Comments
Description
Transcript
印刷用PDFファイルはこちらから
<設定例> モバイルで社内 LAN に安全にアクセスしたい(IPSec 編) WindowsXP の VPN クライアント機能を利用して、社内 LAN へ VPN(IPSec)接続する設定例を示します。 WindowsXP の IPSec 機能は IKE アグレッシブモードをサポートしていないため、モバイル PC 側にも固定のグロー バル IP アドレスが設定されている必要があります。 本例では、VPN ルータと VPN クライアント間に 1 台のルータを挟んでネットワークを分け、インターネットに見立て たテスト環境で VPN を構築します。真ん中のルータはネットワークを分けているだけであり、実際のブロードバンド 接続では必要となる PPPoE 設定を本例では行いません。拠点、WindowsXP クライアントともに ISP から固定のグロ ーバル IP アドレスが割り当てられているものとします。 ■設定概要 【IPSec 設定(MR504DV、WindowsXP クライアント共通)】 ・IKE(フェーズ1)設定 鍵交換モード: メインモード 暗号化/認証アルゴリズム: 3DES/SHA-1 事前共有キー: vpntest DH グループ: group2 (modp1024) PFS: 無効 SA 生存時間:28800 秒 ・IPSec(フェーズ2)設定 プロトコル: ESP トンネルモード 暗号化/認証アルゴリズム: 3DES/SHA-1 SA 生存時間:3600 秒 【MR504DV の設定】 ・IP アドレス ルータの IP アドレス: 172.16.1.254/24 デフォルトルート: WAN ・DHCP サーバ機能 LAN 内のクライアントに IP アドレス、デフォルトゲートウェイ、DNS アドレスの情報を配布します。 配布する IP アドレス範囲: 172.16.1.1 ∼ 172.16.1.99 ※デフォルトゲートウェイ、DNS アドレスはルータの IP アドレスが通知されます (補足) LAN のクライアントがインターネットへ接続できるようにするための NAPT(IP マスカレード)機能、および IKE ネゴシ エーションパケットを通すための静的 NAT については、MR504DV では工場出荷時の状態で有効になっていますの で、改めて設定する必要はありません。 【WindowsXP クライアントの設定】 ・ネットワーク設定 IP アドレス: 10.2.2.1/24 -1© 2006 SOGEN デフォルトゲートウェイ: 10.2.2.2 DNS サーバ: 10.2.2.2 ■MR504DV の設定 通常の IKE メインモードの設定を行います。 ルータ設定の解説はここでは割愛させていただきます。 (設定例「2拠点間で VPN を構築したい(IKE メインモード)」を参照して下さい) ip address 172.16.1.254/24 ip dhcp address 172.16.1.1/99 ip dhcp server on wan ether ip address 192.168.0.230/24 wan ether ip dnsserver 192.168.0.1 wan ether ip gateway 192.168.0.1 ip route 0.0.0.0/0/7 wanether ipsec mode on ipsec 1 valid on ipsec 1 policy keymode ike ipsec 1 policy localip 172.16.1.0/24 ipsec 1 policy remoteip 10.2.2.1 ipsec 1 policy dstgwip 10.2.2.1 ipsec 1 ike mode main ipsec 1 ike localid ip ipsec 1 ike remoteid ip ipsec 1 ike enc 3des ipsec 1 ike hash sha1 ipsec 1 ike psk vpntest ipsec 1 ike dh grp2 ipsec 1 ike pfs off ipsec 1 ike lifetime isakmp 28800 ipsec 1 policy enc esp ipsec 1 policy auth esp ipsec 1 esp enc 3des ipsec 1 esp auth sha1 ipsec 1 ike lifetime ipsec 3600 ■WindowsXP クライアントの設定および解説 ① [スタートボタン] - [コントロールパネル] から「管理ツール」を開き、「ローカルセキュリティ ポリシー」を起動し ます。 ② 「ローカルセキュリティ設定」画面左の「ローカルコンピュータの IP セキュリティポリシー」を選択した状態で、[操 作(A)]メニューから「IP セキュリティポリシーの作成」を選択します。 