この文書ではダイヤルアップVPNの仕様を説明します。 ダイヤルアップVPNは、プロバイダが固定のIPアドレスを割り当てておらず、 ルータのIPアドレスが動的に変化するときに、VPNを構築できるようにする機能です。
ダイヤルアップVPNの特徴は、ルータを「名前」で識別することです。 ダイヤルアップVPNでない基本的なVPNの構成では IPアドレスを使って相手のルータを識別しますが、 ダイヤルアップVPNでは「名前」を使って相手のルータを識別します。 したがって、IPアドレスが変化しても正しくルータを識別することができます。
また、ダイヤルアップVPNでは、 双方のルータが「センター」と「拠点」の役割を分担して動作します。 このうち、センターのルータでは、 必ず固定のグローバルアドレスを持ち、 拠点からの接続を待ち受けます。一方、拠点のルータでは、 アドレスの動的な変化が想定されます。
次の図は、ダイヤルアップVPNの典型的な構成を示したものです。
-------+------ センター | +-----+-----+ | RT center | +-----+-----+ | アドレス:固定 | ............|................ ......... .......... ... ... ... インターネット ... ......... .......... | ............................. | | | | アドレス:不定 | アドレス:不定 +---+----+ +---+----+ | RT 1 | ・・・・・・・・・・・ | RT n | +---+----+ +---+----+ | | -----+------ 拠点 -----+------ 拠点
拠点には、それぞれに一意な「名前」をつける必要があります。 センターのルータでは、それぞれの名前に対して必要な項目を設定します。
ダイヤルアップVPNでは、いくつかの制約がありますので、先に説明しておきます。
まず、IPアドレスが自由に変化するため、 AH(認証ヘッダ)を利用することはできません。 一方、ESPについては問題なく動作します。認証が必要な場合には、 ESPのオプションとして提供される認証のオプションを使用してください。
また、センターのルータがリブートした場合には、 センターが管理していたSAだけが削除されてしまい、通信が停止してしまいます。 これは、拠点のルータのIPアドレスが不定であるため、 センターのルータが拠点のルータに対して リブートを通知することができないからです。
なお、最近のファームウェアでは、 IKEキープアライブを使うことで、 この点を解決できるようになっています。 IKEキープアライブは、相手のルータでSAが削除されたときに、 それを検出する仕組みを備えています。
最後に相互接続性の制約があります。 基本的にIPsecの実装はRFCにしたがっているため、 他ベンダの機種と相互接続できる可能性はありますが、 ダイヤルアップVPNの相互接続は確認されていません。
ダイヤルアップVPNの設定の要点を説明します。 これを読む前に設定ガイドで基本的な構成について 確認しておいてください。
構成は次のようなものを考えます。左の2つが拠点で、右端がセンターになります。 図には描いていませんが、拠点1と拠点2が、 それぞれセンターと接続してVPNを構成しています。 拠点1と拠点2は直接接続していません。
インターネット インターネット インターネット : : | : : | : : | ダイアルアップ接続 ダイアルアップ接続 専用線接続 : : | : : | 172.16.0.2 +---+----+ +---+----+ +---+----+ | RT 1 | | RT 2 | | RT 3 | +---+----+ +---+----+ +---+----+ | 192.168.1.1 | 192.168.2.1 | 192.168.0.1 | | | ---+---- 192.168.1.0/24 ---+---- 192.168.2.0/24 ---+--- 192.168.0.0/24 [拠点1] 名前:kyoten-1 [拠点2] 名前:kyoten-2 [センター]
回線などの設定は省略し、IPsecの部分の設定だけを説明します。
まず、ルータのIPアドレスを設定します。自分側のアドレスについては、 固定のグローバルアドレスがないので、 LAN側のプライベートアドレスを登録します。相手側のアドレスは、 センターの固定のアドレスで172.16.0.2になります。
# ipsec ike local address 1 192.168.1.1 # ipsec ike remote address 1 172.16.0.2
次に、IKEに関する項目を設定します。
# ipsec ike pre-shared-key 1 text himitsu # ipsec ike local name 1 kyoten-1 {key-id}
2行目が新出のコマンドで、自分のルータの名前を設定するコマンドです。 最後のkey-idというパラメータは設定しなくてもかまいません。
さらに、トンネルインタフェースの設定をします。
# ipsec sa policy 101 1 esp des-cbc # tunnel select 1 # ipsec tunnel 101 # tunnel enable 1 # ip route 192.168.0.0/24 gateway tunnel 1
これらの設定は設定ガイドと同じ要領で設定できます。
最後に、その他の設定を追加します。
