$Date: 2022/08/22 10:35:55 $
VPNクライアントソフト(YMS-VPN7-CP/YMS-VPN1-CP)では、PCとヤマハルーター双方に対応するライセンスキーを入力することにより、どのようなPCの組み合わせでも、ライセンスで規定された台数分だけルーターへの同時接続を可能とするライセンス体系を採用します。
従って、PCライセンス版のVPNクライアントソフト(YMS-VPN7/YMS-VPN1)と異なり、PCへのインストール数は制限しません。
上記ライセンス体系の採用に伴い、YMS-VPN7-CP/YMS-VPN1-CPと接続する際、ルーター側では新たにライセンスキーの管理が必要となります。本文書では、YMS-VPN7-CP/YMS-VPN1-CPとの接続で必要となるルーター側の機能、および設定方法について記載します。
なお、以降の文書では、クライアント側で管理するライセンスキーを「クライアントキー」、ルーター側で管理するライセンスキーを「ルーターキー」と呼称します。また、「VPNクライアント」と表記した場合は特に記載がない限りYMS-VPN7-CP/YMS-VPN1-CPを示します。
ヤマハルーターでは以下の機種およびファームウェアで、VPNクライアントの同時接続制限ライセンス対応をサポートしています。
機種 | ファームウェア | YMS-VPN1-CP | YMS-VPN7-CP |
---|---|---|---|
RTX5000 | Rev.14.00.08以降 | × | ○ |
RTX3500 | Rev.14.00.08以降 | × | ○ |
RTX1200 | Rev.10.01.22以降 | ○ | ○ |
RTX3000 | Rev.9.00.48以降 | ○ | ○ |
また、本機能を利用してRTに接続することができるVPNクライアントソフトは以下の通りです。
ルーター側はアグレッシブモードの応答側ゲートウェイとして動作するようにします。また更に、ルーター側はXAUTHとmode-cfgを使用するように設定しておく必要があり、ここでユーザ認証を行った後、VPNクライアントにIPアドレスを付与します。
本機能を使用してVPNクライアントからの接続を受け付ける場合、1つのVPNクライアントに対して1つのゲートウェイ(トンネル)が割り当てられます。このような同一のクライアントキー、つまり同一の名前と事前共有鍵を持つ複数のVPNクライアントからの接続は、従来の動作では同一のホストからの接続と見なされ、複数ホストが同時に接続することはできなかったのですが、本機能にてルーターキーの適用を許可したゲートウェイに限りVPNクライアントのXAUTHユーザ名のみでホストを識別し、同時接続を可能とします。
ルーターキーの適用が許可されたゲートウェイ数が、ルーターキー規定された最大同時接続数に満たない場合、そのルーターで同時接続できるのはルーターキーの適用が許可されたゲートウェイ数までとなります。
クライアントキーとルーターキーはペアで存在します。なお、各ルーターキーには固有の同時接続数情報が付与されており、この情報を元にルーターはVPNクライアントからの同時接続を制御します。(下図参照)
IPsec接続 ================== +------- VPNクライアント1 (クライアントキーA') ← 接続中 +------- VPNクライアント2 (クライアントキーA') ← 接続中 +-------+ +------- VPNクライアント3 (クライアントキーA') ← 接続中 | RT | -----… : : +-------+ +------- VPNクライアント10 (クライアントキーA') ← 接続中 ルーターキーA +------- VPNクライアント11 (クライアントキーA') ← 接続不可 (最大同時接続数=10) +------- VPNクライアント12 (クライアントキーA') ← 接続不可 +------- VPNクライアント13 (クライアントキーA') ← 接続不可 +------- VPNクライアント14 (クライアントキーA') ← 接続不可 ※VPNクライアント1〜10までが同時接続中である場合、11〜14は接続できない
なお、ルーターにはルーターキーを複数登録することができます。運用システムの状況変化により、VPNクライアントの同時接続数を増強したい場合は、新たなルーターキーを追加登録することにより対応することができます。
ここでVPNクライアント側にも、対応する新たなクライアントキーが付与されますが、旧クライアントキーで既に設定されたVPNクライアントをわざわざ設定し直す必要はありません。ルーター側で新ルーターキーを追加することにより、VPNクライアントは新旧どちらのクライアントキーでも、2つのルーターキーの合計分だけ同時接続することができるようになります。(下図参照)
IPsec接続 ================== +------- VPNクライアント1 (クライアントキーA') ← 接続中 +------- VPNクライアント2 (クライアントキーA') ← 接続中 +-------+ +------- VPNクライアント3 (クライアントキーA') ← 接続中 | RT | -----… : : +-------+ +------- VPNクライアント10 (クライアントキーA') ← 接続中 ルーターキーA +------- VPNクライアント11 (クライアントキーA') ← 接続中 (最大同時接続数=10) +------- VPNクライアント12 (クライアントキーA') ← 接続中 ルーターキーB +------- VPNクライアント13 (クライアントキーA') ← 接続中 (最大同時接続数=10) +------- VPNクライアント14 (クライアントキーA') ← 接続中 +------- VPNクライアント15 (クライアントキーB') ← 接続中 +------- VPNクライアント16 (クライアントキーB') ← 接続中 : : +------- VPNクライアント20 (クライアントキーB') ← 接続中 ※ルーターキーBの追加により、RTの最大同時接続数は10→20に増加 ※VPNクライアントはクライアントキーA'のみで10台以上(20台まで)同時接続が可能 ※VPNクライアントはクライアントキーB'による接続も可能(最大同時20台まで) ※VPNクライアントの接続優先度は、どのクライアントキーを使用しても同じ
基本的な設定方針は上述の通り、アグレッシブモードの応答側、且つXAUTHとmode-cfgを使用する設定となります。ただし、本機能による接続設定を行う際には、以下の点が従来と異なることに注意してください。
本機能を使用した具体的な設定例を以下に示します。
