...

Vyatta での IPsec サイト間 VPN 接続手順書

by user

on
Category: Documents
146

views

Report

Comments

Transcript

Vyatta での IPsec サイト間 VPN 接続手順書
クラウドサービス セルフタイプ
Vyatta での IPsec
サイト間 VPN 接続手順書
サービスマニュアル
Ver.1.2
2013 年 2 月 27 日
株式会社 IDC フロンティア
目次
1. はじめに ........................................................................................................................... 1
1.1. IPsec 接続確認機器.......................................................................................................... 1
1.2. 必要な情報 と 構成図(例) .......................................................................................... 3
1.3. ご注意点 ........................................................................................................................... 4
1.4. セルフポータルでの作業手順 .......................................................................................... 5
1.4.1.
Vyatta マシンの作成 ............................................................................................ 5
1.4.2.
ネットワークの設定 ............................................................................................ 8
1.5. Vyatta の基本コマンド ................................................................................................... 10
2. SSG550M の場合 ..........................................................................................................11
2.1. クラウド側 Vyatta の設定 ............................................................................................ 11
2.2. SSG550M の設定 .......................................................................................................... 14
3. YAMAHA RTX1200 の場合 ........................................................................................... 16
3.1. クラウド側 Vyatta の設定 ............................................................................................ 16
3.2. YAMAHA RTX1200 の設定 ........................................................................................... 19
4. Cisco7301 の場合 ......................................................................................................... 20
4.1. クラウド側 Vyatta の設定 ............................................................................................ 20
4.2. Cisco7301 の設定.......................................................................................................... 23
5. Cisco RVS4000 の場合................................................................................................. 24
5.1. クラウド側 Vyatta の設定 ............................................................................................ 24
5.2. Cisco RVS4000 の設定 ................................................................................................. 27
6. Vyatta Core 6.4 の場合 ................................................................................................. 29
6.1. クラウド側 Vyatta の設定 ............................................................................................ 29
6.2. ブランチ側 Vyatta の設定 ............................................................................................ 32
7. お問合わせ .................................................................................................................... 33
7.1. サポートコンテンツ ....................................................................................................... 33
7.2. オンラインサポート ....................................................................................................... 34
7.3. プレミアムサポート ....................................................................................................... 36
クラウドサービス セルフタイプ
Vyatta での IPsec サイト間 VPN 接続手順書
はじめに
1.
この文書では当社クラウド環境の Vyatta と IPsec 接続の確認が取れた機器に関して、そ
の接続のための設定手順について記載します。なお、お客様環境により接続条件等は変わっ
てくるため、接続できることを保証しているものではありません。
VPN の設定はお客様にて行っていただく必要がございます。

Vyatta マニュアルのダウンロード http://www.vyatta.com/download/documentation

設定サポートをご希望の場合、当社協力会社のご紹介が可能です。ご相談下さい。
この文書では、クラウド側に設置された Vyatta を「クラウド側 Vyatta」、クラウド側
Vyatta に対向するブランチ側に設置されたデバイスを「ブランチ側デバイス」と表現しま
す。
1.1.
想定している接続例
ブランチ側
クラウド側
1.
お客様オフィス
セルフタイプ
2.
IDCF クラウド マネージドタイプ
セルフタイプ
3.
IDCF クラウド セルフタイプ
セルフタイプ
アカウント間※
※【注意】セルフタイプのアカウント間を接続する場合、同一ゾーン内での IPsec 接続
はできません。ゾーン間での IPsec 接続が可能です。(例:East⇔West 間)
-1© IDC Frontier Inc. All Rights Reserved.
クラウドサービス セルフタイプ
1.2.
Vyatta での IPsec サイト間 VPN 接続手順書
IPsec 接続確認機器
現時点で当社にて IPsec 接続確認を行っている機器は下記になります。
[機器名]
[OS]

Juniper SSG550M
ScreenOS 6.1

YAMAHA RTX1200
Firmware Version 10.01.38

Cisco7301
IOS 12.4(25f)

