中文 / 日本語
SGX808 IPsec 外部仕様書
$Date: 2015/02/04 09:57:25 $
1. 概要
本ドキュメントは、SGX808のIPsec機能について記述したものです。
本機能の有効無効、およびIPsec機能に必要な情報を設定することができます。
2. 制約条件
本機能において、以下の制約条件を設けています。
IKE(Internet Key Exchange)はVersion 1のみ対応します。
IKEが用いるグループはmodp1024のみ対応します。
フェーズ1とフェーズ2の両方で、modp1024を提案する形式をとります。
initiatorとしてのみ動作します。
トンネルモードのみ対応します。
3. 対応機種とファームウェアリビジョン
SGX808では、以下のファームウェアでIPsec機能を利用できます。
機種
ファームウェア
変更点
SGX808
Rev.1.00.03以降
-
Rev.1.00.08以降
・2つのセッションを張れるようにしました。
・相手先情報としてホストネームも指定できるようにしました。
・デフォルト経路としてIPsecを設定できるようにしました。
4. 詳細
IPsec機能はWeb設定画面のNetworkタブ内の[网络设置]-[IPsec]のページで設定します。
NAT Traversalに対応しており、NATの有無は自動検出して動作します。
NATのkeepaliveの送信間隔は20秒です。この値は変更できません。
4.1. IPsec の有効と無効
编辑IPsec连接设置(Edit IPsec connection settings)
個々の接続情報について"启用"/"停用"を設定することができます。
接続情報が設定されていない場合は選択できません。
(デフォルト:"停用")
"停用"から"启用"を選択して"确定"ボタンを押した場合は、該当情報を反映し動作を開始します。
"启用"から"停用"を選択して"确定"ボタンを押した場合は、該当情報の動作を停止します。
これら2つの動作で、他方が接続状態にあった場合には、他方を切断し再接続することはしませんが、デフォルト経路も変更した場合には切断し再接続します。
既に"启用"状態で動作中に、"确定"ボタンを押した場合は、再接続せず、接続を継続します。
默认网关(Default Gateway)
プルダウンメニューからトンネル名を選択することで、デフォルト経路となるトンネルを設定します。
(デフォルト:"停用")
この設定を変更した場合には、接続状態にあり"启用"となっているトンネルを切断し再接続します。
また、ここで設定したトンネルを"停用"にしたり、情報を削除した場合にも、接続状態にあり"启用"となっている他方のトンネルを切断し再接続します。そして、デフォルト経路は"停用"となります。
注意すべき点として、この設定を"停用"以外にすると、WAN側への送出されるパケットは全て設定されたトンネルへ流れるので、例外とするルーティングは、[网络设置]-[高级路由配置]にて設定しておく必要があります。
また、2つのトンネルを設定し、片方をデフォルト経路に設定した場合には、それぞれにトンネルが確立した後、全てのパケットは
デフォルト経路に設定したトンネルに送信されます。しかし、他方のトンネルへのルーティングは暗黙に設定されているので、
そのトンネルの先のネットワークセグメント宛のパケットは、デフォルト経路には送信されず、他方のトンネルに送信されます。
编辑(Edit)ボタン
個々の接続情報設定画面に遷移します。
删除(Delete)ボタン
個々の接続情報を削除します。
接続情報が設定されていない状態の場合は実行できません。
4.2. 接続情報設定
2箇所の接続先に対して、それぞれ以下の情報を設定することができます。
名称(Name)
IPsecセッションの名称を設定します。省略不可です。
2つのセッションに同じ名称を設定することはできません。
ascii文字32bytes(デフォルト:なし)
以下の文字は使用禁止です。
'"'(ダブルコーテーション)、'='(イコール)、'#'(シャープ)、' '(空白)
';'(セミコロン)、'(',')'(括弧)、'`'(バックコーテーション)、'\'(バックスラッシュ)
'*'(アスタリスク)、'''(シングルコーテーション)、'|'(縦線)、'~'(チルダ)
预共享密钥(Pre-Shared-Key)
IPsecでは、鍵交換プロトコルIKE(Internet Key Exchange)を使用します。省略不可です。
必要な鍵はIKEにより自動生成されますが、その鍵の種となる事前共有鍵(PSK:Pre-Shared-Key)をここで設定します。
ascii文字128bytes(デフォルト:なし)
'"'(ダブルコーテーション)は使用禁止です。
目的地(Destination)
相手先の情報(IPアドレスまたはFQDN)を入力します。省略不可です。
ascii文字256bytes(デフォルト:なし)
以下の文字は使用禁止です。
'"'(ダブルコーテーション)、'='(イコール)、'#'(シャープ)、' '(空白)
目的地ID(Destination ID)
相手先に設定されているIDを設定します。省略可能です。
ascii文字256bytes(デフォルト:なし)
以下の文字は使用禁止です。
'"'(ダブルコーテーション)、'='(イコール)、'#'(シャープ)、' '(空白)
目的地本地地址(Destination Local IP Address)
相手先に設定されているローカル側のIPアドレスを設定します。省略不可です。
(デフォルト:なし)
