$Date: 2022/08/22 10:35:55 $
VPNクライアントソフト(YMS-VPN7-CP/YMS-VPN1-CP)では、PCとヤマハルーター双方に対応するライセンスキーを入力することにより、どのようなPCの組み合わせでも、ライセンスで規定された台数分だけルーターへの同時接続を可能とするライセンス体系を採用します。
従って、PCライセンス版のVPNクライアントソフト(YMS-VPN7/YMS-VPN1)と異なり、PCへのインストール数は制限しません。
上記ライセンス体系の採用に伴い、YMS-VPN7-CP/YMS-VPN1-CPと接続する際、ルーター側では新たにライセンスキーの管理が必要となります。本文書では、YMS-VPN7-CP/YMS-VPN1-CPとの接続で必要となるルーター側の機能、および設定方法について記載します。
なお、以降の文書では、クライアント側で管理するライセンスキーを「クライアントキー」、ルーター側で管理するライセンスキーを「ルーターキー」と呼称します。また、「VPNクライアント」と表記した場合は特に記載がない限りYMS-VPN7-CP/YMS-VPN1-CPを示します。
ヤマハルーターでは以下の機種およびファームウェアで、VPNクライアントの同時接続制限ライセンス対応をサポートしています。
| 機種 | ファームウェア | YMS-VPN1-CP | YMS-VPN7-CP |
|---|---|---|---|
| RTX5000 | Rev.14.00.08以降 | × | ○ |
| RTX3500 | Rev.14.00.08以降 | × | ○ |
| RTX1200 | Rev.10.01.22以降 | ○ | ○ |
| RTX3000 | Rev.9.00.48以降 | ○ | ○ |
また、本機能を利用してRTに接続することができるVPNクライアントソフトは以下の通りです。
ルーター側はアグレッシブモードの応答側ゲートウェイとして動作するようにします。また更に、ルーター側はXAUTHとmode-cfgを使用するように設定しておく必要があり、ここでユーザ認証を行った後、VPNクライアントにIPアドレスを付与します。
本機能を使用してVPNクライアントからの接続を受け付ける場合、1つのVPNクライアントに対して1つのゲートウェイ(トンネル)が割り当てられます。このような同一のクライアントキー、つまり同一の名前と事前共有鍵を持つ複数のVPNクライアントからの接続は、従来の動作では同一のホストからの接続と見なされ、複数ホストが同時に接続することはできなかったのですが、本機能にてルーターキーの適用を許可したゲートウェイに限りVPNクライアントのXAUTHユーザ名のみでホストを識別し、同時接続を可能とします。
ルーターキーの適用が許可されたゲートウェイ数が、ルーターキー規定された最大同時接続数に満たない場合、そのルーターで同時接続できるのはルーターキーの適用が許可されたゲートウェイ数までとなります。
クライアントキーとルーターキーはペアで存在します。なお、各ルーターキーには固有の同時接続数情報が付与されており、この情報を元にルーターはVPNクライアントからの同時接続を制御します。(下図参照)
IPsec接続
==================
+------- VPNクライアント1 (クライアントキーA') ← 接続中
+------- VPNクライアント2 (クライアントキーA') ← 接続中
+-------+ +------- VPNクライアント3 (クライアントキーA') ← 接続中
| RT | -----… : :
+-------+ +------- VPNクライアント10 (クライアントキーA') ← 接続中
ルーターキーA +------- VPNクライアント11 (クライアントキーA') ← 接続不可
(最大同時接続数=10) +------- VPNクライアント12 (クライアントキーA') ← 接続不可
+------- VPNクライアント13 (クライアントキーA') ← 接続不可
+------- VPNクライアント14 (クライアントキーA') ← 接続不可
※VPNクライアント1〜10までが同時接続中である場合、11〜14は接続できない
なお、ルーターにはルーターキーを複数登録することができます。運用システムの状況変化により、VPNクライアントの同時接続数を増強したい場合は、新たなルーターキーを追加登録することにより対応することができます。
ここでVPNクライアント側にも、対応する新たなクライアントキーが付与されますが、旧クライアントキーで既に設定されたVPNクライアントをわざわざ設定し直す必要はありません。ルーター側で新ルーターキーを追加することにより、VPNクライアントは新旧どちらのクライアントキーでも、2つのルーターキーの合計分だけ同時接続することができるようになります。(下図参照)
IPsec接続
==================
+------- VPNクライアント1 (クライアントキーA') ← 接続中
+------- VPNクライアント2 (クライアントキーA') ← 接続中
+-------+ +------- VPNクライアント3 (クライアントキーA') ← 接続中
| RT | -----… : :
+-------+ +------- VPNクライアント10 (クライアントキーA') ← 接続中
ルーターキーA +------- VPNクライアント11 (クライアントキーA') ← 接続中
(最大同時接続数=10) +------- VPNクライアント12 (クライアントキーA') ← 接続中
ルーターキーB +------- VPNクライアント13 (クライアントキーA') ← 接続中
(最大同時接続数=10) +------- VPNクライアント14 (クライアントキーA') ← 接続中
+------- VPNクライアント15 (クライアントキーB') ← 接続中
+------- VPNクライアント16 (クライアントキーB') ← 接続中
: :
+------- VPNクライアント20 (クライアントキーB') ← 接続中
※ルーターキーBの追加により、RTの最大同時接続数は10→20に増加
※VPNクライアントはクライアントキーA'のみで10台以上(20台まで)同時接続が可能
※VPNクライアントはクライアントキーB'による接続も可能(最大同時20台まで)
※VPNクライアントの接続優先度は、どのクライアントキーを使用しても同じ
基本的な設定方針は上述の通り、アグレッシブモードの応答側、且つXAUTHとmode-cfgを使用する設定となります。ただし、本機能による接続設定を行う際には、以下の点が従来と異なることに注意してください。
本機能を使用した具体的な設定例を以下に示します。
tunnel select 1
tunnel template 2-20 ......(1)
