(8) example of NAT Descriptor

(8) NATディスクリプタの設定例

RT140eでLAN側IPマスカレードとVPN(IPsec)
2個の外側アドレス

最終変更日	2018/Nov/06
文書サイズ	21KB

[ 環境 ]

項目内容

接続形態 LAN側IPマスカレードで使用中の2つRT140e間でVPNを張る

ルータローカルルータ(RT140e)を2台

ルーティング情報使わない/static

NAT変換タイプ IPマスカレード

外側アドレス各2個(SGW用とIPマスカレード用)

内側アドレスプライベートアドレス

DHCP LAN1側で使用する

項目	内容
接続形態	LAN側IPマスカレードで使用中の2つRT140e間でVPNを張る
ルータ	ローカルルータ(RT140e)を2台
ルーティング情報	使わない/static
NAT変換タイプ	IPマスカレード
外側アドレス	各2個(SGW用とIPマスカレード用)
内側アドレス	プライベートアドレス
DHCP	LAN1側で使用する

[ ネットワーク図 ]

                                                    133.176.200.0/24
----------+-------------------------------------------+--------------
          |                                           |
          |133.176.200.46                             |133.176.200.68
          |                   VPN                     |
          |         ?????????????????????????         |
RT140e(A) |         ?                       ?         | RT140e(B)
 +--------+---------+------+         +------+---------+-------+ 
 |    [ LAN2 ]   [tunnel]  |         |  [tunnel]   [ LAN2 ]   |
 |        |         |      |         |      |         |       |
 |      [NAT]       |      |         |      |       [NAT]     |
 |        |         |      |         |      |         |       |
 |      IPルーティング     |         |     IPルーティング     |
 |        |                |         |                |       |
 |    [ LAN1 ]             |         |            [ LAN1 ]    |
 +--------+----------------+         +----------------+-------+
          |192.168.0.1                                |192.168.1.1
          |                                           |
          |    192.168.0.0/24       192.168.1.0/24    |    
----------+------------------       ------------------+---------
          |                                           |
          |192.168.0.2                                |192.168.1.2
       [ PC ]                                      [ PC ]

[ 設定例 ]

[ 2のプライベートネットワークをstaticルーティング ]

RT140e(A)のstaticルーティング設計

宛先/ネットマスク次のホップ生成コマンド

default 今回省略 ip { pp | lan } route add net

192.168.0.0/24 LAN1(192.168.0.1) ip lan1 address

133.176.200.0/24 LAN2(133.176.200.46) ip lan2 address

192.168.1.0/24 LAN2(133.176.200.68) ip lan2 route add net

宛先/ネットマスク	次のホップ	生成コマンド
default	今回省略	ip { pp \| lan } route add net
192.168.0.0/24	LAN1(192.168.0.1)	ip lan1 address
133.176.200.0/24	LAN2(133.176.200.46)	ip lan2 address
192.168.1.0/24	LAN2(133.176.200.68)	ip lan2 route add net

RT140e(A)のconfig例

ip lan1 address 192.168.0.1/24
ip lan1 routing protocol none
ip lan2 address 133.176.200.46/24
ip lan2 routing protocol none
ip lan2 route add net 192.168.1.0/24 133.176.200.68 1
dhcp service server
dhcp scope 1 192.168.0.2-192.168.0.254/24

RT140e(B)のstaticルーティング設計

宛先/ネットマスク次のホップ生成コマンド

default 今回省略 ip { pp | lan } route add net

192.168.1.0/24 LAN1(192.168.1.1) ip lan1 address

133.176.200.0/24 LAN2(133.176.200.68) ip lan2 address

192.168.0.0/24 LAN2(133.176.200.46) ip lan2 route add net

宛先/ネットマスク	次のホップ	生成コマンド
default	今回省略	ip { pp \| lan } route add net
192.168.1.0/24	LAN1(192.168.1.1)	ip lan1 address
133.176.200.0/24	LAN2(133.176.200.68)	ip lan2 address
192.168.0.0/24	LAN2(133.176.200.46)	ip lan2 route add net

RT140e(B)のconfig例

ip lan1 address 192.168.1.1/24
ip lan1 routing protocol none
ip lan2 address 133.176.200.68/24
ip lan2 routing protocol none
ip lan2 route add net 192.168.0.0/24 133.176.200.46 1
dhcp scope 1 192.168.1.2-192.168.1.254/24

[ NATディスクリプタによるLAN側IPマスカレードの導入 ]

RT140e(A)のNATディスクリプタ設計

NATディスクリプタ番号 1

タイプ masquerade

外側アドレス 133.176.200.47

内側アドレス 192.168.0.1～192.168.0.254

静的なNAT設定なし

適用インタフェース LAN2

RT140e(A)のconfig例

ip lan1 address 192.168.0.1/24
ip lan1 routing protocol none
ip lan2 address 133.176.200.46/24
ip lan2 routing protocol none
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 133.176.200.47
nat descriptor address inner 1 192.168.0.1-192.168.0.254
dhcp service server
dhcp scope 1 192.168.0.2-192.168.0.254/24