目的地本地网络(Destination Local Network)
相手先に設定されているローカル側のネットワークアドレスとサブネットマスクアドレスを設定します。省略不可です。
(デフォルト:なし)
来源(Source)
接続モードを選択します。
"Aggressive mode" or "Main mode"(デフォルト:"Main mode")
源IP地址(Source IP Address)
本機のWAN側のIPアドレスを設定します。省略不可です。
"aggressive mode"の場合は入力不可となります。
源ID(Source ID)
IKEのフェーズ2で使用する自分側のIDを設定します。省略不可です。
"aggressive mode"の場合は必須の項目となります。
ascii文字256bytes(デフォルト:なし)
以下の文字は使用禁止です。
'"'(ダブルコーテーション)、'='(イコール)、'#'(シャープ)、' '(空白)
认证算法(Authentication Algorithm)
認証アルゴリズムを以下の3つから選択します。
"HMAC-MD5"
"HMAC-SHA"(デフォルト)
"HMAC-SHA256"
加密算法(Encryption Algorithm)
暗号アルゴリズムを以下の3つから選択します。
"3DES-CBC"
"AES-CBC"(デフォルト)
"AES256-CBC"
"确定"ボタン
設定した情報を記憶し、前の画面に戻ります。
"启用"と設定し、基本設定(4.1. IPsec の有効と無効 )が"启用"であった場合には設定内容に従い動作を開始します。"停用"と設定していた場合には、設定内容を記憶しますが、動作を開始しません。
"删除"ボタン
設定した情報を削除し、前の画面に戻ります。
既に実行(接続)状態にあった場合には終了(切断)します。
"重置"ボタン
入力途中の設定情報を"确定"ボタンを押す前の状態に戻します。
"返回"ボタン
前の画面に戻ります。入力途中の情報は破棄します。
4.3. 状態参照
Web設定画面の[系统管理]-[状态]のページで、接続状態を確認することができます。
5. 設定例
対向先としてRTX1200を使用した場合の設定例を以下の構成例で説明します。
5.1. Main mode
構成例
10.0.0.0/24
---+--------------------------------------+----
|.100 |.200
[SGX808] [RTX1200]
|.1 192.168.100.0/24 |.1 192.168.200.0/24
---+-----+------------- ----+-----+-------------
| |
[PC1] [PC2]
SGX808
LAN側アドレス:192.168.100.1
WAN側アドレス:10.0.0.100
RTX1200
LAN側アドレス:192.168.200.1
WAN側アドレス:10.0.0.200
ルーター側の設定例
-----------
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.200.1/24 ...(*4)
ip lan2 address 10.0.0.200/24 ...(*2)
ip lan2 nat descriptor 1
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac ...(*5)
ipsec ike local address 1 192.168.200.1
ipsec ike local id 1 192.168.200.1 ...(*3)
ipsec ike backward-compatibility 1 2
ipsec ike pre-shared-key 1 text test ...(*1)
ipsec ike remote address 1 10.0.0.100
ipsec ike send info 1 off
tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.200.1 udp 500
nat descriptor masquerade static 1 2 192.168.200.1 esp
-----------
ip route 192.168.100.0/24 gateway tunnel 1
相手側LANとの通信にIPsecを用いるため、その経路をトンネルルートに設定します。
ip lan1 address 192.168.200.1/24
ip lan2 address 10.0.0.200/24
LAN1,LAN2に固定アドレスを設定します。
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.200.1 udp 500
nat descriptor masquerade static 1 2 192.168.200.1 esp
LAN2インタフェースにNATマスカレードを設定します。
ipsec tunnel 1
tunnel enable 1
IPsec定義の適用と自動鍵交換を行うように設定します。
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike pre-shared-key 1 text test
相手側のセキュリティ・ゲートウェイに対するSAのポリシーを設定します。
Pre-Shared-Keyは相手側と同じものを設定します。
ipsec ike local address 1 192.168.200.1
