IPsec NATトラバーサル外部仕様書

概要

NATの内側でIPsecを利用するときに生じる制約や運用の難しさを改善します。 ESPパケットをUDPパケットの中に押し込めて送信することで、次のような改善を引き出します。

NATの設定が簡単になります。通常はESPパケットをNATで変換する設定が必要になりますが、この機能を使うと、そのような設定が不要になります。
NATの内側で、複数の機器がIPsecを利用できるようになります。

既存のファームウェアでは、ESP over UDPという類似の機能が存在しますが、これはヤマハの独自仕様であり、この文書で説明するものとは別の機能です。

対応機種とファームウェアリビジョン

以下の機種およびファームウェアで、IPsec NATトラバーサルが動作します。

機種	ファームウェア
RTX810	Rev.11.01.04以降
RTX1200	Rev.10.01.07以降
SRT100	Rev.10.00.08以降
RTX3000	Rev.9.00.15以降
RTX1500	Rev.8.03.46以降
RTX1100
RT107e

詳細

この機能は次のInternet-Draftに基づいています。

draft-ietf-ipsec-nat-t-ike-03.txt
draft-ietf-ipsec-udp-encaps-03.txt

また、次の動作に対応しています。

トンネルモードのESP。
NATの有無の自動検出。 NATトラバーサルの設定があっても、通信経路上にNATの処理がなければ、 NATトラバーサルは働きません。
NATキープアライブの送信。 NATキープアライブは経路の途中にあるNATの状態を維持するために送信します。設定で送信間隔を変えることができます。
両方のルータや端末が、ともにNATの内側にある構成。このような構成では、受け側のルータでは、静的NATや静的IPマスカレードを設定し、外部からのパケットが届くようにします。

Internet-Draftの次の部分には対応していません。

トランスポートモード。
IPv6のIPsec。 IPv6 over IPv4 IPsecのようにトランスポートがIPv4であれば利用できますが、 IPv4 over IPv6 IPsecやIPv6 over IPv6 IPsecでは利用できません。

IPsec NATトラバーサルでは、次のことは実現できません。

AHとの組み合わせ。AHはIPパケットの書き換えを許さないプロトコルなので、 NATトラバーサルとの組み合わせは実現できません。

次の項目は、ヤマハルータでの制限事項です。

NATトラバーサルはアグレッシブモードでのみ機能します。
従来のファームウェアで搭載されているESP over UDPとNATトラバーサルを同じトンネルで併用することはできません。設定は可能ですが、正しく動作しません。
IPCompと併用することはできません。設定は可能ですが、正しく動作しません。

設定・操作方法

コマンド

IPsec NATトラバーサルを利用するための設定

[書式]

ipsec ike nat-traversal GATEWAY SWITCH [ OPTION ... ]
no ipsec ike nat-traversal GATEWAY [ SWITCH [ OPTION ... ] ]

[設定値]

GATEWAY ...	セキュリティゲートウェイの識別子
SWITCH ...	動作の有無 on ... NATトラバーサルの動作を有効にする off ... NATトラバーサルの動作を無効にする
OPTION ...	オプション keepalive=INTERVAL ... NATキープアライブの送信間隔 off ... 送信しない 30 - 100000[秒]

[説明]

NATトラバーサルの動作を設定する。この設定があるときには、 IKEでNATトラバーサルの交渉を行う。相手がNATトラバーサルに対応していないときや、通信経路上にNATの処理がないときには、 NATトラバーサルを使用せず、ESPパケットを使って通信する。対向のルータや端末でもNATトラバーサルの設定が必要である。いずれか一方にしか設定がないときには、 NATトラバーサルを使用せず、ESPパケットを使って通信する。

[ノート]

ipsec ike esp-encapsulationコマンドとの併用はできない。また、IPCompが設定されているトンネルインタフェースでは利用できない。アグレッシブモードのESPトンネルでのみ利用できる。メインモードやAHでは利用できず、トランスポートモードでも利用できない。

[初期値]

SWITCH: off
INTERVAL: 300[秒]

設定例

下記の設定例では説明用のグローバルアドレスとして172.16.0.1を使っています。

1. IPsecクライアントからのリモートアクセス

[ネットワーク構成]

[設定のポイント]

端末からRTX3000に対してIPsec VPNを接続します。
端末は移動するものとし、アドレスも変化するものとします。
端末はNATの内側に入るときと、入らないときがあります。
RTX3000と端末のIPsecクライアントにNATトラバーサルを設定します。 NATの有無は自動的に検出できるので、端末がどこにいても、 NATトラバーサルの設定を消す必要はありません。

