アライドファン.comは、佐々木ネットワークテクノロジーズが運営する、ネットワーク技術情報サイトです。

前の手順に戻る

手順3. VPN設定(2) ISAKMPの設定

1. 共有鍵の作成

ISAKMP用の事前共有鍵（pre-shared key）を作成する。
ここで作成した鍵の情報は、CREATE CONFIGコマンドで作成する設定ファイルには保存されず、システム再起動によって失われてしまう。
そのため、後の手順によりセキュリティモードに移行し、同じ鍵作成コマンドを再度実行しなければならない。こうすることにより、鍵がフラッシュメモリー上に保存される。
設定方法は以下の通り。

create enco key=1 type=general value="aabbccdd"

上記設定例では、文字列“aabbccdd”の事前共有鍵を、鍵番号1に設定している。

2. ISAKMPポリシーの定義

次に、相手側ルーターとのIKEネゴシエーション要求を受け入れるISAKMPポリシーの設定を行う。KEYパラメータには、前の手順で作成した事前共有鍵（鍵番号「1」）を指定する。
MODEパラメータは、両方のアドレスが固定されている場合は“main”（ID情報が保護される)を使用するが、片方のアドレスが不定の場合は、“aggressive"（ID情報が保護されない)を指定しなければならない。
LOCALID, REMOTEIDパラメータで、ISAKMPフェーズ1で認証のために交換するID情報を設定する。この文字列には相互のルータで同じものを設定しなけれ ばならない。文字列には、IPアドレス形式、ドメイン名形式、ユーザー名付きドメイン名形式、X.500識別名形式の文字列が指定できる。デフォルトでは ISAKMPパケットの始点アドレスが使われるが、必ずしも実際のドメイン名やIPアドレスを使用する必要はなく、むしろセキュリティ上は任意の複雑な文 字列を使用した方が良い。


(i). アドレス固定側

アドレス固定側では、相手のIPアドレスが不定なので、 ISAKMPの通信相手となるPEERパラメータにANYを設定する。設定方法は以下の通り。

create isakmp pol="ike1" pe=any key=1 remoteid="abc123" mode=aggressive

上記設定では、認証用IDとなるREMOTEIDパラメータに「abc123」を設定したポリシー「ike1」を作成している。認証に用いる鍵には、この後の手順で作成する事前共有鍵（鍵番号1）を使用することとする。また片方のルーターのアドレスが不定であるため、aggressiveモードを使用する。

(ii). アドレス変動側

アドレス変動側では、ISAKMPの通信相手となるPEERパラメータに相手のIPアドレスを設定する。設定方法は以下の通り。

create isakmp pol="ike1" pe="11.22.33.44" key=1 remoteid="abc123" mode=aggressive

上記設定では、アドレス固定側と同様、認証用IDとなるREMOTEIDパラメータに「abc123」を設定したポリシー「ike1」を作成し、認証に用いる鍵には事前共有鍵（鍵番号1）を使用することとする。モードはaggressiveモードを使用する

3. ISAKMPポリシーのオプション設定

IKEのステータスやエラー情報を通知するNotifyペイロードについて、デフォルトでは送信されないようになっている。トラブル時の原因追及のために、このペイロードを送信するように設定した方が良い。

また、アライドテレシスのルータには、「ISAKMPハートビート機能」が備わっている。この機能は、ルーター間の通信が途絶えたときに古いSA情報が残らないようにするための機能である。
この機能はデフォルトではオフになっているが、これを有効化すると、20秒間隔でハートビートメッセージを送受信するようになる。
また、通常はVPN経由の通信をきっかけにVPNトンネルが作成されるが、ハートビート機能を有効化すると、VPN通信の有無にかかわらず、常にVPNトンネルが作られた状態になる。
また、3回連続してハートビートを受信できなかった場合、自動的にSAが削除されるので、片方向通信といった不完全な通信状態が続くこともなくなる。
このように、ISAKMPハートビート機能には利点が多いので、有効化することをお勧めする。
実際の設定方法は以下の通り。

set isakmp pol="ike1" sendn=true set isakmp pol="ike1" hear=BOTH

上記設定では、前の手順で作成したポリシー「ike1」について、Notifyペイロードを送信するように、またISAKMPハートビートを送受信するように設定している。

手順4. ファイアウォールの設定

1. IKE通過ルール作成

アドレス固定側ルータでは、アドレス変動側ルータからIKEパケット（UDP500番）が届くので、このパケットがファイアウォールを通過できるように設定する必要がある。
この設定はアドレス変動側ルータには必要ない。
実際の設定例は以下の通り。

add firewall poli="fw01" ru=1 ac=allo int=ppp0 prot=udp glbpo=500 gblip=11.22.33.44 po=500 ip=11.22.33.44

上記例では、固定グローバルIPアドレス11.22.33.44となるppp0インタフェースに対して、IKEパケットを透過するルールを、ファイアウォールルール名「fw01」に対して、ルール番号1として追加している。

2. NAT対象外ルール作成

LAN→WANに対するNATをファイアウォールに設定している場合、VPN通信先に対してもNATがかかってしまうため、VPN通信をしたいパケットにはNATをかけないように設定する必要がある。設定例は以下の通り。

add firewall poli="fw01" ru=2 ac=nonat int=vlan1 prot=all ip=192.168.10.1-192.168.10.254 set firewall poli="fw01" ru=2 remoteip=192.168.20.1-192.168.20.254

上記例では、LAN側IPアドレス192.168.10.1 - 192.168.10.254と、VPN通信先192.168.20.1 - 192.168.20.254の間のパケットに対して、NATをかけないようにするルールを、ファイアウォールルール名「fw01」に対して、ルール番号2として追加している。

3. IPSec通過ルール作成

IPsecパケットがファイアウォールを通過できるように設定する必要がある。
このルールは、IPsecパケットからオリジナルのIPパケットを取り出したあとで適用しなければならないので、encパラメータにipsを設定しなければならない。
また、このIPSecパケットの宛先アドレスはルータのLAN側アドレスとなるので、相手先IPアドレスにはルータのLAN側アドレスを設定しなければならない。
実際の設定例は以下の通り。

add firewall poli="fw01" ru=3 ac=nonat int=ppp0 prot=all ip=192.168.10.1-192.168.10.254 enc=ips

上記例では、LAN側IPアドレス192.168.10.1 - 192.168.10.254に向けたIPsecパケットに対して、NATを適用せずに通過させるルールを、ファイアウォールルール名「fw01」に対して、ルール番号3として追加している。

その３へ続く

設定作業のご依頼はこちら

このページの先頭へ