ipsec ike local id 1 192.168.200.1
ipsec ike remote address 1 10.0.0.100
local addressとidにはLAN1側のアドレスを、remote addressには相手側のWAN側のアドレスを設定します。
ipsec ike backward-compatibility 1 2
IKEv1鍵交換タイプを2(新リリース)に設定します。
ipsec ike send info 1 off
IKEの情報ペイロードを送信しないように設定します。
SGX808は、ISAKMP SAのdeleteのinformationalパケットを受信するとIPsecのセッションを切断するように動作してしまうため、この設定をしておく必要があります。
SGX808側の設定例
名称(Name):
適当な名称を設定します。
预共享密钥(Pre-Shared-Key):
対向側の設定と同じPre-Shared-Keyを設定します。(ルーター側の設定例(*1))
本説明例:test
目的地(Destination):
相手先のアドレスを設定します。(ルーター側の設定例(*2))
本説明例:10.0.0.200
目的地ID(Destination ID):
相手先のIDを設定します。(ルーター側の設定例(*3))
本説明例:192.168.200.1
目的地本地地址(Destination Local IP Address):
相手先のローカル側のIPアドレスを設定します。(ルーター側の設定例(*4))
本説明例:192.168.200.1
目的地本地网络(Destination Local Network):
相手先のローカル側のネットワークアドレスとサブネットマスクアドレスを設定します。
本説明例:192.168.200.0 / 255.255.255.0
来源(Source):
"Main mode"を選択します。
源IP地址(Source IP Address):
WAN側のIPアドレスを設定します。
本説明例:10.0.0.100
源ID(Source ID):
設定の必要はありません。
认证算法(Authentication Algorithm):
対向側で設定されたアルゴリズムに従います。(ルーター側の設定例(*5))
本説明例:HMAC-SHA
加密算法(Encryption Algorithm):
対向側で設定されたアルゴリズムに従う。(ルーター側の設定例(*5))
本説明例:AES-CBC
5.2. aggressive mode
構成例
10.0.0.0/24
---+--------------------------------------+----
| |.200
[SGX808] [RTX1200]
|.1 192.168.100.0/24 |.1 192.168.200.0/24
---+-----+------------- ----+-----+-------------
| |
[PC1] [PC2]
SGX808
LAN側アドレス:192.168.100.1
WAN側アドレス:不定
RTX1200
LAN側アドレス:192.168.200.1
WAN側アドレス:10.0.0.200
ルーター側の設定例
-----------
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.200.1/24 ...(*4)
ip lan2 address 10.0.0.200/24 ...(*2)
ip lan2 nat descriptor 1
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac ...(*5)
ipsec ike local address 1 192.168.200.1
ipsec ike local id 1 192.168.200.1 ...(*3)
ipsec ike backward-compatibility 1 2
ipsec ike payload type 1 3
ipsec ike pre-shared-key 1 text test ...(*1)
ipsec ike remote address 1 any
ipsec ike remote name 1 XXXXXX key-id ...(*6)
ipsec ike send info 1 off
tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.200.1 udp 500
nat descriptor masquerade static 1 2 192.168.200.1 esp
-----------
ip route 192.168.100.0/24 gateway tunnel 1
相手側LANとの通信にIPsecを用いるため、その経路をトンネルルートに設定します。
ip lan1 address 192.168.200.1/24
ip lan2 address 10.0.0.200/24
LAN1,LAN2に固定アドレスを設定します。
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.200.1 udp 500
nat descriptor masquerade static 1 2 192.168.200.1 esp
LAN2インタフェースにNATマスカレードを設定します。
ipsec tunnel 1
tunnel enable 1
IPsec定義の適用と自動鍵交換を行うように設定します。
