VPNを構築する
8. VPNを構築する
本章では、本製品のVPN機能の設定方法(設定例)を説明します。
|
VPN機能を使用するためには有効なVPNオプションライセンスの購入と適用が必要です。
ライセンスの概要については「 ライセンス 」を、本製品へライセンスを適用する方法については「 ライセンスを適用する 」に記載しています。 |
8.1. 拠点間接続VPN(1対1)
さくらのクラウドと拠点の間でIPsec VPNを構築し、拠点の端末とさくらのクラウド上の各種仮想サーバの間で安全に通信できるようにするための設定方法を説明します。
以下のシステム構成を前提とします。
あらかじめ、以下のパラメーターの値を決めておく必要があります。
| パラメーター | 値 |
|---|---|
|
IPsec事前共有鍵 |
VPN接続先の認証に用いるパスワード。
|
8.1.1. 本製品を設定する
以下の設定例を参考に、不足しているコマンド、パラメーターが変更となるコマンドを実行します。
login user admin ログインパスワード user attribute admin administrator=2 vrx user ライセンスユーザーID ライセンスユーザーパスワード ip route default gateway 共有セグメントのゲートウェイのIPv4アドレス ip route 192.168.100.0/24 gateway tunnel 1 ip lan1 address NIC #0のグローバルIPv4アドレス/24 ip lan1 secure filter in 1020 1021 1030 1040 1041 1050 1051 1052 2000 ip lan1 secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107 ip lan1 nat descriptor 1 ip lan2 address 192.168.0.1/24 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.0.1 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text IPsec事前共有鍵 ipsec ike remote address 1 any ipsec ike remote name 1 branch key-id tunnel enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.0.0/24 * ip filter 1021 reject 192.168.100.0/24 * ip filter 1030 pass * 192.168.0.0/24 icmp ip filter 1040 pass SSHクライアントのIPv4グローバルアドレス 192.168.0.1 tcp * 22 ip filter 1050 pass * 192.168.0.1 esp ip filter 1051 pass * 192.168.0.1 udp * 500 ip filter 1052 pass * 192.168.0.1 udp * 4500 ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * submission ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor masquerade static 1 1 192.168.0.1 tcp 22 nat descriptor masquerade static 1 11 192.168.0.1 esp nat descriptor masquerade static 1 12 192.168.0.1 udp 500 nat descriptor masquerade static 1 13 192.168.0.1 udp 4500 ipsec auto refresh on telnetd service off dns server さくらのクラウドのDNSサーバーのIPv4アドレス schedule at 1 NTP定期同期時刻 * ntpdate NTPサーバーのFQDN sshd service on sshd host key generate SSHサーバーホスト鍵 sshd auth method password
8.1.2. 拠点ルーターを設定する
「 🔗Web GUI 「拠点間接続VPN(IPsec)」の設定方法(拠点側が動的IPアドレスを使用) 」を参照してください。
Web GUIの「かんたん設定」では、以下の情報を選択または入力してください。
| 大項目 | 小項目 | 設定方法 |
|---|---|---|
|
ネットワーク環境 |
「接続先のみ固定のグローバルアドレスまたはネットボランチDNSホスト名を持っている」を選択 |
|
|
自分側の設定 |
自分側のID |
「branch」と入力 |
|
接続先の情報 |
接続先のホスト名またはIPアドレス |
本製品 (vRX) のLAN1インターフェースのIPv4アドレスを入力 |
|
接続先と合わせる設定 |
認証鍵 |
本製品 (vRX) に設定したIPsec事前共有鍵を入力 |
|
認証アルゴリズム |
「HMAC-SHA」を選択 |
|
|
暗号アルゴリズム |
「AES-CBC」を選択 |
|
|
経路に関する設定 |
「接続先のLAN側のアドレス」を選択
|
|
|
|
Web GUIを使用しない場合は、上記リンク先に記載されている「拠点 ルーター(2)」のConfigを参考に、不足しているコマンド、パラメーターが変更となるコマンドを実行します。 |
8.1.3. 通信試験を行う
-
本製品で