Cisco RVS4000
Firmware Version 2.0.2.7

Vyatta Core
VC6.4-2012.05.31
-2© IDC Frontier Inc. All Rights Reserved
Vyatta での IPsec サイト間 VPN 接続手順書
クラウドサービス セルフタイプ
1.3.
必要な情報 と 構成図(例)
設定には下記のような情報が必要となります。
この文書では、下記構成を例として説明します。
設定する際、これらの値は実際の環境で置き換えて設定してください。
ブ
ラ
ン
チ
側
ブランチ側デバイスのプライ
ベート IP に NAT されるグ
ローバル IP の場合もある
・任意の文字列。
・YAMAHA RTX1200 と
Cisco7301 の場合は不要
デバイスのグローバル IP アドレス
198.51.100.1
デバイスの ID
branch
ネットワークアドレス
192.168.1.0/24
192.168.1.0/24
任意
ブランチ側デバイス
@branch
[機器:SSG / YAMAHA/ Cisco/ Vyatta・・・]
198.51.100.1
IPsec
Internet
・my_shared_secret
・3DES/MD5
192.0.2.1
10.1.0.0/22
クラウド側 Vyatta
@cloud
10.1.1.1
ク
ラ
ウ
ド
側
Vyatta に NAT されるグローバル IP アドレス
192.0.2.1
ポータルから取得
Vyatta の eth0 の IP アドレス
10.1.1.1
ポータルで確認
Vyatta の ID
cloud
・任意の文字列
・YAMAHA RTX1200
の場合は不要
ネットワークアドレス
10.1.0.0/22
固定
※セルフタイプのプライベート IP のサブネットは/22 です。
-3© IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
Vyatta での IPsec サイト間 VPN 接続手順書
IPsec 事前共有鍵(Pre-shared Secret)
my_shared_secret
任意の文字列
IKE で用いる暗号化アルゴリズムとハッシュアルゴリズム
3DES/MD5
任意
ESP で用いる暗号化アルゴリズムとハッシュアルゴリズム
3DES/MD5
任意
ご注意点
1.4.

当社クラウド環境側の各仮想マシンでは、対向拠点側のプライベートネットワーク
(ブランチ側のネットワークアドレス)宛についてのスタティックルートを Vyatta
向けに設定する必要があります。