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike pre-shared-key 1 text test
相手側のセキュリティ・ゲートウェイに対するSAのポリシーを設定します。
Pre-Shared-Keyは相手側と同じものを設定します。
ipsec ike backward-compatibility 1 2
IKEv1鍵交換タイプを2(新リリース)に設定します。
ipsec ike payload type 1 3
ipsec ike remote address 1 any
ipsec ike remote name 1 XXXXXX key-id
payloadのタイプを3(初期ベクトル(Ⅳ)の生成方法を一部の実装に合わせる)に設定します。
remote addressには相手側のグローバルアドレスが不定なのでanyを設定します。
相手側のセキュリティ・ゲートウェイの名前(XXXXXX)を設定します。
これらの設定により、aggressive modeのresponderとして動作します。
ipsec ike local address 1 192.168.200.1
ipsec ike local id 1 192.168.200.1
local addressとidにはLAN1側のアドレスを設定します。
ipsec ike send info 1 off
IKEの情報ペイロードを送信しないように設定します。
SGX808は、ISAKMP SAのdeleteのinformationalパケットを受信するとIPsecのセッションを切断するように動作してしまうため、この設定をしておく必要があります。
SGX808側の設定例
名称(Name):
適当な名称を設定します。
预共享密钥(Pre-Shared-Key):
対向側の設定と同じPre-Shared-Seyを設定します。(ルーター側の設定例(*1))
本説明例:test
目的地(Destination):
相手先のアドレスを設定します。(ルーター側の設定例(*2))
本説明例:10.0.0.200
目的地ID(Destination ID):
相手先のIDを設定します。(ルーター側の設定例(*3))
本説明例:192.168.200.1
目的地本地地址(Destination Local IP Address):
相手先のローカル側のIPアドレスを設定します。(ルーター側の設定例(*4))
本説明例:192.168.200.1
目的地本地网络(Destination Local Network):
相手先のローカル側のネットワークアドレスとサブネットマスクアドレスを設定します。
本説明例:192.168.200.0 / 255.255.255.0
来源(Source):
"Aggressive mode"を選択します。
源IP地址(Source IP Address):
"Aggressive mode"なので、設定できません。
源ID(Source ID):
対向側と同じkey-idを設定します。(ルーター側の設定例(*6))
本説明例:XXXXXX
认证算法(Authentication Algorithm):
対向側で設定されたアルゴリズムに従います。(ルーター側の設定例(*5))
本説明例:HMAC-SHA
加密算法(Encryption Algorithm):
対向側で設定されたアルゴリズムに従う。(ルーター側の設定例(*5))
本説明例:AES-CBC
5.3. aggressive mode(on PPPoE)
対向側もPPPoEの設定を必要とした場合の例を示します。
構成例
===+================<Internet>============+===
| |
[SGX808] [RTX1200]
|.1 192.168.100.0/24 |.1 192.168.200.0/24
---+-----+------------- ----+-----+-------------
| |
[PC1] [PC2]
SGX808
LAN側アドレス:192.168.100.1
WAN側アドレス:不定
RTX1200
LAN側アドレス:192.168.200.1
WAN側アドレス:不定
WAN側ホストネーム:xxx.yyy.netvolante.jp
予めネットボランチDNSサービスなどで割り当てられた名称
ルーター側の設定例
IPsecの設定にPPPoEの設定を追加します。
-----------
ip route default gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.200.1/24 ...(*4)
pp select 1
pppoe use lan2
pp auth accept pap chap
pp auth myname [userID] [PASS]
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp nat descriptor 1
netvolante-dns hostname host pp 1 xxx.yyy.netvolante.jp ...(*2)
pp enable 1
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac ...(*5)
ipsec ike local address 1 192.168.200.1
ipsec ike local id 1 192.168.200.1 ...(*3)