show status tunnelコマンドを実行し、拠点ルーターとの間でVPNが確立していることを確認します。> show status tunnel 1 TUNNEL[1]: 説明: インタフェースの種類: IPsec トンネルインタフェースは接続されています 開始: 2024/01/29 16:15:10 通信時間: 19秒 受信: (IPv4) 0 パケット [0 オクテット] (IPv6) 0 パケット [0 オクテット] 送信: (IPv4) 0 パケット [0 オクテット] (IPv6) 0 パケット [0 オクテット] -
本製品で、拠点ルーターのLAN1インターフェースのIPv4アドレスに対して
pingコマンドを実行し、返答を受信することを確認します。> ping -c 4 192.168.100.1 192.168.100.1から受信: シーケンス番号=0 ttl=254 時間=RTTミリ秒 192.168.100.1から受信: シーケンス番号=1 ttl=254 時間=RTTミリ秒 192.168.100.1から受信: シーケンス番号=2 ttl=254 時間=RTTミリ秒 192.168.100.1から受信: シーケンス番号=3 ttl=254 時間=RTTミリ秒 4個のパケットを送信し、4個のパケットを受信しました。0.0%パケットロス 往復遅延 最低/平均/最大 = RTT最小値/RTT平均値/RTT最大値 ミリ秒
8.2. 拠点間接続VPN(1対多)
本製品と拠点に設置された複数のヤマハルーター間でマルチポイントトンネル(1対多のIPsec VPN)を構築し、拠点の端末とさくらのクラウド上の各種仮想サーバ間、および拠点をまたいだ端末間で安全に通信できるようにするための設定方法を説明します。
以下のシステム構成を前提とします。
あらかじめ、以下のパラメーターの値を決めておく必要があります。
| パラメーター | 値 |
|---|---|
|
IPsec事前共有鍵 |
VPN接続先の認証に用いるパスワード。
|
8.2.1. 本製品を設定する
以下の設定例を参考に、不足しているコマンド、パラメーターが変更となるコマンドを実行します。
login user admin ログインパスワード user attribute admin administrator=2 vrx user ライセンスユーザーID ライセンスユーザーパスワード ip route default gateway 共有セグメントのゲートウェイのIPv4アドレス ip lan1 address NIC #0のグローバルIPv4アドレス/24 ip lan1 secure filter in 1020 1021 1030 1040 1041 1050 1051 1052 2000 ip lan1 secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107 ip lan1 nat descriptor 1 ip lan2 address 192.168.0.1/24 tunnel select 1 tunnel type multipoint server tunnel multipoint local name center ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike auto received-id-route-add 1 on ipsec ike keepalive use 1 on heartbeat ipsec ike local address 1 192.168.0.1 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text IPsec事前共有鍵 ipsec ike remote address 1 any ipsec ike remote name 1 branches key-id ip tunnel address 10.0.0.1/24 tunnel enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.0.0/16 * ip filter 1021 reject 10.0.0.0/24 * ip filter 1030 pass * 192.168.0.0/24 icmp ip filter 1040 pass SSHクライアントのIPv4グローバルアドレス 192.168.0.1 tcp * 22 ip filter 1050 pass * 192.168.0.1 esp ip filter 1051 pass * 192.168.0.1 udp * 500 ip filter 1052 pass * 192.168.0.1 udp * 4500 ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * submission ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor masquerade static 1 1 192.168.0.1 tcp 22 nat descriptor masquerade static 1 11 192.168.0.1 esp nat descriptor masquerade static 1 12 192.168.0.1 udp 500 nat descriptor masquerade static 1 13 192.168.0.1 udp 4500 ipsec auto refresh on telnetd service off dns server さくらのクラウドのDNSサーバーのIPv4アドレス schedule at 1 NTP定期同期時刻 * ntpdate NTPサーバーのFQDN sshd service on sshd host key generate SSHサーバーホスト鍵 sshd auth method password