1.IP セキュリティポリシーウィザード (1) IP セキュリティポリシーウィザードの開始 「次へ」を押します。 (2) IP セキュリティポリシー名 作成する IP セキュリティポリシーに分かりやすい名前をつけてください。 ここでは、「VPN テストポリシー」とします。 名前を入力し、「次へ」を押します。 (3) セキュリティで保護された通信の要求 「既定の応答規則をアクティブにする」のチェックを外して、「次へ」を押します。 -2© 2006 SOGEN (4) IP セキュリティポリシーウィザードの完了 「プロパティを編集する」にチェックが入っているのを確認し、「完了」を押します。 すると、今作成したポリシー「VPN テストポリシー」のプロパティウィンドウが開きます。 (2.へつづく) 2.セキュリティポリシーのプロパティ設定 (1) 「全般」タブを開き、画面下方の「詳細設定...」ボタンを押します。 (2) キー交換の設定 「新しいキーを認証して生成する間隔(A)」に ISAKMP SA の生存時間を設定します。 480 分(28800 秒)となっていることを確認します。 ※「マスタキーの PFS (Perfect Forward Secrecy)」はにチェックを入れないで下さい 「メソッド...」ボタンを押します。 (3) キー交換のセキュリティメソッド IKE(フェーズ1)の暗号化・認証アルゴリズム、DH グループを指定します。 本例では、デフォルトで一番上に定義されている、暗号化=「3DES」、整合性(認証)=「SHA1」、 Diffie-Hellman グループ=「中(2)」 の組み合わせを使用しますので、それ以外の 3 つの組み合わせ は削除します。(DH グループの「中(2)」は modp1024 に該当します) 「OK」を押して、キー交換の設定画面に戻ります。 キー交換の設定画面も「OK」を押して終了します。 (3.へつづく) 3.IP セキュリティ規則の追加 (1) VPN テストポリシーのプロパティ画面の「規則」タブを開きます。 「IP セキュリティの規則」のリストの中に「<動的>」という IP フィルタがありますが、これは使用しません。 新たに「送信用」と「受信用」の 2 つのフィルタを追加して、それを使用します。 3−1.送信用フィルタの作成 (1) VPN テストポリシーのプロパティ 画面右下にある「追加ウィザードを使用」がチェックされていることを確認して「追加」ボタンを押します。 (2) IP セキュリティの規則の作成ウィザードの開始 「次へ」を押します。 (3) トンネル エンドポイント VPN トンネルのエンドポイントの IP アドレスを指定します。 「次の IP アドレスでトンネルエンドポイントを指定する」を選択し、MR504DV の WAN 側のグローバル 固定 IP アドレス(192.168.0.230)を設定し、「次へ」を押します。 (4) ネットワークの種類 「すべてのネットワーク接続」が選択された状態で、「次へ」を押します。 (5) 認証方法 IKE の事前共有キーを設定します。 「次の文字列をキー交換(事前共有キー)の保護に使う」を選択し、テキストボックスに「vpntest」と入力 します。 「次へ」を押します。 (6) IP フィルタ一覧 リストの中に「すべての ICMP トラフィック」「すべての IP トラフィック」という 2 つの IP フィルタがすでに ありますが、これらは使用せず、新しい IP フィルタを作成します。 リスト右の「追加...」ボタンを押してください。 「IP フィルタ一覧」ウィンドウにて適当な名前を入力し(ここでは「送信用フィルタ」と入力します)、「追加」 ボタンを押します。 (7) 新しい IP フィルタウィザードの開始 「次へ」を押します。 (8) IP トラフィックの発信元 IPSec 通信の発信元を指定します。送信方向に適用するフィルタなので、発信元は自身に なります。 「このコンピュータの IP アドレス」を選択して、「次へ」を押します。 -3© 2006 SOGEN (9) IP トラフィックの宛先 IPSec 通信の宛先ネットワークを指定します。「特定の IP サブネット」を選択し、ネットワークアドレスを 入力します。本例では、IP アドレス=「172.16.1.0」、サブネットマスク=「255.255.255.0」となります。 「次へ」を押します。 (10) IP プロトコルの種類の設定 「任意」が選択された状態で「次へ」を押します。 (11) IP フィルタウィザードの完了 「完了」ボタンを押し、ウィザードを閉じます。 IP フィルタ一覧画面に戻ったら、そのまま「OK」を押して画面を閉じます。 (12) IP フィルタ一覧 今作成した「送信用フィルタ」を選択して、「次へ」を押します。 (13) フィルタ操作の選択 リストにすでに 3 つのフィルタ操作が登録されていますが、これらは使用せずに新しいフィルタ操作を 追加します。