[RTX3000の設定例]

  #
  # IPsecの設定
  #
  tunnel select 1
  ipsec tunnel 101
  ipsec sa policy 101 1 esp 3des-cbc sha-hmac
  ipsec ike local address 1 172.16.0.1
  ipsec ike remote address 1 any
  ipsec ike pre-shared-key 1 text key
  ipsec ike remote name 1 pc1
  ipsec ike nat-traversal 1 on
  tunnel enable 1

2. 拠点間のVPN

[ネットワーク構成]

[設定のポイント]

支社1ではルータと端末がそれぞれIPsec VPNを接続します。
支社2ではNATの内側にあるルータがIPsec VPNを接続します。
本社と支社の両方でNATを使用しています。つまり、 IPsec VPNは2箇所のNATを超えることになります。

[RTX1500の設定例]

  #
  # NATの設定
  nat descriptor type 1 masquerade
  nat descriptor address outer 1 172.16.0.1
  nat descriptor masquerade static 1 1 172.16.0.1 udp 500
  nat descriptor masquerade static 1 2 172.16.0.1 udp 4500

  #
  # IPsecの設定 --- RTX1100(1)とのVPN ---
  #
  tunnel select 1
  ipsec tunnel 101
  ipsec sa policy 101 1 esp 3des-cbc sha-hmac
  ipsec ike local address 1 172.16.0.1
  ipsec ike remote address 1 any
  ipsec ike pre-shared-key 1 text key1
  ipsec ike remote name 1 rtx1100-1
  ipsec ike keepalive use 1 on
  ipsec ike nat-traversal 1 on
  tunnel enable 1

  #
  # IPsecの設定 --- RTX1100(2)とのVPN ---
  #
  tunnel select 2
  ipsec tunnel 102
  ipsec sa policy 102 2 esp 3des-cbc sha-hmac
  ipsec ike local address 2 172.16.0.1
  ipsec ike remote address 2 any
  ipsec ike pre-shared-key 2 text key2
  ipsec ike remote name 2 rtx1100-2
  ipsec ike keepalive use 2 on
  ipsec ike nat-traversal 2 on
  tunnel enable 2

  #
  # IPsecの設定 --- IPsecクライアントとのVPN ---
  #
  tunnel select 3
  ipsec tunnel 103
  ipsec sa policy 103 3 esp 3des-cbc sha-hmac
  ipsec ike local address 3 172.16.0.1
  ipsec ike remote address 3 any
  ipsec ike pre-shared-key 3 text key3
  ipsec ike remote name 3 pc-1
  ipsec ike nat-traversal 3 on
  tunnel enable 3

本社では鍵交換を受け付けるため、静的IPマスカレードを設定し、外側からのパケットを常に通します。UDPの500番はIKEを通すために必要で、 UDPの4500番もNATトラバーサルで発生するパケットを通すために必要です。 NATトラバーサルを使う限り、ESPパケットは発生しないので、ESPの設定は不要です。

[RTX1100(1)の設定例]

  #
  # NATの設定
  nat descriptor type 1 masquerade
  nat descriptor address outer 1 ipcp

  #
  # IPsecの設定 --- RTX1500とのVPN ---
  #
  tunnel select 1
  ipsec tunnel 101
  ipsec sa policy 101 1 esp 3des-cbc sha-hmac
  ipsec ike remote address 1 172.16.0.1
  ipsec ike pre-shared-key 1 text key1
  ipsec ike local name 1 rtx1100-1
  ipsec ike keepalive use 1 on
  ipsec ike nat-traversal 1 on
  tunnel enable 1

NATトラバーサルがないときには、 UDPの500番やESPに対応する静的IPマスカレードの設定が必要でした。 NATトラバーサルを使うと、これらの設定が不要になります。

[RTX1100(2)の設定例]

  #
  # IPsecの設定 --- RTX1500とのVPN ---
  #
  tunnel select 1
  ipsec tunnel 101
  ipsec sa policy 101 1 esp 3des-cbc sha-hmac
  ipsec ike remote address 1 172.16.0.1
  ipsec ike pre-shared-key 1 text key2
  ipsec ike local name 1 rtx1100-2
  ipsec ike keepalive use 1 on
  ipsec ike nat-traversal 1 on
  tunnel enable 1

IPsec NATトラバーサル 外部仕様書

概要