アライドファン.comは、佐々木ネットワークテクノロジーズが運営する、ネットワーク技術情報サイトです。

当ページの設定例について

当ページでは、PPPoE設定によるインターネット接続環境において、2点間でIPsecによる暗号化を行ったVPNの設定方法について解説する。
なお、2台のルータのうち1台はIPアドレス固定、もう1台はIPアドレスが動的に割り当てられるものとする。
設定例では、アドレス変動側・アドレス固定側共通となる設定を白地で、アドレス固定側のみの設定となるものを赤地で、アドレス変動側のみの設定となるものを青地で示すこととする。なおPPPoEは設定済みとする。

IPSecによる暗号化を行う場合、暗号用ハードウェアを搭載したルータを使用しないと、パフォーマンスが大幅に低下する。「AR415S」のように、 ルータの型名に“S”がついている場合、暗号用ハードウェアが搭載されている。現行機種には全て暗号用ハードウェアが搭載されているが、一部の旧機種には 搭載されていないので注意が必要である。

本ページは、既にPPPoEの設定が完了しているものとして、その後のVPN設定についてのみ解説する。

手順1. セキュリティモードの設定

アライドテレシスのルータでは、VPNは、一般ユーザや管理者（manager）と異なる、“Security Officerレベル”のユーザに切り替えて設定を行う必要がある。
そのため、まず以下のようなコマンドを実行し、Security Officerレベルのユーザを追加しなければならない。

add user=super pass=abc123 priv=securityOfficer

上記設定では、ID「super」、パスワード「abc123」で、VPN等の各種設定を行うことのできるSecurity Officerレベルのユーザを追加設定している。

なお、デフォルト状態ではtelnetによりSecurity Officerレベルへログインすることができない。
このままでは、ルータの設定を行うためにはコンソール接続が必須となるため、メンテナンス性が低下してしまう。
Security Officerレベルへtelnet接続するための設定方法は以下の通りである。

enable user rso add user rso ip=192.168.20.0 mask=255.255.255.0

上記設定では、IPアドレス192.168.20.0/255.255.255.0のネットワークから、Security Officerレベルでのtelnetログインが許可される。
ip=0.0.0.0 mask=0.0.0.0と設定すると、全てのIPアドレスからtelnetログインが可能になるが、LANだけではなくインターネットからも telnetログインできてしまい、セキュリティ上危険であるので、このような設定は行ってはならない。

手順2. VPN設定(1) IPSecの設定

次に、IPSecの設定に移ることとする。

1. IPsec通信の仕様の定義

IPsec通信の仕様の定義に入力するコマンドは以下の通り。

create ipsec sas=1 key=isakmp prot=esp enc=aes256 hasha=sha

上記設定例では、SAスペック番号「1」を1とし、鍵管理方式を自動設定（ISAKMP）、IPsecプロトコルをESP（暗号化と認証）としている。IPsecプロトコルをAHとすると、暗号化されないので注意が必要。
また、暗号化アルゴリズムにはAES256（256ビットAES）を指定している。DESよりAESの方が暗号化強度か高く、またビット数が多い程暗号化強度が高いので、ARシリーズルータで設定可能な最も強い暗号は、このAES256となる。
また、メッセージ認証用のハッシュアルゴリズムにはSHAを指定している。ここのパラメータにはDES, MD5, SHAが選択可能だが、この中ではSHAが攻撃に対して最も強いと考えられている。

2. SAバンドルスペックの作成

SAバンドルスペックとは、IPsec通信で使用するSAスペック（プロトコル等）の組み合わせを指定するもので、トラフィックに対して暗号化（ESP）と認証（AH）の有無を指定することができる。
実際に入力するコマンドは以下の通り。

create ipsec bund=1 key=isakmp string="1"

上記設定では、自動鍵管理用のSAバンドルスペック「1」を作成し、バンドルを構成するSAスペックの組み合わせとして「1」を設定している。
バンドル内SAの有効期限の設定も、このコマンド内で行う。デフォルトでは8時間おきに再ネゴシエーションが行われるようになっている。例えば有効期限を 24時間に設定するには、「expiryseconds=86400」のように、秒単位でパラメータを指定する。

3. IPsecポリシーの設定1

IPSecポリシーとは、IPアドレス・IPプロトコル・ポートなどによってパケットを識別し、そのパケットに対し、どのような処理（IPsec適用、通過、拒否）を施すかを指定する、一種のフィルタールールである。
インターフェースに対して1つでもポリシーを作成すると、その時点で自動的に、「デフォルト拒否」となる、すべてのパケットを破棄（DENY）するポリシーが作成されるので注意が必要。

まず、ISAKMPメッセージの通過を許すIPsecポリシーを作成する。

create ipsec pol="isa" int=ppp0 ac=permit　lport=500 rport=500 transport=udp

ISAKMPメッセージは、ローカルの500番ポートからリモートの500番ポート宛のUDPパケットとなる
上記設定では、この条件を満たすパケットの通過を許すIPsecポリシー「isa」を作成している。

4. IPsecポリシーの設定2

実際のIPsec通信に使用するIPsecポリシーを作成する。
鍵管理方式には「ISAKMP」を、BUNDLEにはSAバンドルスペック「1」を指定する。

(i). アドレス固定側

アドレス固定側では、相手のIPアドレスが不定なので、ISAKMPの認証をパスしたものだけ通過するように指定する必要がある。設定方法は以下の通り。

create ipsec pol="vpn" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=dynamic

上記設定では、アドレス不定の相手先からの、自動（ISAKMP）鍵管理方式による、SAバンドルスペック「1」に従ったIPsec接続を許可するようなルール「vpn」を設定している。


(ii). アドレス変動側

アドレス変動側では、相手のIPアドレスが固定されているので、そのアドレスに対し、ISAKMPの認証をパスしたものだけ通過するように指定する。設定方法は以下の通り。

create ipsec pol="vpn" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=11.22.33.44

上記設定では、グローバルアドレス11.22.33.44の相手先からの、自動（ISAKMP）鍵管理方式による、SAバンドルスペック「1」に従ったIPsec接続を許可するようなルール「vpn」を設定している。

5. IPsecポリシーの設定3

前の手順で作成したIPsecポリシー「vpn」に、IPsec通信を行うIPアドレスの範囲を指定する。
設定方法は以下の通り。コマンドが長くなるため、省略形を用いるのがよい。

set ipsec pol="vpn" lad=192.168.10.0 lma=255.255.255.0 rad=192.168.20.0 rma=255.255.255.0

上記設定では、ルータのLAN側のネットワークアドレスを192.168.10.0/255.255.255.0、VPN接続する相手側のネットワークアドレスを192.168.20.0/255.255.255.0と設定している。

その２へ続く

設定作業のご依頼はこちら

このページの先頭へ