8.2.2. 拠点ルーターを設定する
「 🔗IPsec経路自動追加機能を利用したVPN拠点間接続(センター&拠点) : コマンド設定 」→「point-to-multipoint (マルチポイント) トンネル」を参照してください。
設定例のプレースホルダーには以下の値を入力してください。
| プレースホルダー | 入力値 |
|---|---|
|
センターのルーターに通知する名前1 |
「branch1」または任意の文字列を入力 |
|
センターのルーターに通知する名前2 |
「branch2」または任意の文字列を入力 |
|
センターの固定グローバルIPアドレス |
本製品 (vRX) のLAN1インターフェースのIPv4アドレスを入力 |
|
拠点側 セキュリティーゲートウェイの名前 |
「branches」と入力 |
|
事前共有鍵 |
本製品 (vRX) に設定したIPsec事前共有鍵を入力 |
また、一部コマンドの設定値を以下のように置き換えてください。
| 対象のコマンド | 置換前の設定値 | 置換後の設定値 |
|---|---|---|
|
ip route
|
192.168.100.0/24 |
192.168.0.0/24 |
8.2.3. 通信試験を行う
-
本製品で
show status tunnelコマンドを実行し、拠点ルーターとの間でVPNが確立していることを確認します。> show status tunnel 1 TUNNEL[1]: 説明: インタフェースの種類: IPsec (point-to-multipoint) 接続先数: 2 [接続先 10.0.0.2 (branch1)] トンネルインタフェースは接続されています 開始: 2024/01/29 18:18:38 通信時間: 31秒 受信: (IPv4) 0 パケット [0 オクテット] (IPv6) 0 パケット [0 オクテット] 送信: (IPv4) 0 パケット [0 オクテット] (IPv6) 0 パケット [0 オクテット] [接続先 10.0.0.3 (branch2)] トンネルインタフェースは接続されています 開始: 2024/01/29 18:19:04 通信時間: 5秒 受信: (IPv4) 0 パケット [0 オクテット] (IPv6) 0 パケット [0 オクテット] 送信: (IPv4) 0 パケット [0 オクテット] (IPv6) 0 パケット [0 オクテット] -
本製品で、拠点ルーターのLAN1インターフェースのIPv4アドレスに対して
pingコマンドを実行し、返答を受信することを確認します。> ping -c 4 192.168.101.1 192.168.101.1から受信: シーケンス番号=0 ttl=254 時間=RTTミリ秒 192.168.101.1から受信: シーケンス番号=1 ttl=254 時間=RTTミリ秒 192.168.101.1から受信: シーケンス番号=2 ttl=254 時間=RTTミリ秒 192.168.101.1から受信: シーケンス番号=3 ttl=254 時間=RTTミリ秒 4個のパケットを送信し、4個のパケットを受信しました。0.0%パケットロス 往復遅延 最低/平均/最大 = RTT最小値/RTT平均値/RTT最大値 ミリ秒 > ping -c 4 192.168.102.1 192.168.102.1から受信: シーケンス番号=0 ttl=254 時間=RTTミリ秒 192.168.102.1から受信: シーケンス番号=1 ttl=254 時間=RTTミリ秒 192.168.102.1から受信: シーケンス番号=2 ttl=254 時間=RTTミリ秒 192.168.102.1から受信: シーケンス番号=3 ttl=254 時間=RTTミリ秒 4個のパケットを送信し、4個のパケットを受信しました。0.0%パケットロス 往復遅延 最低/平均/最大 = RTT最小値/RTT平均値/RTT最大値 ミリ秒
8.3. リモートアクセスVPN
インターネットに接続したPC等の端末とさくらのクラウドをL2TP/IPsec VPNで接続し、端末とさくらのクラウド上の各種仮想サーバとの間で安全に通信できるようにするための設定方法を説明します。
|
|
L2TP/IPsecに対応していないiOS、Android端末等を接続する場合は、IKEv2を使用してください。 設定例を「 🔗技術資料 」に記載しています。 |
以下のシステム構成を前提とします。
あらかじめ、以下のパラメーターの値を決めておく必要があります。
| パラメーター | 値 |
|---|---|
|
VPNユーザー名 |
VPN使用者の識別子。
|
|
VPNユーザーパスワード |
VPN使用者の認証に用いるパスワード。
|
|
IPsec事前共有鍵 |
VPNクライアントの認証に用いるパスワード。
|
8.3.1. 本製品を設定する
以下の設定例を参考に、不足しているコマンド、パラメーターが変更となるコマンドを実行します。
login user admin ログインパスワード user attribute admin administrator=2 vrx user ライセンスユーザーID ライセンスユーザーパスワード ip route default gateway 共有セグメントのゲートウェイのIPv4アドレス ip lan1 address NIC #0のグローバルIPv4アドレス/24 ip lan1 secure filter in 1020 1030 1040 1041 1050 1051 1052 2000 ip lan1 secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107 ip lan1 nat descriptor 1 ip lan2 address 192.168.0.1/24 ip lan2 proxyarp on pp select anonymous pp bind