YAMAHA のような IPsec の前にトンネリングが行われるような構成の場合には、
そのトンネリングに使われる通信を許可する必要があります。

ブランチ側ネットワークまでの途中経路の機器が Path-MTU discovery に対応して
いない場合、IPsec セッションは張れているのに大きいサイズのパケットが通信で
きないという現象が起きる可能性があります。具体的には途中経路の機器が ICMP
Type=3(Destination Unreachable) Code=4(fragmentation needed and DF set)を
返してこない場合に Path-MTU discovery が行えず、MTU サイズを超えるパケッ
トが破棄される形となってしまいます。その際には、MTU サイズを変えていただ
くか、上記 ICMP メッセージが正しく届くように途中経路でのフィルタの見直し等
をしていただく必要があります。
-4© IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
Vyatta での IPsec サイト間 VPN 接続手順書
セルフポータルでの作業手順
1.5.
セルフポータルにログインします。 https://noahcloud.jp/portal
1.5.1.
Vyatta マシンの作成
ご説明
操作方法
① Vyatta 用のマシンを作成
します。
ダッシュボードから「仮想マ
シンを作成」ボタンをクリッ
ク。
② テンプレートから
「[LATEST]Vyatta
Core 6.4 32bit
(Software Router)」を
選択。
③ VM タ イ プ を 選 択 し ま
す。Vyatta 用のマシンに
は S2 以上を推奨いたし
ます。
※作成後にスペックの変
更が可能ですが、変更に
はマシンの停止が必要で
す。
④
ディスクを選択します。 注意!
・ クレジットカードの場合は、お支払い情
-5© IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
ご説明
⑤
Vyatta での IPsec サイト間 VPN 接続手順書
操作方法
仮想マシン名とグループ
名を任意で設定します。
(後で変更可能です)
SSH Keyの設定をします。
SSH Key名を任意で指定
して、選択項目からKeyを
Vyatta用マシン作成時は、基本的には以下から選択します。
選択します。
[SSH鍵選択]
・過去に作成した鍵と同じ鍵を利用する場合
[SSH鍵生成]
・ 新たに鍵を作成する場合
※画面に表示されるKey情報は必ずファイルに保存してください。
この画面でしか表示されません。
[アップロード]
・ 既存の鍵をアップロードする場合
※当社ではセキュリティ上、公開鍵認証を推奨しておりますが、公開鍵認
証を使用しない場合は[SSH鍵なし]を選択してください。(その場合、デ
フォルトでは外部からのSSH接続が許可されておりませんので、コンソー
ルからのログインが必要となります。)
⑥
マシン情報をご確認の
上、契約約款に同意しま
すにチェックを入れ、「申
し込み」をクリックすると、
マシン作成が開始しま
「仮想マシン実行処理中・・・・」 というメッセージが表示され、仮想マシン
の作成が始まります。
す。
マシンサイズにもよりますが、5分程度で作成が完了します。
※1台目の仮想マシンを作成する時は30分前後かかる場合があります。
※作成中に「仮想マシンリスト」ページに移動することは可能
ですが、マシンステータスが 「Starting」から「Running」に変
わるまで操作はできません。
-6© IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
⑦
Vyatta での IPsec サイト間 VPN 接続手順書
仮想マシンの作成が完了
すると、画面にパスワード
が表示されます。
※仮想マシンのログイン ID は「vyatta」となります。
※このパスワードを忘れても、パスワードリセットで再設定が可能ですが、
パスワードリセットは仮想マシンの再起動を伴います。
⑧
[リソース]→[仮想マ
シン]の画面で、作成し
た仮想マシンのステー
タスが“Running”にな
っていれば仮想マシン
作成の完了です。
-7© IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
1.5.2.
ネットワークの設定
ご説明
①
Vyatta での IPsec サイト間 VPN 接続手順書
操作方法
[リソース]タブから[ネット
ワーク]を開きます。
②
VPN接続に使用する
グローバルIPアドレスを取
得します。(有償)
[IPアドレス取得]をクリッ
ク。
※ソースと書かれているIPアド
レスはVyatta用には使用しない
でください。Vyattaではグロー
バルIPとプライベートIPが1対1
に紐付られている必要がありま
すが、ソースのIPは、仮想マシ
ンと1対1に紐付け(スタティック
NAT)が設定できません。
③
追加されたIPアドレスを選
択します。
-8© IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
④
Vyatta での IPsec サイト間 VPN 接続手順書
[詳細]タブの「スタティッ
クNAT有効化」をクリックし
ます。
※[ポートフォワーディン
グ]や[ロードバランサー]
で設定しないでください
⑤
「確認」をクリックします。
⑥
[ファイアウォール]タブを
選択し、設定を行います。
※全てのプロトコル、ポートが
閉じられた状態から、設定した
部分のみが開放されます。
以下の設定を行います。

ICMP
ICMPタイプ: 3

UDP
ポート: 500番 と 4500番

TCP
ポート: 22番
ICMPコード: 4
[VPN用]
[SSH用]
※ソースCIDR : 許可する接続元CIDRを指定
IPアドレス単位の場合は /32 で設定
複数 CIDR の場合は「カンマ」区切りで設定
-9© IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
Vyatta での IPsec サイト間 VPN 接続手順書
Vyatta の基本コマンド
1.6.
Vyatta の CUI での基本コマンドは以下となります。

モードの移行方法
[ configure ]: Operational Mode から Configuration Mode へ移行します。
[ exit ]
: Configuration Mode から Operational Mode へ戻ります。
Vyatta には 2 種類のモードがあります。
・ Operational Mode (ログイン時のモード。参照モード)
・ Configuration Mode (設定ファイルの編集を行うモード)

設定の保存方法
[ commit ] : 設定の反映
[ save ]
: 設定の保存。commit で反映させた後に使用します。
※commit だけでは、
マシン再起動後に設定が消えてしまいます。