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive use 1 off
ipsec ike log 1 payload-info
ipsec ike license-key use 1 on ......(2)
ipsec ike remote address 1 any ......(3)
ipsec ike xauth request 1 on 11 ......(4)
ipsec ike mode-cfg address 1 1 ......(6)
tunnel enable 1
ipsec ike license-key 1 abcdefg-10-hijklmno ......(5)
ipsec ike license-key 2 pqrstuv-10-wxyz0123 ......(5)
ipsec ike mode-cfg address pool 1 172.16.0.1-172.16.0.20/32 ......(6)
auth user 1 user1 pass1 ......(4)
auth user 2 user2 pass2 ......(4)
:
auth user 20 user20 pass20 ......(4)
auth user group 11 1-20 ......(4)
auth user group attribute 11 xauth=on xauth-dns=10.10.10.1 ......(4)
(1). トンネルテンプレートを使用して、トンネル番号[2]〜[20]にも同じ接続設定を適用します。
これにより、トンネル[1]〜[20]をVPNクライアントからの接続が可能なトンネルとします。
(2). ゲートウェイに対してルーターキーの適用を許可します。
(3). アグレッシブモードの応答側として動作させるようにします。
(4). 鍵交換の際、相手側にXAUTH認証を要求します。併せて、認証するユーザID(とパスワード)、
および属性情報を設定します。
ユーザIDはRADIUSサーバーに問い合わせるよう設定することも可能です。
(5). ルーターキーを設定します。異なるルーターキーを複数個設定することで、VPNクライアント
の最大同時接続数を増加させることができます。
なお、ルーターキーで規定された同時接続数(の合計)とVPNクライアントからの接続が可能な
ゲートウェイ(トンネル)数が一致しない場合は、どちらか小さい方の数が最大同時接続数と
なります。
(6). mode-cfgによってVPNクライアントに付与するための内部IPアドレスプールを設定します。
ユーザ(ユーザグループ)の属性情報としてアドレスプールを設定することも可能です。
ipsec ike license-key LICENSE_ID KEY
no ipsec ike license-key LICENSE_ID [...]
VPNクライアントソフト(YMS-VPN7-CP/YMS-VPN1-CP)からのVPN接続を受け入れるためのルーターキー(ライセンスキー)を設定する。
各ルーターキーには固有の同時接続数が付与されており、異なる複数のルーターキーを登録することで、各ルーターキーの合計分の最大同時接続数を確保することができる。このとき、VPNクライアントソフトは本コマンドで登録したルーターキーに対応するクライアントキーならばどれを使用してもよい。VPNクライアントソフトが使用するクライアントキーに関わらず、登録された各ルーターキーの合計の最大同時接続数を基に接続制限が施される。
設定されていない
tunnel select 1
tunnel template 2-20
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive use 1 off
ipsec ike log 1 payload-info
ipsec ike license-key use 1 on
ipsec ike remote address 1 any
ipsec ike xauth request 1 on 11
ipsec ike mode-cfg address 1 1
tunnel enable 1
ipsec ike license-key 1 abcdefg-10-hijklmno
ipsec ike license-key 2 pqrstuv-10-wxyz0123
ipsec ike mode-cfg address pool 1 172.16.0.1-172.16.0.20/32
auth user 1 user1 pass1
auth user 2 user2 pass2
:
auth user 20 user20 pass20
auth user group 11 1-20
auth user group attribute 11 xauth=on xauth-dns=10.10.10.1
ipsec ike license-key use GATEWAY_ID SW
no ipsec ike license-key GATEWAY_ID [...]
VPNクライアントソフト(YMS-VPN7-CP/YMS-VPN1-CP)からのVPN接続を受け入れるためのルーターキー(ライセンスキー)の適用を許可するか否かを設定する。
ルーターキーの適用を許可されたゲートウェイがアグレッシブモードの応答側として動作した場合、ipsec ike remote nameコマンドとipsec ike pre-shared-keyコマンドの設定は無視され、代わりにルーターキーから抽出した固有のパラメータがそれぞれ使用される。従って、当該ゲートウェイとVPN接続できるのは、対応するクライアントキーを持つVPNクライアントソフトのみである。
off
| ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
|---|---|---|---|---|
| 1本 | 2本 | 3本 | 4本 | |
| YSL-VPN-EX1 | 100 | - | - | - |
| YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
本機能に関連して出力されるSYSLOGメッセージを以下に示します。なお、実際に出力されるメッセージの先頭には"[IKE] "というプレフィックスが付与されます。
| レベル | syslog | 説明 |
|---|---|---|
| [DEBUG] | out of license (IPアドレス user:XAUTHユーザ名) | ルーターキーの最大同時接続数を上回るため鍵交換を中止 |
| no gateway to accept licensed exchange (IPアドレス user:XAUTHユーザ名) | ルーターキーの最大同時接続数には達していないが、割り当て可能なゲートウェイ(トンネル)がないため鍵交換を中止 |
[関連ドキュメント]
|
|
[EOF]