tunnel select 1 tunnel template 2-20 ......(1) ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 off ipsec ike log 1 payload-info ipsec ike license-key use 1 on ......(2) ipsec ike remote address 1 any ......(3) ipsec ike xauth request 1 on 11 ......(4) ipsec ike mode-cfg address 1 1 ......(6) tunnel enable 1 ipsec ike license-key 1 abcdefg-10-hijklmno ......(5) ipsec ike license-key 2 pqrstuv-10-wxyz0123 ......(5) ipsec ike mode-cfg address pool 1 172.16.0.1-172.16.0.20/32 ......(6) auth user 1 user1 pass1 ......(4) auth user 2 user2 pass2 ......(4) : auth user 20 user20 pass20 ......(4) auth user group 11 1-20 ......(4) auth user group attribute 11 xauth=on xauth-dns=10.10.10.1 ......(4) (1). トンネルテンプレートを使用して、トンネル番号[2]〜[20]にも同じ接続設定を適用します。 これにより、トンネル[1]〜[20]をVPNクライアントからの接続が可能なトンネルとします。 (2). ゲートウェイに対してルーターキーの適用を許可します。 (3). アグレッシブモードの応答側として動作させるようにします。 (4). 鍵交換の際、相手側にXAUTH認証を要求します。併せて、認証するユーザID(とパスワード)、 および属性情報を設定します。 ユーザIDはRADIUSサーバーに問い合わせるよう設定することも可能です。 (5). ルーターキーを設定します。異なるルーターキーを複数個設定することで、VPNクライアント の最大同時接続数を増加させることができます。 なお、ルーターキーで規定された同時接続数(の合計)とVPNクライアントからの接続が可能な ゲートウェイ(トンネル)数が一致しない場合は、どちらか小さい方の数が最大同時接続数と なります。 (6). mode-cfgによってVPNクライアントに付与するための内部IPアドレスプールを設定します。 ユーザ(ユーザグループ)の属性情報としてアドレスプールを設定することも可能です。
ipsec ike license-key LICENSE_ID KEY
no ipsec ike license-key LICENSE_ID [...]
VPNクライアントソフト(YMS-VPN7-CP/YMS-VPN1-CP)からのVPN接続を受け入れるためのルーターキー(ライセンスキー)を設定する。
各ルーターキーには固有の同時接続数が付与されており、異なる複数のルーターキーを登録することで、各ルーターキーの合計分の最大同時接続数を確保することができる。このとき、VPNクライアントソフトは本コマンドで登録したルーターキーに対応するクライアントキーならばどれを使用してもよい。VPNクライアントソフトが使用するクライアントキーに関わらず、登録された各ルーターキーの合計の最大同時接続数を基に接続制限が施される。
設定されていない
tunnel select 1 tunnel template 2-20 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 off ipsec ike log 1 payload-info ipsec ike license-key use 1 on ipsec ike remote address 1 any ipsec ike xauth request 1 on 11 ipsec ike mode-cfg address 1 1 tunnel enable 1 ipsec ike license-key 1 abcdefg-10-hijklmno ipsec ike license-key 2 pqrstuv-10-wxyz0123 ipsec ike mode-cfg address pool 1 172.16.0.1-172.16.0.20/32 auth user 1 user1 pass1 auth user 2 user2 pass2 : auth user 20 user20 pass20 auth user group 11 1-20 auth user group attribute 11 xauth=on xauth-dns=10.10.10.1
ipsec ike license-key use GATEWAY_ID SW
no ipsec ike license-key GATEWAY_ID [...]
VPNクライアントソフト(YMS-VPN7-CP/YMS-VPN1-CP)からのVPN接続を受け入れるためのルーターキー(ライセンスキー)の適用を許可するか否かを設定する。
ルーターキーの適用を許可されたゲートウェイがアグレッシブモードの応答側として動作した場合、ipsec ike remote nameコマンドとipsec ike pre-shared-keyコマンドの設定は無視され、代わりにルーターキーから抽出した固有のパラメータがそれぞれ使用される。従って、当該ゲートウェイとVPN接続できるのは、対応するクライアントキーを持つVPNクライアントソフトのみである。
off
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |
本機能に関連して出力されるSYSLOGメッセージを以下に示します。なお、実際に出力されるメッセージの先頭には"[IKE] "というプレフィックスが付与されます。
レベル | syslog | 説明 |
---|---|---|
[DEBUG] | out of license (IPアドレス user:XAUTHユーザ名) | ルーターキーの最大同時接続数を上回るため鍵交換を中止 |
no gateway to accept licensed exchange (IPアドレス user:XAUTHユーザ名) | ルーターキーの最大同時接続数には達していないが、割り当て可能なゲートウェイ(トンネル)がないため鍵交換を中止 |
[関連ドキュメント]
|
[EOF]