	172.16.186.45
RT(A)-RT(B)事前共有鍵	"RT(C)-RT(D)間の事前共有鍵"
IPsecポリシーの定義
ポリシー識別番号	101
形式	ESP
暗号	des-cbc
認証	md5-hmac
トンネルの定義
トンネルIF番号	1
ボリシー番号	101

RT(C)の設定例

RT140e…複数ポート対応タイプ

#
# RTに関する設定
#
bri line 1 l128
ip lan1 address 172.16.184.45/28
ip lan1 route add net default 172.16.184.33 1
ip lan1 route add host 172.16.186.45 172.16.184.33 1
ip lan1 routing protocol none
ip lan2 address 192.168.0.1/24
ip lan2 routing protocol none
#
# 鍵交換に関する設定 (IPsecリリース3)
#
ipsec auto refresh on
ipsec ike remote address 1 172.16.186.45
！#
！# 鍵交換に関する設定 (IPsecリリース1,2)
！#
！ipsec auto refresh on
！ipsec ike host 172.16.186.45
#
# トンネル(VPN)に関する設定
#
ipsec pre-shared-key 172.16.186.45 "RT(C)-RT(D)間の事前共有鍵"
ipsec sa policy 101 172.16.186.45 esp 3des-cbc sha-hmac
#
tunnel select 1
ip tunnel route add net 172.16.186.32/28 1
ip tunnel route add net 192.168.1.0/24 1
ipsec tunnel 101
tunnel enable 1
#
# 保存と再起動
#
save
restart

[ RT(D)の要件 ]

RT140eを使用する
RT(D)自身の設定
専用線接続相手に関する設定
IPsecに関する設定
トンネルインタフェース(VPN)に関する設定
スタティックルーティング情報の設定

RT(D)のstaticルーティング設計

宛先/ネットマスク次のホップ生成コマンド

default LAN1(172.16.186.33) ip lan1 route add net

172.16.184.45/32 LAN1(172.16.186.33) ip lan1 route add host

172.16.184.32/28 TUNNEL[01] ip tunnel route add net

192.168.0.0/24 TUNNEL[01] ip tunnel route add net

172.16.186.32/28 LAN1(172.16.186.45) ip lan1 address

192.168.1.0/24 LAN2(192.168.1.1) ip lan2 address

宛先/ネットマスク	次のホップ	生成コマンド
default	LAN1(172.16.186.33)	ip lan1 route add net
172.16.184.45/32	LAN1(172.16.186.33)	ip lan1 route add host
172.16.184.32/28	TUNNEL[01]	ip tunnel route add net
192.168.0.0/24	TUNNEL[01]	ip tunnel route add net
172.16.186.32/28	LAN1(172.16.186.45)	ip lan1 address
192.168.1.0/24	LAN2(192.168.1.1)	ip lan2 address

RT(D)のIPsec設計

SGW定義

SGWアドレス 172.16.184.45

RT(A)-RT(B)事前共有鍵 "RT(C)-RT(D)間の事前共有鍵"

IPsecポリシーの定義

ポリシー識別番号 101

形式 ESP

暗号 des-cbc

認証 md5-hmac

トンネルの定義

トンネルIF番号 1

ボリシー番号 101

SGW定義
SGWアドレス	172.16.184.45
RT(A)-RT(B)事前共有鍵	"RT(C)-RT(D)間の事前共有鍵"
IPsecポリシーの定義
ポリシー識別番号	101
形式	ESP
暗号	des-cbc
認証	md5-hmac
トンネルの定義
トンネルIF番号	1
ボリシー番号	101

RT(D)の設定例

RT140e…複数ポート対応タイプ

#
# RTに関する設定
#
bri line 1 l128
ip lan1 address 172.16.186.45/28
ip lan1 route add net default 172.16.186.33 1
ip lan1 route add host 172.16.184.45 172.16.186.33 1
ip lan1 routing protocol none
ip lan2 address 192.168.1.1/24
ip lan2 routing protocol none
#
# 鍵交換に関する設定 (IPsecリリース3)
#
ipsec auto refresh on
ipsec ike remote address 1 172.16.184.45
！#
！# 鍵交換に関する設定 (IPsecリリース1,2)
！#
！ipsec auto refresh on
！ipsec ike host 172.16.184.45
#
tunnel select 1
ip tunnel route add net 172.16.184.32/28 1
ip tunnel route add net 192.168.0.0/24 1
ipsec tunnel 101
tunnel enable 1
#
# 保存と再起動
#
save
restart

[ Ｑuestion ＆Ａnswer ]

設定例の「！」について
IPsecリリースによる仕様の違いを明示することとします。

IPsecリリース1やIPsecリリース2からIPsecリリース3に移行する場合は、「セキュリティ・ゲートウェイ機能とIPsec」の「IPsecリリース3への設定変更の手引き」を参考にしてください。
ipsec pre-shared-keyコマンドが入力(設定)できません。
Rev.4.00.33から追加されたダイヤルアップVPN機能により、ipsec pre-shared-keyコマンドの仕様変更があり、コマンドもipsec ike pre-shared-keyへと変更されました。

Rev.4.00.33以降のファームウェアの場合は、 ipsec pre-shared-keyコマンドの代りにipsec ike pre-shared-keyコマンドを設定してください。

[ OCN接続 + VPN(IPsec)接続 ]

[ 目次 / ダイヤルアクセス / エコノミー / スタンダード ]
[ ＋VPN / ＋専用線 / ＋ISDN / ＋フィルタ / files ]

※「戻る/進む」はブラウザの履歴が使用されます

[ RTpro / ヤマハ / 技術資料 / 設定例集 / RT's FAQ / マニュアル ]

SGWアドレス1	172.16.184.45…RT(C)
SGWアドレス2	172.16.186.45…RT(D)
事前共有鍵	"RT(C)-RT(D)間の事前共有鍵"
トンネルモード	ESP, 暗号(des-cbc), 認証(md5-hmac)