ipsec ike backward-compatibility 1 2
ipsec ike payload type 1 3
ipsec ike pre-shared-key 1 text test ...(*1)
ipsec ike remote address 1 any
ipsec ike remote name 1 XXXXXX key-id ...(*6)
ipsec ike send info 1 off
tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.200.1 udp 500
nat descriptor masquerade static 1 2 192.168.200.1 esp
-----------
ip route default gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
デフォルト経路と、相手側LANとの通信にIPsecを用いるためのトンネルルートを設定します。
ip lan1 address 192.168.200.1/24
LAN1に固定アドレスを設定します。
pp select 1
pppoe use lan2
pp auth accept pap chap
pp auth myname [userID] [PASS]
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
netvolante-dns hostname host pp 1 xxx.yyy.netvolante.jp
pp enable 1
PPPoEを設定します。ホストネームも登録します。
ip pp nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.200.1 udp 500
nat descriptor masquerade static 1 2 192.168.200.1 esp
ppインタフェースにNATマスカレードを設定します。
外側のIPアドレスとして、PPPの接続先から通知されるIPアドレスを起用するようにします。
ipsec tunnel 1
tunnel enable 1
IPsec定義の適用と自動鍵交換を行うように設定します。
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike pre-shared-key 1 text test
相手側のセキュリティ・ゲートウェイに対するSAのポリシーを設定します。
Pre-Shared-Keyは相手側と同じものを設定します。
ipsec ike backward-compatibility 1 2
IKEv1鍵交換タイプを2(新リリース)に設定します。
ipsec ike payload type 1 3
ipsec ike remote address 1 any
ipsec ike remote name 1 XXXXXX key-id
payloadのタイプを3(初期ベクトル(Ⅳ)の生成方法を一部の実装に合わせる)に設定します。
remote addressには相手側のグローバルアドレスが不定なのでanyを設定します。
相手側のセキュリティ・ゲートウェイの名前(XXXXXX)を設定します。
これらの設定により、aggressive modeのresponderとして動作します。
ipsec ike local address 1 192.168.200.1
ipsec ike local id 1 192.168.200.1
local addressとidにはLAN1側のアドレスを設定します。
ipsec ike send info 1 off
IKEの情報ペイロードを送信しないように設定します。
SGX808は、ISAKMP SAのdeleteのinformationalパケットを受信するとIPsecのセッションを切断するように動作してしまうため、この設定をしておく必要があります。
SGX808側の設定例
PPPoEの設定は省略します。IPsecの設定はaggressive modeの場合の設定とほぼ同じです。
相手先として、相手先に割り当てられているホストネームを指定します。
名称(Name):
適当な名称を設定します。
预共享密钥(Pre-Shared-Key):
対向側の設定と同じPre-Shared-Keyを設定します。(ルーター側の設定例(*1))
本説明例:test
目的地(Destination):
相手先のホストネームを設定します。(ルーター側の設定例(*2))
本説明例:xxx.yyy.netvolante.jp
目的地ID(Destination ID):
相手先のIDを設定します。(ルーター側の設定例(*3))
本説明例:192.168.200.1
目的地本地地址(Destination Local IP Address):
相手先のローカル側のIPアドレスを設定します。(ルーター側の設定例(*4))
本説明例:192.168.200.1
目的地本地网络(Destination Local Network):
相手先のローカル側のネットワークアドレスとサブネットマスクアドレスを設定します。
本説明例:192.168.200.0 / 255.255.255.0
来源(Source):
"Aggressive mode"を選択します。
源IP地址(Source IP Address):
"Aggressive mode"なので、設定できません。
源ID(Source ID):
対向側と同じkey-idを設定します。(ルーター側の設定例(*6))