設定方法
設定手順(検証例)は、次項よりご案内します。
はじめにクラウド側 Vyatta の設定手順を説明し、その後それぞれの対向と
なるデバイスの設定手順を説明します。
- 10 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
Vyatta での IPsec サイト間 VPN 接続手順書
SSG550M の場合
2.
以下の設定を行います。
クラウド側 Vyatta の設定
2.1.
1.
IPsec の通信に用いるインターフェースの設定
set vpn ipsec ipsec-interfaces interface eth0
(これは当社初期設定で投入されていますので設定の必要はありません。
)
2.
IKE グループの設定
set vpn ipsec ike-group IKE-G lifetime 3600
set vpn ipsec ike-group IKE-G proposal 1 encryption 3des
set vpn ipsec ike-group IKE-G proposal 1 hash md5
上記の例では IKE-G という名前の IKE グループを定義しています。グループ名
(IKE-G の箇所)は任意のグループ名で置き換えて設定してください。
IKE の有効期限を 3600 秒(1 時間)、暗号化アルゴリズムを 3DES、ハッシュアルゴ
リズムを MD5 としています。暗号化アルゴリズムとハッシュアルゴリズムは proposal 2、
proposal 3、として複数登録しておくことも可能です。
3.
ESP グループの設定
set vpn ipsec esp-group ESP-G lifetime 1800
set vpn ipsec esp-group ESP-G proposal 1 encryption 3des
set vpn ipsec esp-group ESP-G proposal 1 hash md5
上記の例では ESP-G という名前の ESP グループを定義しています。 グループ名
(ESP-G の箇所)は任意のグループ名で置き換えて設定してください。
ESP の有効期限を 1800 秒(30 分)、暗号化アルゴリズムを 3DES、ハッシュアルゴ
リズムを MD5 としています。IKE と同様、暗号化アルゴリズムとハッシュアルゴリズ
ムは proposal 2、 proposal 3、として複数登録しておくことも可能です。
- 11 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
4.
Vyatta での IPsec サイト間 VPN 接続手順書
NAT トラバーサルの設定の有効化
set vpn ipsec nat-traversal enable
(これは当社初期設定で投入されていますので設定の必要はありません。
)
5.
ブランチ側デバイスとの通信で用いる IKE グループと ESP グループを設定
set vpn ipsec site-to-site peer 198.51.100.1 ike-group IKE-G
set vpn ipsec site-to-site peer 198.51.100.1 default-esp-group ESP-G
上記の実行例のうち 198.51.100.1 は実際のブランチ側デバイスのグローバル IP アド
レスで置き換えてください。
(これ以降も同様に置き換えてください。
)
6.
接続で用いる認証方式を事前共有鍵方式に設定
set vpn ipsec site-to-site
pre-shared-secret
peer
198.51.100.1
set
vpn
ipsec
site-to-site
peer
pre-shared-secret my_shared_secret
authentication
198.51.100.1
mode
authentication
(※上記 2 つのコマンドは実際にはそれぞれ 1 行で入力してください。
)
上 記 の 実 行 例 の う ち my_shared_secret の 部 分 は 実 際 の IPsec 事 前 共 有 鍵
[Pre-shared Secret]
(任意の文字列)で置き換えてください。
7.
自分自身(クラウド側 Vyatta)の ID と対向デバイス(ブランチ側デバイス)の ID
を設定
set vpn ipsec site-to-site peer 198.51.100.1 authentication id @cloud
set vpn ipsec site-to-site peer 198.51.100.1 authentication remote-id
@branch
(※実際には 1 行で入力してください。
)
ID の設定には ID の頭に “@(アットマーク)” を付加します。上記の実行例のうち
could と branch の部分は実際の値に置き換えてください。
- 12 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
8.
Vyatta での IPsec サイト間 VPN 接続手順書
自分自身(クラウド側 Vyatta)の eth0 の IP アドレスを設定
set vpn ipsec site-to-site peer 198.51.100.1 local-ip 10.1.1.1
上記の実行例のうち 10.1.1.1 の部分は実際のクラウド側 Vyatta の eth0 の IP アド
レスの値に置き換えてください。
9.
IPsec トンネルを通す宛先ネットワークと送信元ネットワークの対を設定
set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 local subnet
10.1.0.0/22
set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 remote subnet
192.168.1.0/24
(※上記 2 つのコマンドは実際にはそれぞれ 1 行で入力してください。