RT140e(B)のNATディスクリプタ設計

NATディスクリプタ番号 2

タイプ masquerade

外側アドレス 133.176.200.69

内側アドレス 192.168.1.1～192.168.1.254

静的なNAT設定なし

適用インタフェース LAN2

RT140e(B)のconfig例

ip lan1 address 192.168.1.1/24
ip lan1 routing protocol none
ip lan2 address 133.176.200.68/24
ip lan2 routing protocol none
ip lan2 nat descriptor 2
nat descriptor type 2 masquerade
nat descriptor address outer 2 133.176.200.69
nat descriptor address inner 2 192.168.1.1-192.168.1.254
dhcp service server
dhcp scope 1 192.168.1.2-192.168.1.254/24

[ IPsecによるVPNの導入 (プライベート空間の暗号トンネル) ]

RT140e(A)-RT140e(B)間のVPN(IPsec)設計

SGWアドレス1 133.176.200.46

SGWアドレス2 133.176.200.68

事前共有鍵 kagi

トンネルモード ESP, 暗号(des-cbc), 認証(md5-hmac)

RT140e(A)のIPsec設計

SGW定義

SGWアドレス 133.176.200.68

RT140e(A)-RT140e(B)事前共有鍵 kagi

IPsecポリシーの定義

ポリシー識別番号 101

形式 ESP

暗号 des-cbc

認証 md5-hmac

トンネルの定義

トンネルIF番号 1

ボリシー番号 101

SGW定義
SGWアドレス	133.176.200.68
RT140e(A)-RT140e(B)事前共有鍵	kagi
IPsecポリシーの定義
ポリシー識別番号	101
形式	ESP
暗号	des-cbc
認証	md5-hmac
トンネルの定義
トンネルIF番号	1
ボリシー番号	101

RT140e(A)のstaticルーティング設計

宛先/ネットマスク	次のホップ	生成コマンド
default	今回省略	ip { pp \| lan } route add net
192.168.0.0/24	LAN1(192.168.0.1)	ip lan1 address
133.176.200.0/24	LAN2(133.176.200.46)	ip lan2 address
192.168.1.0/24	TUNNEL[01]	ip tunnel route add net

RT140e(A)のconfig例

ip lan1 address 192.168.0.1/24
ip lan1 routing protocol none
ip lan2 address 133.176.200.46/24
ip lan2 routing protocol none
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 133.176.200.47
nat descriptor address inner 1 192.168.0.1-192.168.0.254
# 鍵交換に関する設定 (IPsecリリース3)
ipsec auto refresh on
ipsec ike remote address 1 133.176.200.68
！# 鍵交換に関する設定 (IPsecリリース1,2)
！ipsec auto refresh on
！ipsec ike host 133.176.200.68
ipsec pre-shared-key 133.176.200.68 text kagi
ipsec sa policy 101 133.176.200.68 esp des-cbc md5-hmac
tunnel select 1
ip tunnel route add net 192.168.1.0/24 1
ipsec tunnel 101
tunnel enable 1
dhcp service server
dhcp scope 1 192.168.0.2-192.168.0.254/24

RT140e(B)のIPsec設計

SGW定義

SGWアドレス 133.176.200.46

RT140e(A)-RT140e(B)事前共有鍵 kagi

IPsecポリシーの定義

ポリシー識別番号 101

形式 ESP

暗号 des-cbc

認証 md5-hmac

トンネルの定義

トンネルIF番号 2

ボリシー番号 101

SGW定義
SGWアドレス	133.176.200.46
RT140e(A)-RT140e(B)事前共有鍵	kagi
IPsecポリシーの定義
ポリシー識別番号	101
形式	ESP
暗号	des-cbc
認証	md5-hmac
トンネルの定義
トンネルIF番号	2
ボリシー番号	101

RT140e(B)のstaticルーティング設計

宛先/ネットマスク	次のホップ	生成コマンド
default	今回省略	ip { pp \| lan } route add net
192.168.1.0/24	LAN1(192.168.1.1)	ip lan1 address
133.176.200.0/24	LAN2(133.176.200.68)	ip lan2 address
192.168.0.0/24	TUNNEL[02]	ip tunnel route add net

