Calender
Sun Mon Tue Wed Thu Fri Sat
      1
2345678
9101112131415
16171819202122
23242526272829
30      
<< September 2018 >>
広告
SEARCH

SELECTED ENTRIES
RECENT COMMENTS
RECENT TRACKBACK
CATEGORIES
ARCHIVES
LINKS
PROFILE
OTHERS
SKYPE
PC: skype.jojo.jp
chat
iPad: iphone.jojo.jp
chat call
THANKS



本日:
昨日:
多言語
広告
 ▼▲ 作業日報 ▼△
    What's under the hood?
<< PostgreSQL CLUSTER処理により性能劣化 | main | named: error (network unreachable) resolving 'frodo.nask.net.pl/AAAA/IN':xxx#53 >>
インターネットVPN(IPSec)_RTX1200設定例

 RTX1200を用いてVPN(IPSec)を構成例です、本当は証明書か公開鍵方式で行いたかったのですすが、IPSecは共通鍵のしかサポートしないようです。


リンク:
Yamaha RTXシリーズマニュアルの頒布...設定例等ドキュメントが充実していて助かります
※トンネルモードでためしてます

【アグレッシブモード】
(クライアント側は名前で識別し、localにはローカルIPを指定します)
サーバ側 (192.168.1.111 <= hogee)
ip route 192.168.102.0/24 gateway tunnel 1     ...... 先方のルーティングを記述
ip lan1 address 192.168.101.1/24               ...... ローカルアドレス
ip lan2 address 192.168.1.111                  ......  固定アドレス(アグレッシブのサーバ側)
tunnel select 1                                ....... トンネルデバイス作成
 ipsec tunnel 100                              .......  IPSec設定作成 ID:1
  ipsec sa policy 100 1 esp aes-cbc sha-hmac   .......  トンネル-IPSec紐付け、タイプは aes sha
  ipsec ike local address 1 192.168.101.1      .......  トンネルのこっち側の端点は lan1のアドレス
  ipsec ike pre-shared-key 1 text ponkikki     ......   接続パスワードは「ponkikki」
  ipsec ike remote address 1 any               .......  先方のローカルアドレスは自由 (IPではなくnameで識別します)
  ipsec ike remote name 1 hoogee key-id        .......  先方の名前
  ip tunnel tcp mss limit auto                 .......  フラグメントを防止します
 tunnel enable 1

クライアント側 (hogee => 192.168.1.111)
ip route 192.168.101.0/24 gateway tunnel 1     ...... 先方のルーティングを記述
ip lan1 address 192.168.102.1/24               ...... ローカルアドレス
ip lan2 address 192.168.1.222                  ......  固定アドレス(アグレッシブのサーバ側)
tunnel select 1                                ....... トンネルデバイス作成
 ipsec tunnel 100                              .......  IPSec設定作成 ID:1
  ipsec sa policy 100 1 esp aes-cbc sha-hmac   .......  トンネル-IPSec紐付け、タイプは aes sha
  ipsec ike local address 1 192.168.102.1      .......  トンネルのこっち側は名前(name)で識別する為不要
  ipsec ike pre-shared-key 1 text ponkikki     ......   接続パスワードは「ponkikki」
  ipsec ike remote address 1 192.168.1.111     .......  サーバー側のアドレスを入れます
  ipsec ike local name 1 hoogee key-id        .......  クライアント側で名前を入れます(この名前を利用します)
 tunnel enable 1
 ip tunnel tcp mss limit auto                 .......  フラグメントを防止します
ipsec ike keepalive use 2 on

・インターネット環境
インターネットの場合はクライアント側IPがすでにNATされ散る場合があるので
nat-traversal を利用します、鍵交換の際の認証用IPアドレスがグローバルIPになる為、ローカルのIPで認証したい為必要となってくるようです。


【メインモード】
(両端のIPを固定)
・サーバー側
# RTX1200 Rev.10.01.29 (Wed Feb  9 17:21:33 2011)
# MAC Address : 00:a0:de:65:8a:81, 00:a0:de:65:8a:82, 00:a0:de:65:8a:83
# Memory 128Mbytes, 3LAN, 1BRI
# main:  RTX1200 ver=b0 serial=D26021115 MAC-Address=00:a0:de:65:8a:81 MAC-Addr
ess=00:a0:de:65:8a:82 MAC-Address=00:a0:de:65:8a:83
# Reporting Date: Jun 22 15:25:24 2011
ip route default gateway 125.206.231.81
ip route 192.168.102.1 gateway tunnel 1
ip lan1 address 192.168.101.1/24
ip lan2 address 123.123.123.123/29
tunnel select 1
 ipsec tunnel 100
  ipsec sa policy 100 1 esp aes-cbc sha-hmac
  ipsec ike local address 1 192.168.101.1
  ipsec ike pre-shared-key 1 *
  ipsec ike remote address 1 any
  ipsec ike remote name 1 popopo key-id
 ip tunnel tcp mss limit auto
 tunnel enable 1
ipsec auto refresh on
syslog notice on
syslog debug on