tunnel1-tunnel3 pp auth request mschap-v2 pp auth username VPNユーザー名 1 VPNユーザーパスワード 1 pp auth username VPNユーザー名 2 VPNユーザーパスワード 2 pp auth username VPNユーザー名 3 VPNユーザーパスワード 3 ppp ipcp ipaddress on ppp ipcp msext on ip pp remote address pool 192.168.0.252-192.168.0.254 ip pp mtu 1258 pp enable anonymous tunnel select 1 tunnel template 2-3 tunnel encapsulation l2tp ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike local address 1 192.168.0.1 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text IPsec事前共有鍵 ipsec ike remote address 1 any l2tp tunnel disconnect time off tunnel enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.0.0/24 * ip filter 1030 pass * 192.168.0.0/24 icmp ip filter 1040 pass SSHクライアントのIPv4グローバルアドレス 192.168.0.1 tcp * 22 ip filter 1050 pass * 192.168.0.1 esp ip filter 1051 pass * 192.168.0.1 udp * 500 ip filter 1052 pass * 192.168.0.1 udp * 4500 ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * submission ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor masquerade static 1 1 192.168.0.1 tcp 22 nat descriptor masquerade static 1 11 192.168.0.1 esp nat descriptor masquerade static 1 12 192.168.0.1 udp 500 nat descriptor masquerade static 1 13 192.168.0.1 udp 4500 ipsec auto refresh on ipsec transport 1 1 udp 1701 ipsec transport 2 2 udp 1701 ipsec transport 3 3 udp 1701 telnetd service off dns server さくらのクラウドのDNSサーバーのIPv4アドレス schedule at 1 NTP定期同期時刻 * ntpdate NTPサーバーのFQDN l2tp service on sshd service on sshd host key generate SSHサーバーホスト鍵 sshd auth method password
8.3.2. VPNクライアントを設定する
VPNクライアントとしてYMS-VPN8を使用する場合は、設定欄に以下の値を入力してください。
| 設定欄 | 入力値 |
|---|---|
|
事前共有鍵 |
本製品 (vRX) に設定したIPsec事前共有鍵を入力 |
|
接続先 |
本製品 (vRX) のLAN1インターフェースのIPv4アドレスを入力 |
|
認証方式 |
MS-CHAP v2 |
|
ユーザー名 |
本製品 (vRX) に設定したVPNユーザー名を入力 |
|
パスワード |
本製品 (vRX) に設定したVPNユーザーパスワードを入力 |
8.3.3. 通信試験を行う
-
本製品で
show status l2tpコマンドを実行し、VPNクライアントとの間でL2TP/IPsec VPNが確立していることを確認します。> show status l2tp ------------------- L2TP INFORMATION ------------------- L2TP情報テーブル L2TPトンネル数: 3, L2TPセッション数: 3 TUNNEL[1]: トンネルの状態: established バージョン: L2TPv2 (中略) PPインタフェース: PP[ANONYMOUS01] (中略) トンネル内のセッション数: 1 session セッション情報: セッションの状態: established (中略) TUNNEL[2]: トンネルの状態: established バージョン: L2TPv2 (中略) PPインタフェース: PP[ANONYMOUS02] (中略) トンネル内のセッション数: 1 session セッション情報: セッションの状態: established (中略) TUNNEL[3]: トンネルの状態: established バージョン: L2TPv2 (中略) PPインタフェース: PP[ANONYMOUS03] (中略) トンネル内のセッション数: 1 session セッション情報: セッションの状態: established (後略) -
VPNクライアントで、本製品またはLAN2インターフェース(仮想サーバのNIC #1)のスイッチに接続された各種仮想サーバとのIPv4通信(Ping送受信等)に成功することを確認します。
本製品とIPv4通信を行う場合は、LAN2インターフェースのIPv4アドレスを宛先としてください。