Microsoft AzureとのIPsec接続(IKEv2) 設定例

1. 概要

IKEv2を使用してヤマハルーターをMicrosoft Azureの仮想ネットワークに接続するための設定例です。

検証の環境は次の通りです。

※本ページに記載する内容は弊社での接続検証結果であり、Microsoft Azureの仮想ネットワークとの接続を保証するものではありません。
※Microsoft Azureに関する情報および設定方法については、Microsoft社にご確認ください。

2. 想定環境

RTX1210とMicrosoft Azureの間でIKEv2を使用したIPsec VPNを構築し、RTX1210側のローカルネットワークからMicrosoft Azure上の仮想マシンにアクセスします。

3. IPsec VPNのパラメータ

IKEv2を使用したIPsec VPNでは、下記パラメータを使用します。

【IKEフェーズ1 (IKE SAのネゴシエーション)】

認証方式 事前共有鍵(pre-shared-key)
事前共有鍵(pre-shared-key) (Microsoft Azureで作成された共有キー)
DHグループ 1024-bit MODP Group
暗号化アルゴリズム AES256-CBC
認証アルゴリズム SHA256-HMAC
IKE SAの有効期限 28800秒 (8時間)
NATトラバーサル 有効
IKEキープアライブ RFC4306

【IKEフェーズ2 (CHILD SAのネゴシエーション)】

SAモード トンネルモード
セキュリティプロトコル ESP (暗号化+認証)
暗号化アルゴリズム AES256-CBC
認証アルゴリズム SHA256-HMAC
CHILD SAの有効期限 27000秒

4. ヤマハルーターの設定例

【経路設定】
ip route default gateway pp 1
ip route 172.16.0.0/16 gateway tunnel 1

【LAN設定】
ip lan1 address 192.168.100.1/24

【プロバイダとの接続設定】
pp select 1
 pp always-on on
 pppoe use lan2
 pp auth accept (認証方式)
 pp auth myname (ユーザ名) (パスワード)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ip pp mtu 1454
 ip pp secure filter in 1020 1030 1040 1041 1042 2000
 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107
 ip pp nat descriptor 1
 pp enable 1

【IPsec VPN設定】
tunnel select 1
 ipsec tunnel 1
  ipsec sa policy 1 1 esp aes256-cbc sha256-hmac anti-replay-check=off
  ipsec ike version 1 2
  ipsec ike duration child-sa 1 27000
  ipsec ike duration ike-sa 1 28800
  ipsec ike group 1 modp1024
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on rfc4306
  ipsec ike local address 1 192.168.100.1
  ipsec ike local name 1 (PPPoEのWAN側アドレス) ipv4-addr
  ipsec ike nat-traversal 1 on
  ipsec ike message-id-control 1 on
  ipsec ike child-exchange type 1 2
  ipsec ike pre-shared-key 1 text (Microsoft Azureで作成された共有キー)
  ipsec ike remote address 1 (Microsoft AzureのゲートウェイIPアドレス)
  ipsec ike remote name 1 (Microsoft AzureのゲートウェイIPアドレス) ipv4-addr
  ipsec ike negotiation receive 1 off  (*1)
 ip tunnel tcp mss limit auto
 tunnel enable 1
ipsec auto refresh on

【フィルタ設定】
ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.100.0/24 *
ip filter 1030 pass * 192.168.100.0/24 icmp
ip filter 1040 pass (Microsoft AzureのゲートウェイIPアドレス) * udp * 500
ip filter 1041 pass (Microsoft AzureのゲートウェイIPアドレス) * esp
ip filter 1042 pass (Microsoft AzureのゲートウェイIPアドレス) * udp * 4500
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp

【NAT設定】
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.100.1 udp 500
nat descriptor masquerade static 1 2 192.168.100.1 esp
nat descriptor masquerade static 1 3 192.168.100.1 udp 4500

【DHCP設定】
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24

【DNS設定】
dns server pp 1
dns private address spoof on

(*1)
このコマンドは、以下の機種・リビジョンでのみ実行可能です。

RTX830Rev.15.02.03 以降
NVR700WRev.15.00.14 以降
RTX1210Rev.14.01.26 以降
RTX5000Rev.14.00.26 以降
RTX3500Rev.14.00.26 以降
RTX810Rev.11.01.31 以降
RTX1200Rev.10.01.75 以降

5. IPsec VPNの確立確認

IPsec VPNが確立しているかどうかを確認します。
"show ipsec sa", "show status tunnel" コマンドの出力が以下のようであれば、Microsoft AzureとのIPsec VPNは確立しています。

【show ipsec saコマンドの実行例】

# show ipsec sa
Total: isakmp:1 send:1 recv:1

sa   sgw isakmp connection   dir  life[s] remote-id
-----------------------------------------------------------------------------
1     1    -     ike           -    28643 (Microsoft AzureのゲートウェイIPアドレス)
2     1    1     tun[0001]esp  send 28643 (Microsoft AzureのゲートウェイIPアドレス)
3     1    1     tun[0001]esp  recv 28643 (Microsoft AzureのゲートウェイIPアドレス)

【show status tunnelコマンドの実行例】

# show status tunnel 1
TUNNEL[1]
説明:
  インタフェースの種類: IPsec
  トンネルインタフェースは接続されています
  開始: 2018/07/20 13:31:01
  通信時間: 2分10秒
  受信: (IPv4) 7861077 パケット [723000204 オクテット]
        (IPv6) 0 パケット [0 オクテット]
  送信: (IPv4) 8149817 パケット [749783164 オクテット]
        (IPv6) 0 パケット [0 オクテット]
  IKEキープアライブ:
           [タイプ]: rfc4306
             [状態]: OK
         [次の送信]: 3 秒後