)
上記の実行例のうち、 192.168.1.0/24 は実際のブランチ側のネットワークに置き換え
てください。
10. ファイアウォールのルールを確認
set
set
set
set
firewall
firewall
firewall
firewall
name
name
name
name
FW_RULE
FW_RULE
FW_RULE
FW_RULE
rule
rule
rule
rule
100
100
110
110
action
source
action
source
accept
address 10.1.0.0/22
accept
address 192.168.1.0/24
192.168.1.0/24(ブランチ側)、 ルール番号 100 と 110 はそれぞれ実際の値に置き換
えてください。
もし eth0 に対して送受信時のフィルタを定義している場合(set interfaces ethernet
eth0 firewall in の設定がされている場合)は、クラウド側のネットワークとブランチ側の
ネットワークの双方で通信ができるためのルールが設定されている必要があります。
上記の例では FW_RULE という名前のファイアウォールルールセットに、クラウド側
のネットワークアドレスとブランチ側のネットワークアドレスからのパケットを許可す
る設定を追加しています。
また、Vyatta 自身に対してフィルタを定義している場合(set interfaces ethernet eth0
firewall local の設定がされている場合)は peer 同士の IP アドレスを許可する設定が必要
となります。
- 13 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
2.2.
Vyatta での IPsec サイト間 VPN 接続手順書
SSG550M の設定
ここでは以下の構成を例に説明します。
トンネルインターフェース
tunne1.1
WAN 側の Ethernet インターフェース
ethernet0/2
VPN 設定 ID
0x1
IKE 設定名
ike_cloud
VPN 設定名
vpn_cloud
すでに複数の IPsec サイト間接続 VPN の設定がされている場合は、すでにトンネル
インターフェース tunnel.1 と VPN 設定 ID 0x1 が使用されている可能性があります。
そのときは tunnel.2、 tunnel.3、や 0x2、 0x3 で適宜置き換えてください。
1.
トンネルインターフェースのゾーンを “Untrust” に設定
set interface "tunnel.1" zone "Untrust"
2.
トンネルインターフェースと WAN 側インターフェースの対応付け
set interface tunnel.1 ip unnumbered interface ethernet0/2
3.
IKE の設定
set ike gateway "ike_cloud" address 192.0.2.1 id "branch" Main local-id
"cloud" outgoing-interface "ethernet0/2" preshare "my_shared_secret"
proposal "pre-g2-3des-md5"
(※実際には 1 行で入力してください。
)
上記で例として書かれてある箇所を、以下の( )の内容の実際の値に置き換えて設定し
てください。
・ike_cloud ( IKE 設定名)
・192.0.2.1 (クラウド側 Vyatta に NAT されるグローバル IP アドレス)
・branch (ブランチ側デバイスの ID)
・cloud (クラウド側 Vyatta の ID)
・ethernet0/2 (WAN 側の Ethernet インターフェース)
・my_shared_secet(IPsec 事前共有鍵[Pre-shared Secret](任意の文字列))
・pre-g2-3des-md5 (IKE で用いる暗号化アルゴリズムとハッシュアルゴリズムに対応する値)
- 14 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
4.
Vyatta での IPsec サイト間 VPN 接続手順書
NAT トラバーサルの設定
set ike gateway "ike_cloud" nat-traversal
set ike gateway "ike_cloud" nat-traversal udp-checksum
set ike gateway "ike_cloud" nat-traversal keepalive-frequency 5
NAT のステータスを保持するためキープアライブの設定も行います。
上記の例では 5 秒間隔で実施します。
5.
VPN の設定
set vpn "vpn_cloud" gateway "ike_cloud" no-replay tunnel idletime 0
proposal "g2-esp-3des-md5"
(※実際には 1 行で入力してください。
)
上記の例で、 vpn_cloud は VPN 設定名に、 g2-esp-3des-md5 は ESP で用いる暗号
化アルゴリズムとハッシュアルゴリズムに対応する値に、それぞれ置き換えてください。
6.
VPN の設定をトンネルインターフェースとバインド
set vpn "vpn_cloud" id 0x1 bind interface tunnel.1
set vpn "vpn_cloud"
10.1.0.0/22 "ANY"
proxy-id
local-ip
192.168.1.0/24
remote-ip
(※上記 2 つのコマンドは実際にはそれぞれ 1 行で入力してください。
)
上記の例で、 0x1 は実際の VPN 設定 ID に、 192.168.1.0/24 はブランチ側のネッ
トワークアドレスに、それぞれ置き換えてください。
7.
宛先アドレスがクラウド側のネットワークとなっているパケットが上記で作成したトン
ネルを通るようルーティングの設定