RT140e(B)のconfig例

ip lan1 address 192.168.1.1/24
ip lan1 routing protocol none
ip lan2 address 133.176.200.68/24
ip lan2 routing protocol none
ip lan2 nat descriptor 2
nat descriptor type 2 masquerade
nat descriptor address outer 2 133.176.200.69
nat descriptor address inner 2 192.168.1.1-192.168.1.254
# 鍵交換に関する設定 (IPsecリリース3)
ipsec auto refresh on
ipsec ike remote address 1 133.176.200.46
！# 鍵交換に関する設定 (IPsecリリース1,2)
！ipsec auto refresh on
！ipsec ike host 133.176.200.46
ipsec pre-shared-key 133.176.200.46 text kagi
ipsec sa policy 101 133.176.200.46 esp des-cbc md5-hmac
tunnel select 2
ip tunnel route add net 192.168.0.0/24 1
ipsec tunnel 101
tunnel enable 2
dhcp service server
dhcp scope 1 192.168.1.2-192.168.1.254/24

[ IPsecによるVPNの導入 (ルータ間のtelnetの暗号化) ]

RT140e(A)-RT140e(B)間のVPN(IPsec)設計

SGWアドレス1 133.176.200.46

SGWアドレス2 133.176.200.68

事前共有鍵 kagi

トンネルモード ESP, 暗号(des-cbc), 認証(md5-hmac)

トランスポートモード ESP, 暗号(des-cbc), 認証(md5-hmac)

RT140e(A)のIPsec設計

SGW定義

SGWアドレス 133.176.200.68

RT140e(A)-RT140e(B)事前共有鍵 kagi

IPsecポリシーの定義

ポリシー識別番号 101

形式 ESP

暗号 des-cbc

認証 md5-hmac

トンネルの定義

トンネルIF番号 1

ボリシー番号 101

トランスポートの定義 (A→Bでtelnetを暗号化)

トランスポート識別番号 1

対象プロトコル TCP

ソースポート番号 *

デスティネーションポート番号 telnet

ボリシー番号 101 (トンネルと兼ねる)

トランスポートの定義 (B→Aでtelnetを暗号化)

トランスポート識別番号 2

対象プロトコル TCP

ソースポート番号 telnet

デスティネーションポート番号 *

ボリシー番号 101 (トンネルと兼ねる)

SGW定義
SGWアドレス	133.176.200.68
RT140e(A)-RT140e(B)事前共有鍵	kagi
IPsecポリシーの定義
ポリシー識別番号	101
形式	ESP
暗号	des-cbc
認証	md5-hmac
トンネルの定義
トンネルIF番号	1
ボリシー番号	101
トランスポートの定義 (A→Bでtelnetを暗号化)
トランスポート識別番号	1
対象プロトコル	TCP
ソースポート番号	*
デスティネーションポート番号	telnet
ボリシー番号	101 (トンネルと兼ねる)
トランスポートの定義 (B→Aでtelnetを暗号化)
トランスポート識別番号	2
対象プロトコル	TCP
ソースポート番号	telnet
デスティネーションポート番号	*
ボリシー番号	101 (トンネルと兼ねる)

RT140e(A)のstaticルーティング設計

宛先/ネットマスク	次のホップ	生成コマンド
default	今回省略	ip { pp \| lan } route add net
192.168.0.0/24	LAN1(192.168.0.1)	ip lan1 address
133.176.200.0/24	LAN2(133.176.200.46)	ip lan2 address
192.168.1.0/24	TUNNEL[01]	ip tunnel route add net

RT140e(A)のconfig例

security class 1 on on
ip lan1 address 192.168.0.1/24
ip lan1 routing protocol none
ip lan2 address 133.176.200.46/24
ip lan2 routing protocol none
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 133.176.200.47
nat descriptor address inner 1 192.168.0.1-192.168.0.254
# 鍵交換に関する設定 (IPsecリリース3)
ipsec auto refresh on
ipsec ike remote address 1 133.176.200.68
！# 鍵交換に関する設定 (IPsecリリース1,2)
！ipsec auto refresh on
！ipsec ike host 133.176.200.68
ipsec pre-shared-key 133.176.200.68 text kagi
ipsec sa policy 101 133.176.200.68 esp des-cbc md5-hmac
ipsec transport 1 101 tcp * telnet
ipsec transport 2 101 tcp telnet *
tunnel select 1
ip tunnel route add net 192.168.1.0/24 1
ipsec tunnel 101
tunnel enable 1
dhcp service server
dhcp scope 1 192.168.0.2-192.168.0.254/24

RT140e(B)のIPsec設計

SGW定義

SGWアドレス 133.176.200.46

RT140e(A)-RT140e(B)事前共有鍵 kagi

IPsecポリシーの定義

ポリシー識別番号 101

形式 ESP

暗号 des-cbc

認証 md5-hmac

トンネルの定義

トンネルIF番号 2

ボリシー番号 101

トランスポートの定義 (B→Aでtelnetを暗号化)

トランスポート識別番号 1

対象プロトコル TCP

ソースポート番号 *

デスティネーションポート番号 telnet

ボリシー番号 101 (トンネルと兼ねる)