本説明例:XXXXXX
认证算法(Authentication Algorithm):
対向側で設定されたアルゴリズムに従います。(ルーター側の設定例(*5))
本説明例:HMAC-SHA
加密算法(Encryption Algorithm):
対向側で設定されたアルゴリズムに従う。(ルーター側の設定例(*5))
本説明例:AES-CBC
5.4. NAT Traversal
NAT Traversalによる2台のSGX808とのIPsec接続例を示します。
対向側にはPPPoEサーバーから任意のIPアドレスがWAN側に付与される場合を想定します。
構成例
=====+=============<Internet>===========+===
| |
[RTX1200_1] [RTX1200_2]
|.1 192.168.10.0/24 |.1 192.168.200.0/24
----+-----+--------------- ----+-----+---------------
| | |
| [SGX808_2] [PC3]
| |.1 192.168.101.0/24
| ---+----+----------------
| |
| [PC2]
|
[SGX808_1]
|.1 192.168.100.0/24
---+----+----------------
|
[PC1]
SGX808_1
LAN側アドレス:192.168.100.1
WAN側アドレス:不定(DHCPにてRTX1200_1から付与)
SGX808_2
LAN側アドレス:192.168.101.1
WAN側アドレス:不定(DHCPにてRTX1200_1から付与)
RTX1200_1
LAN側アドレス:192.168.10.1
WAN側アドレス:不定(PPPoEサーバーから付与)
RTX1200_2
LAN側アドレス:192.168.200.1
WAN側アドレス:不定
WAN側ホストネーム:xxx.yyy.netvolante.jp
予めネットボランチDNSサービスなどで割り当てられた名称
ルーター側の設定例
5.3の例に対し、NAT Traversalの設定を追加します。
-----------
ip route default gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 2
ip lan1 address 192.168.1.1/24
pp select 1
pppoe use lan2
pp auth accept pap chap
pp auth myname [userID] [PASS]
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp nat descriptor 1
netvolante-dns hostname host pp 1 xxx.yyy.netvolante.jp
pp enable 1
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike local address 1 192.168.200.1
ipsec ike local id 1 192.168.200.1
ipsec ike backward-compatibility 1 2
ipsec ike nat-traversal 1 on
ipsec ike payload type 1 3
ipsec ike pre-shared-key 1 text test
ipsec ike remote address 1 any
ipsec ike remote name 1 XXXXXX1 key-id
ipsec ike send info 1 off
tunnel enable 1
tunnel select 2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac
ipsec ike local address 2 192.168.200.1
ipsec ike local id 2 192.168.200.1
ipsec ike backward-compatibility 2 2
ipsec ike nat-traversal 2 on
ipsec ike payload type 2 3
ipsec ike pre-shared-key 2 text test2
ipsec ike remote address 2 any
ipsec ike remote name 2 XXXXXX2 key-id
ipsec ike send info 2 off
tunnel enable 2
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.200.1 udp 500
nat descriptor masquerade static 1 2 192.168.200.1 esp
nat descriptor masquerade static 1 3 192.168.200.1 udp 4500
-----------
ip route default gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip route 192.168.101.0/24 gateway tunnel 2
デフォルト経路と、相手側LANとの通信にIPsecを用いるためのトンネルルートを設定します。
ip lan1 address 192.168.200.1/24
