RTシリーズのIPsec&IKE&VPN&...に関するFAQ
利用するうえでの注意事項は?
最終変更日 | 2018/Nov/06 |
文書サイズ | 8.3KB |
利用するうえでの注意事項は?
RT80i/RTA50iではIPsecをサポートしていませんので、利用できません。
SGWのIPアドレスを正しく認識しておく必要があります。 以下の3つのコマンドで設定するIPアドレスは、SGWのアドレス と一致していなければなりません。
準備の設定 | |
---|---|
すべてのIPパケットのpassしログを残すフィルタの定義 | ip filter 1 pass-log * * * * * |
syslogにIPフィルタ関連のログを残す設定 | syslog notice on |
LAN1インタフェースの入力と出力を観測する。 | |
入力で1番のフィルタを適用する | ip lan1 secure filter in 1 |
出力で1番のフィルタを適用する | ip lan1 secure filter out 1 |
TUNNEL[01]インタフェースの入力と出力を観測する。 | |
TUNNELインタフェースを選択する | tunnel select 1 |
入力で1番のフィルタを適用する | ip tunnel secure filter in 1 |
出力で1番のフィルタを適用する | ip tunnel secure filter out 1 |
PP[01]インタフェースの入力と出力を観測する。 | |
PPインタフェースを選択する | pp select 1 |
入力で1番のフィルタを適用する | ip pp secure filter in 1 |
出力で1番のフィルタを適用する | ip pp secure filter out 1 |
ログの操作 | |
ログをクリアする | clear log |
ログを見る | show log |
複数のインタフェースにIPアドレスが付加される場合、 SGWのアドレスは、互いに最も近いインタフェースのアドレス となります。例えば、numberedのWANを挟んでSGWを配置する場合、 PPインタフェースに付与されたIPアドレスが SGWのアドレスになります。
AHやESPはTCP/UDPと同じレベルです。 つまり、RTのフィルタでいえば「プロトコル」に指定します。
ip filter 10 pass * * ah,espてな感じ。ポート番号の概念は、ICMPと同様にありません。
鍵交換プロトコルIKEは、鍵交換のためにUDPの500番のポートを 利用します。IPマスカレードやフィルタを利用する際には、 UDPの500番を対象外とするように注意してください。
RTのフィルタは、以下のようになります。
ip filter 11 pass * * udp 500 * ip filter 12 pass * * udp * 500更に、IPアドレスを特定すれば、セキュリティは高まります。
SGWのIPアドレスがトンネルの先ネットワークに包含されている場合は、 鍵交換を正しく行なう為にトンネルを通らない正しい経路をホストルートで 設定して下さい。
このような状況の場合、相互のSGW間のtelnet等の通信は、トンネルを通りませんので、 別途トランスポートモードを設定したりする必要があります。
使わないトンネルは、disableしておいて下さい。
使わないトンネルがenableされていると、使えるトンネルも使用できなくなり
ます。
「セカンダリ・アドレスをSGWアドレスに設 定できないのですか?」を参照してください。
文字どおり、SAがないということです。
双方で、ipsec auto refresh onを実行したあと、show ipsec sa コマンドで、SAが生成されたことを確認してください。
establishedという状態を持つSAが表示されなければ、鍵交換の 失敗が原因です。
双方で、ipsec auto refresh onの設定を追加してください。
SGWのIPアドレスが変更されますと、鍵交換や認証に失敗してしまいます。
SGWのIPアドレスが変更されてしまう状況では、VPNを張ることはできません。
IPsecの処理で暗号化されたパケットは、元のパケットに比べて若干長くなる ため、元のパケットがMTUに近い長さを持つ場合には、パケットのフラグメン トが必要になります。通常は、ルータが暗号化されたパケットをフラグメント して、相手のセキュリティ・ゲートウェイに送信します。
ところが、元のパケットにDFビットが立っている場合には注意が必要です。 DFビットが付いているパケットはフラグメントができないので、送信元に対 して、ICMPメッセージを返します。しかし、ファイアウォールなどの設定に より、このICMPメッセージが何処かで破棄されてしまうと、送信側がこのICMP メッセージを受け取れないために、通信ができなくなってしまいます。
RTがICMPを出しているかどうか確認する方法
[設定例] 「icmpのパスログを取ろう!」 ip filter 1 pass-log * * icmp * * ip filter 100 pass * * * * * ip lan secure filter out 1 100 syslog notice on [ログの出力例…show logなど] ... LAN1 Passed at OUT(1) filter: ICMP 発IP > 着IP : unreachable fragment
[ FAQ for RT-Series ]
[ FAQ for IPsec / files / IPsec&IKE / Internet+VPN / TCP/IP ]