RTシリーズのIPsec&IKE&VPN&...に関するFAQ

利用するうえでの注意事項は？

1. RT80i/RTA50iではIPsecをサポートしていませんので、利用できません。

2. セキュリティ・ゲートウェイ(SGW)のIPアドレス

   SGWのIPアドレスを正しく認識しておく必要があります。 以下の3つのコマンドで設定するIPアドレスは、SGWのアドレス と一致していなければなりません。

   • ipsec ike host
   • ipsec pre-shared-key
   • ipsec sa policy

3. VPN開通の確認作業手順
   1. 設定直後は、VPNは開通していない。
   2. 設定直後は、「show ipsec sa」を実行しても、鍵情報は表示されない。
   3. 両方のRTで「ipsec refresh sa」 を実行する。
   4. 「show ipsec sa」 を実行する。...と鍵情報が表示される。
   5. 鍵情報が表示されなければ、設定を見直す。
   6. pingやtelnetなどの通信ソフトウェアを使って、VPNの開通を確認する。
   7. 問題なければ、両方のRTで「ipsec auto refresh on」を設定して保存する。
   8. ちなみに設定例では、予め「ipsec auto refresh on」も記述している。

4. VPNの通信状態の確認方法
   • pingやtelnetなどの通信ソフトウェアを使って、 通信できているか確認する。
   • 各インタフェースのIPパケットフィルタを通過したパケットのログを残す ようにして、観測する。

     準備の設定
     すべてのIPパケットのpassしログを残すフィルタの定義	ip filter 1 pass-log * * * * *
     syslogにIPフィルタ関連のログを残す設定	syslog notice on
     LAN1インタフェースの入力と出力を観測する。
     入力で1番のフィルタを適用する	ip lan1 secure filter in 1
     出力で1番のフィルタを適用する	ip lan1 secure filter out 1
     TUNNEL[01]インタフェースの入力と出力を観測する。
     TUNNELインタフェースを選択する	tunnel select 1
     入力で1番のフィルタを適用する	ip tunnel secure filter in 1
     出力で1番のフィルタを適用する	ip tunnel secure filter out 1
     PP[01]インタフェースの入力と出力を観測する。
     PPインタフェースを選択する	pp select 1
     入力で1番のフィルタを適用する	ip pp secure filter in 1
     出力で1番のフィルタを適用する	ip pp secure filter out 1
     ログの操作
     ログをクリアする	clear log
     ログを見る	show log

   • LANアナライザ、WANアナライザ、などの外部装置、外部ソフトウェアを 利用してルータの外部のパケットの流れる様子を観測する。

5. どのインターフェスのIPアドレスをSGWのIPアドレスにすべきか？

   複数のインタフェースにIPアドレスが付加される場合、 SGWのアドレスは、互いに最も近いインタフェースのアドレス となります。例えば、numberedのWANを挟んでSGWを配置する場合、 PPインタフェースに付与されたIPアドレスが SGWのアドレスになります。

6. SGW間の経路には、AHやESPのプロトコルを通しておいて下さい。

   AHやESPはTCP/UDPと同じレベルです。 つまり、RTのフィルタでいえば「プロトコル」に指定します。

   ip filter 10 pass * * ah,esp
   

   てな感じ。ポート番号の概念は、ICMPと同様にありません。

7. IKEは、UDPの500番ポート

   鍵交換プロトコルIKEは、鍵交換のためにUDPの500番のポートを 利用します。IPマスカレードやフィルタを利用する際には、 UDPの500番を対象外とするように注意してください。

   RTのフィルタは、以下のようになります。

   ip filter 11 pass * * udp 500 *
   ip filter 12 pass * * udp * 500
   

   更に、IPアドレスを特定すれば、セキュリティは高まります。

8. SGWのアドレスとトンネルでルーティングされるネットワークの包含関係

   SGWのIPアドレスがトンネルの先ネットワークに包含されている場合は、 鍵交換を正しく行なう為にトンネルを通らない正しい経路をホストルートで 設定して下さい。

   このような状況の場合、相互のSGW間のtelnet等の通信は、トンネルを通りませんので、 別途トランスポートモードを設定したりする必要があります。

9. 使うトンネルと使わないトンネルは.....？

   使わないトンネルは、disableしておいて下さい。
   使わないトンネルがenableされていると、使えるトンネルも使用できなくなり ます。

10. セカンダリアドレスをSGWアドレスに使用....？

    「セカンダリ・アドレスをSGWアドレスに設 定できないのですか？」を参照してください。

11. ログに....[IPSEC] no SA for transport mode[1]

    文字どおり、SAがないということです。

    双方で、ipsec auto refresh onを実行したあと、show ipsec sa コマンドで、SAが生成されたことを確認してください。

    establishedという状態を持つSAが表示されなければ、鍵交換の 失敗が原因です。

12. 一度通信できたのですが、いつの間にか不通になってしまいました。

    双方で、ipsec auto refresh onの設定を追加してください。

13. NATやIPマスカレード越しのSGWは、可能ですか？

    SGWのIPアドレスが変更されますと、鍵交換や認証に失敗してしまいます。

    SGWのIPアドレスが変更されてしまう状況では、VPNを張ることはできません。

14. DFビットに注意

    IPsecの処理で暗号化されたパケットは、元のパケットに比べて若干長くなる ため、元のパケットがMTUに近い長さを持つ場合には、パケットのフラグメン トが必要になります。通常は、ルータが暗号化されたパケットをフラグメント して、相手のセキュリティ・ゲートウェイに送信します。

    ところが、元のパケットにDFビットが立っている場合には注意が必要です。 DFビットが付いているパケットはフラグメントができないので、送信元に対 して、ICMPメッセージを返します。しかし、ファイアウォールなどの設定に より、このICMPメッセージが何処かで破棄されてしまうと、送信側がこのICMP メッセージを受け取れないために、通信ができなくなってしまいます。

    RTがICMPを出しているかどうか確認する方法

    [設定例] 「icmpのパスログを取ろう！」
    ip filter 1 pass-log * * icmp * *
    ip filter 100 pass * * * * *
    ip lan secure filter out 1 100
    syslog notice on
    
    [ログの出力例…show logなど]
    ... LAN1 Passed at OUT(1) filter: ICMP 発IP > 着IP : unreachable fragment
    

[ FAQ for RT-Series ]
[ FAQ for IPsec / files / IPsec&IKE / Internet+VPN / TCP/IP ]