# nat descriptor type 1 masquerade # nat descriptor address outer 1 ipcp # nat descriptor address inner 1 192.168.1.1-192.168.1.254 # nat descriptor masquerade static 1 1 192.168.1.1 udp 500 # nat descriptor masquerade static 1 2 192.168.1.1 esp * # pp select 1 # ip pp nat descriptor 1 # pp enable 1
設定ガイドの繰り返しになりますが、 4つのコマンドで、同じIPアドレスが設定されていることを確認してください。
ipsec ike local address 1 192.168.1.1 nat descriptor address inner 1 192.168.1.1-192.168.1.254 nat descriptor masquerade static 1 1 192.168.1.1 udp 500 nat descriptor masquerade static 1 2 192.168.1.1 esp *
最後に、IPsecの動作を有効にします。
# ipsec auto refresh on
なお、ダイヤルアップVPNでは、このコマンドを設定しても、 実際にIPパケットが流れない限り、SAは作られません。
※ 拠点2についても同じように設定できます。違いはIPアドレスだけですので、 ここでは省略します。
回線などの設定は省略し、IPsecの部分の設定だけを説明します。
まず、ルータのIPアドレスを設定します。自分側のアドレスについては、 固定のグローバルアドレス(172.16.0.2)を登録します。 相手側のアドレスについては、不定であり、決まったアドレスがないため、 anyというキーワードを設定します。センターでは、 2つの拠点と通信をするため、2つ分の設定が必要であることに注意してください。
; ; 拠点1のための設定 ; # ipsec ike local address 1 172.16.0.2 # ipsec ike remote address 1 any ; ; 拠点2のための設定 ; # ipsec ike local address 2 172.16.0.2 # ipsec ike remote address 2 any
次に、IKEに関する項目を設定します。
; ; 拠点1のための設定 ; # ipsec ike pre-shared-key 1 text himitsu # ipsec ike remote name 1 kyoten-1 ; ; 拠点2のための設定 ; # ipsec ike pre-shared-key 2 text himitsu # ipsec ike remote name 2 kyoten-2
ipsec ike remote nameという新出のコマンドがあります。 これは、相手のルータの名前を設定するコマンドです。この名前は、 相手のルータのipsec ike local nameコマンドで設定された 名前と一致している必要があります。
※ ここでは、事前共有鍵の設定が2つとも「himitsu」になっていますが、 相手ごとに変更するべきです。
さらに、トンネルインタフェースの設定をします。
; ; 拠点1のための設定 ; # ipsec sa policy 101 1 esp des-cbc # tunnel select 1 # ipsec tunnel 101 # tunnel enable 1 # ip route 192.168.1.0/24 gateway tunnel 1 ; ; 拠点2のための設定 ; # ipsec sa policy 102 2 esp des-cbc # tunnel select 2 # ipsec tunnel 102 # tunnel enable 2 # ip route 192.168.2.0/24 gateway tunnel 2
最後に、その他の設定を追加します。
# nat descriptor type 1 masquerade # nat descriptor address outer 1 172.16.0.2 # nat descriptor address inner 1 172.16.0.2 192.168.0.1-192.168.0.254 # nat descriptor masquerade static 1 1 172.16.0.2 udp 500 # nat descriptor masquerade static 1 2 172.16.0.2 esp * # pp select 1 # ip pp nat descriptor 1 # pp enable 1
nat descriptor address outerコマンドで、 172.16.0.2という固定のアドレスを設定していますが、 同じアドレスをPPインタフェースに設定する必要があります。 (IPCPで自動取得できる場合でも必ず設定してください。)
# pp select 1 # ip pp address 172.16.0.2/32 # pp enable 1
設定ガイドでも触れていますが、 172.16.0.2の代わりに192.168.0.1を使うこともできます。 変更箇所は以下のとおりです。
# ipsec ike local address 1 192.168.0.1 # nat descriptor address inner 1 192.168.0.1-192.168.0.254 # nat descriptor masquerade static 1 1 192.168.0.1 udp 500 # nat descriptor masquerade static 1 2 192.168.0.1 esp *
最後に、IPsecの動作を有効にします。
# ipsec auto refresh on
[関連ドキュメント]
|