LAN1に固定アドレスを設定します。
pp select 1
pppoe use lan2
pp auth accept pap chap
pp auth myname [userID] [PASS]
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
netvolante-dns hostname host pp 1 xxx.yyy.netvolante.jp
pp enable 1
PPPoEを設定します。ホストネームも登録します。
ip pp nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.200.1 udp 500
nat descriptor masquerade static 1 2 192.168.200.1 esp
nat descriptor masquerade static 1 3 192.168.200.1 udp 4500
ppインタフェースにNATマスカレードを設定します。
外側のIPアドレスとして、PPPの接続先から通知されるIPアドレスを起用するようにします。
IPsecのNAT Traversalを有効にするため、UDPの4500ポートを変換しないようにします。
ipsec tunnel 1
tunnel enable 1
ipsec tunnel 2
tunnel enable 2
2箇所に対するIPsec定義の適用と自動鍵交換を行うように設定します。
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike pre-shared-key 1 text test
ipsec sa policy 2 2 esp aes-cbc sha-hmac
ipsec ike pre-shared-key 2 text test
相手側のセキュリティ・ゲートウェイに対するSAのポリシーを設定します。
Pre-Shared-Keyは相手側と同じものを設定します。
ipsec ike backward-compatibility 1 2
ipsec ike backward-compatibility 2 2
IKEv1鍵交換タイプを2(新リリース)に設定します。
ipsec ike nat-traversal 1 on
ipsec ike nat-traversal 2 on
IPsec NAT Traversalを利用するために設定します。
ipsec ike payload type 1 3
ipsec ike remote address 1 any
ipsec ike remote name 1 XXXXXX1 key-id
ipsec ike payload type 2 3
ipsec ike remote address 2 any
ipsec ike remote name 2 XXXXXX2 key-id
payloadのタイプを3(初期ベクトル(Ⅳ)の生成方法を一部の実装に合わせる)に設定します。
remote addressには相手側のグローバルアドレスが不定なのでanyを設定します。
相手側のセキュリティ・ゲートウェイの名前(XXXXXX1,XXXXXX2)を設定します。
これらの設定により、aggressive modeのresponderとして動作します。
ipsec ike local address 1 192.168.200.1
ipsec ike local id 1 192.168.200.1
ipsec ike local address 2 192.168.200.1
ipsec ike local id 2 192.168.200.1
local addressとidにはLAN1側のアドレスを設定します。
ipsec ike send info 1 off
ipsec ike send info 2 off
IKEの情報ペイロードを送信しないように設定します。
SGX808は、ISAKMP SAのdeleteのinformationalパケットを受信するとIPsecのセッションを切断するように動作してしまうため、この設定をしておく必要があります。
RTX1200_1の設定
特別な設定をする必要はありません。
インターネットに接続するためのPPPoE設定とNATの設定、LAN側に対するネットワーク設定などをすればよいです。
SGX808の設定
NAT Traversalに対して特別な設定は必要ありません。
aggressive modeの接続例と同様に2台とも対向側となるRTX1200_2との接続設定をすればよいです。
6. 補足
6.1. Rekey
rekeyのインターバルは以下のような計算式となっています。
rekeytime = lifetime - (margintime + random(0, margintime * rekeyfuzz))
rekeytime : rekeyインターバル
lifetime : IPsec SAの寿命(20分)
margintime : マージン(3分)
rekeyfuzz : 100%
計算に要する各値は変更不可です。つまりrekeyインターバルは14~17分となります。
6.2. keepalive
対向側としてヤマハ製のルーターを使用する場合で、keepalive機能を設定する場合に使用できるkeepalive方式はICMP Echoのみです。
他の方式を設定した場合には、途中で切断する可能性があるので使用できません。
Yamaha Corporation. All right resereved.
[EOF]