リスト横の「追加」ボタンを押してください。 (14) IP セキュリティのフィルタ操作ウィザードの開始 「次へ」を押します。 (15) フィルタ操作名 分かりやすい適当な名前を入力してください。本例では、「VPN テスト用」とします。 (16) フィルタ操作の全般オプション 「セキュリティのネゴシエート」が選択された状態で、「次へ」を押します。 (17) IPSec をサポートしないコンピュータと通信中 「IPSec をサポートしないコンピュータと通信しない」が選択された状態で、「次へ」を押します。 (18) IP トラフィックセキュリティ IPSec(フェーズ2)の設定を行います。「カスタム」を選択し、「設定...」ボタンを押してください。 (19) カスタムセキュリティメソッド 「データの整合性と暗号化(ESP)」がチェックされた状態で、整合性(認証)アルゴリズム=「SHA1」、 暗号化アルゴリズム=「3DES」を選択します。 「セッションのキーの設定」で「新しいキーの生成間隔」(IPSecSA 生存時間)にチェックを入れ、 「3600 秒」になっていることを確認します。 「OK」を押して IP トラフィックセキュリティ画面に戻り、「次へ」を押します。 (20) IP セキュリティフィルタ操作ウィザードの完了 「完了」ボタンを押して、ウィザードを終了します。 「フィルタ操作」で、今作成したフィルタ操作「VPN テスト用」を選択して、「次へ」を押します。 (21) 新しい規則ウィザードの完了 「完了」ボタンを押して、ウィザードを終了します。 「規則の編集のプロパティ」画面も「OK」を押して閉じます。 3−2.受信用フィルタの作成 送信用フィルタと同様に、受信用フィルタも作成します。 (1) VPN テストポリシーのプロパティ 画面右下にある「追加ウィザードを使用」がチェックされていることを確認して「追加」ボタンを押します。 (2) IP セキュリティの規則の作成ウィザードの開始 「次へ」を押します。 (3) トンネル エンドポイント 「次の IP アドレスでトンネルエンドポイントを指定する」を選択し、VPN トンネルのエンドポイントの IP アドレスを指定します。受信方向のフィルタなので、自身の IP アドレス(10.2.2.1)を設定します。 「次へ」を押します。 (4) ネットワークの種類 「すべてのネットワーク接続」が選択された状態で、「次へ」を押します。 (5) 認証方法 IKE の事前共有キーを設定します。 「次の文字列をキー交換(事前共有キー)の保護に使う」を選択し、テキストボックスに「vpntest」と入力 -4© 2006 SOGEN します。 「次へ」を押します。 (6) IP フィルタ一覧 新しい IP フィルタを作成します。 リスト右の「追加...」ボタンを押してください。 「IP フィルタ一覧」ウィンドウにて適当な名前を入力し(ここでは「受信用フィルタ」と入力します)、「追加」 ボタンを押します。 (7) 新しい IP フィルタウィザードの開始 「次へ」を押します。 (8) IP トラフィックの発信元 IPSec 通信の発信元を指定します。 受信方向に適用するフィルタなので、発信元はリモートネットワーク になります。「特定の IP サブネット」 を選択し、ネットワークアドレスを入力します。本例では、IP アドレス=「172.16.1.0」、サブネットマスク= 「255.255.255.0」となります。 「次へ」を押します。 (9) IP トラフィックの宛先 IPSec 通信の宛先ネットワークを指定します。受信方向のフィルタのため、宛先は「このコンピュータの IP アドレス」となります。 「次へ」を押します。 (10) IP プロトコルの種類の設定 「任意」が選択された状態で「次へ」を押します。 (11) IP フィルタウィザードの完了 「完了」ボタンを押し、ウィザードを閉じます。 IP フィルタ一覧画面に戻ったら、そのまま「OK」を押して画面を閉じます。 (12) IP フィルタ一覧 今作成した「受信用フィルタ」を選択して、「次へ」を押します。 (13) フィルタ操作の選択 送信用フィルタ作成時に登録したフィルタ操作「VPN テスト用」が表示されていますので、これを選択 して「次へ」を押します。 (14) 新しい規則ウィザードの完了 「プロパティを編集する」にチェックがあれば外して、「完了」を押しウィザードを終了します。 4.IP フィルタの選択 「VPN テストポリシーのプロパティ」画面にて、3.で作成した「送信用フィルタ」「受信用フィルタ」のチェックボックス が ON になっていることを確認し、「適用」ボタンを押した後ウィンドウを閉じます。 5.セキュリティポリシーの有効化 「ローカルセキュリティ設定」画面にて、今作成した「VPN テストポリシー」を右クリックし、「割り当て」を実行してくだ さい。フィルタ条件に一致したトラフィックが発生すると、IPSec 通信が行われるようになります。 -5© 2006 SOGEN