トランスポートの定義 (A→Bでtelnetを暗号化)

トランスポート識別番号 2

対象プロトコル TCP

ソースポート番号 telnet

デスティネーションポート番号 *

ボリシー番号 101 (トンネルと兼ねる)

SGW定義
SGWアドレス	133.176.200.46
RT140e(A)-RT140e(B)事前共有鍵	kagi
IPsecポリシーの定義
ポリシー識別番号	101
形式	ESP
暗号	des-cbc
認証	md5-hmac
トンネルの定義
トンネルIF番号	2
ボリシー番号	101
トランスポートの定義 (B→Aでtelnetを暗号化)
トランスポート識別番号	1
対象プロトコル	TCP
ソースポート番号	*
デスティネーションポート番号	telnet
ボリシー番号	101 (トンネルと兼ねる)
トランスポートの定義 (A→Bでtelnetを暗号化)
トランスポート識別番号	2
対象プロトコル	TCP
ソースポート番号	telnet
デスティネーションポート番号	*
ボリシー番号	101 (トンネルと兼ねる)

RT140e(B)のstaticルーティング設計

宛先/ネットマスク	次のホップ	生成コマンド
default	今回省略	ip { pp \| lan } route add net
192.168.1.0/24	LAN1(192.168.1.1)	ip lan1 address
133.176.200.0/24	LAN2(133.176.200.68)	ip lan2 address
192.168.0.0/24	TUNNEL[02]	ip tunnel route add net

RT140e(B)のconfig例

security class 1 on on
ip lan1 address 192.168.1.1/24
ip lan1 routing protocol none
ip lan2 address 133.176.200.68/24
ip lan2 routing protocol none
ip lan2 nat descriptor 2
nat descriptor type 2 masquerade
nat descriptor address outer 2 133.176.200.69
nat descriptor address inner 2 192.168.1.1-192.168.1.254
# 鍵交換に関する設定 (IPsecリリース3)
ipsec auto refresh on
ipsec ike remote address 1 133.176.200.46
！# 鍵交換に関する設定 (IPsecリリース1,2)
！ipsec auto refresh on
！ipsec ike host 133.176.200.46
ipsec pre-shared-key 133.176.200.46 text kagi
ipsec sa policy 101 133.176.200.46 esp des-cbc md5-hmac
ipsec transport 1 101 tcp * telnet
ipsec transport 2 101 tcp telnet *
tunnel select 2
ip tunnel route add net 192.168.0.0/24 1
ipsec tunnel 101
tunnel enable 2
dhcp service server
dhcp scope 1 192.168.1.2-192.168.1.254/24

注意事項
- transportの行きと帰りの適用に注意しましょう。
  行きと帰りでは、ソースポートとデスティネーションポートが反対になります。特定のポートに関して、双方向で暗号化する場合は、２組設定することになります。

[ IPsecの運用について ]

設定直後は、VPNは開通していない。
設定直後は、「show ipsec sa」を実行しても、鍵情報は表示されない。
両方のRT140eで「ipsec refresh sa」を実行する。
「show ipsec sa」を実行する。...と鍵情報が表示される。
鍵情報が表示されなければ、設定を見直す。
pingやtelnetなどの通信ソフトウェアを使って、VPNの開通を確認する。
問題なければ、両方のRT140eで「ipsec auto refresh on」を設定して保存する。

[ Ｑuestion ＆Ａnswer ]

設定例の「！」について
IPsecリリースによる仕様の違いを明示することとします。

IPsecリリース1やIPsecリリース2からIPsecリリース3に移行する場合は、「セキュリティ・ゲートウェイ機能とIPsec」の「IPsecリリース3への設定変更の手引き」を参考にしてください。
ipsec pre-shared-keyコマンドが入力(設定)できません。
Rev.4.00.33から追加されたダイヤルアップVPN機能により、ipsec pre-shared-keyコマンドの仕様変更があり、コマンドもipsec ike pre-shared-keyへと変更されました。

Rev.4.00.33以降のファームウェアの場合は、 ipsec pre-shared-keyコマンドの代りにipsec ike pre-shared-keyコマンドを設定してください。

※「戻る/進む」はブラウザの履歴が使用されます

[ RTpro / ヤマハ / 技術資料 / 設定例集 / RT's FAQ / マニュアル ]

NATディスクリプタ番号	1
タイプ	masquerade
外側アドレス	133.176.200.47
内側アドレス	192.168.0.1～192.168.0.254
静的なNAT設定	なし
適用インタフェース	LAN2

SGWアドレス1	133.176.200.46
SGWアドレス2	133.176.200.68
事前共有鍵	kagi
トンネルモード	ESP, 暗号(des-cbc), 認証(md5-hmac)