・クライアント側
 show config
# RTX1200 Rev.10.01.29 (Wed Feb  9 17:21:33 2011)
# MAC Address : 00:a0:de:67:82:bd, 00:a0:de:67:82:be, 00:a0:de:67:82:bf
# Memory 128Mbytes, 3LAN, 1BRI
# main:  RTX1200 ver=b0 serial=D26053464 MAC-Address=00:a0:de:67:82:bd MAC-Addr
ess=00:a0:de:67:82:be MAC-Address=00:a0:de:67:82:bf
# Reporting Date: Jun 22 15:13:10 2011
ip route default gateway pp 1
ip route 192.168.101.0/24 gateway tunnel 1
ip lan1 address 192.168.102.1/24
pp select 1
 pp bind usb1
 pp auth accept pap chap
 pp auth myname em em
 ppp lcp mru off 1792
 ppp lcp pfc on
 ppp lcp acfc on
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ipv6cp use off
 mobile auto connect on
 mobile access-point name emb.ne.jp cid=1
 mobile display caller id off
 pp enable 1
tunnel select 1
 ipsec tunnel 100
  ipsec sa policy 100 1 esp aes-cbc sha-hmac
  ipsec ike keepalive use 1 on                ........、接続できなければONにしてみます(但し常時接続となります)
  ipsec ike local name 1 popopo key-id
  ipsec ike nat-traversal 1 on
  ipsec ike pre-shared-key 1 text ponkikki
  ipsec ike remote address 1 123.123.123.123
 ip tunnel tcp mss limit auto
 tunnel enable 1
nat descriptor type 1000 masquerade
ipsec auto refresh on
syslog notice on
syslog info on
syslog debug on
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
dns server pp 1
mobile use usb1 on
※ RTX1200にUSBモデムを付けIPSecを通した時の設定です。(通信量がかかるためkeepaliveは外してあります)
KEEP ALIVEを外しauto connectにしてもなぜか接続しに行きません。


注意点
実インターネット回線でのテスト
 実インターネット回線ではサーバ側(接続先)はike動作の際のローカルアドレスをプロバイダアドレスとしてしまいます(※02)。そこで接続元側では「nat-traversal」機能をONにする必要があります。
 また、ファイアーウォール等でのフィルタリングですが、以下のプロトコルを通す必要があります。
 esp , isakmp(udp:port500)
 IPSecはIPの拡張ヘッダを利用していますのでプロトコルが「esp」となります。
※iptablesの場合は
iptables -A chainXXX -p esp -d 123.123.123.123 -j ACCEPT
iptables -A chainXXX -p esp -s 123.123.123.123 -j ACCEPT
iptables -A chainXXX -p udp -d 123.123.123.123 -dport 500 -j ACCEPT
iptables -A chainXXX -p udp -s 123.123.123.123 --sport 500 -j ACCEPT ....isakmp


(※02)インターネット経由でのログの例
(失敗)
2011/06/22 14:52:49: [IKE] [4] retransmit to xxx.xxxx.xxx.xxx (count = 9)
2011/06/22 14:52:43: [IKE] add ISAKMP context [4] b6c499d964401df6 00000000
2011/06/22 14:52:43: [IKE] initiate ISAKMP phase to xxx.xxx.xxx.xxx (local address 114.51.197.132)

(成功 nat-traversalが利いている)
□ipsec ike nat-traversal on
2011/06/22 14:57:29: PP[01] IP Commencing:
2011/06/22 14:57:28: [IKE] add ISAKMP context [5] 029a7452fc6fb81f 00000000
2011/06/22 14:57:28: [IKE] initiate ISAKMP phase to xxx.xxx.xxx.xxx (local address 192.168.102.1)
| サーバー関連 | 14:23 | comments(0) | trackbacks(0) |









http://blog.jojo.jp/trackback/1424801