set route 10.1.0.0/22 interface tunnel.1
- 15 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
Vyatta での IPsec サイト間 VPN 接続手順書
YAMAHA RTX1200 の場合
3.
YAMAHA RTX1200 では、 NAT-Traversal 機能を利用し、 ID と IP アドレスが一致
しない構成で IPsec を利用したい場合、 IKE phase 1 で Aggressive mode しかサポー
トしていません。一方 Vyatta は Main mode しかサポートしていません。
そのため IPIP トンネルを設定し、そのうえで IPsec トンネルを設定する必要がありま
す。
※なお、当社ポータルの[ファイアウォール]では、IPIP 通信のフィルタ解除の設定が
出来ません。しかし、Vyatta から対向機器に対し VPN 通信を行ったタイミングで、動的
に当社ファイアウォールでの IPIP 通信のフィルタが解除される為、対向側からの VPN 通
信も到達可能となります。
以下の例では IPIP トンネルの対向 IP アドレスを 192.168.123.1/24(クラウド側
Vyatta)と 192.168.123.2/24(ブランチ側 YAMAHA RTX1200)として設定しています。
これらの値は適宜置き換えて設定してください。
クラウド側 Vyatta の設定
3.1.
1.
IPIP トンネルの設定を行います。
set
set
set
set
set
interfaces
interfaces
interfaces
interfaces
interfaces
tunnel
tunnel
tunnel
tunnel
tunnel
tun0
tun0
tun0
tun0
tun0
address 192.168.123.1/24
encapsulation ipip
local-ip 10.1.1.1
mtu 1422
remote-ip 198.51.100.1
上記の実行例のうち、10.1.1.1 はクラウド側 Vyatta の eth0 の IP アドレスに、
198.51.100.1 は実際のブランチ側デバイスのグローバル IP アドレスに、それぞれ置き換
えてください。
2.
IPsec の通信に用いるインターフェースの設定
set vpn ipsec ipsec-interfaces interface eth0
(これは当社初期設定で投入されていますので設定の必要はありません。
)
- 16 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
3.
Vyatta での IPsec サイト間 VPN 接続手順書
IKE グループの設定
set vpn ipsec ike-group IKE-G lifetime 3600
set vpn ipsec ike-group IKE-G proposal 1 encryption 3des
set vpn ipsec ike-group IKE-G proposal 1 hash md5
上記の例では IKE-G という名前の IKE グループを定義しています。 グループ名
(IKE-G の箇所)は任意のグループ名で置き換えて設定してください。
IKE の有効期限を 3600 秒(1 時間)、暗号化アルゴリズムを 3DES、ハッシュアルゴ
リズムを MD5 としています。暗号化アルゴリズムとハッシュアルゴリズムは proposal 2、
proposal 3、として複数登録しておくことも可能です。
4.
ESP グループの設定
set vpn ipsec esp-group ESP-G lifetime 1800
set vpn ipsec esp-group ESP-G proposal 1 encryption 3des
set vpn ipsec esp-group ESP-G proposal 1 hash md5
上記の例では ESP-G という名前の ESP グループを定義しています。 グループ名
(ESP-G の箇所)は任意のグループ名で置き換えて設定してください。
ESP の有効期限を 1800 秒(30 分)、暗号化アルゴリズムを 3DES、ハッシュアルゴ
リズムを MD5 としています。IKE と同様、暗号化アルゴリズムとハッシュアルゴリズ
ムは proposal 2、 proposal 3、として複数登録しておくことも可能です。
5.
ブランチ側デバイスとの通信で用いる IKE グループと ESP グループを設定
set vpn ipsec site-to-site peer 192.168.123.2 ike-group IKE-G
set vpn ipsec site-to-site peer 192.168.123.2 default-esp-group ESP-G
6.
接続で用いる認証方式を事前共有鍵方式に設定
set vpn ipsec site-to-site peer
pre-shared-secret
192.168.123.2 authentication mode
set
vpn
ipsec
site-to-site
peer
pre-shared-secret my_shared_secret
192.168.123.2
authentication
(※上記 2 つのコマンドは実際には 1 行で入力してください。)
上 記 の 実 行 例 の う ち my_shared_secret の 部 分 は 実 際 の IPsec 事 前 共 有 鍵
[Pre-shared Secret]
(任意の文字列)で置き換えてください。
- 17 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
7.
Vyatta での IPsec サイト間 VPN 接続手順書
自分自身(クラウド側 Vyatta)の tun0 の IP アドレスを設定
set vpn ipsec site-to-site peer 192.168.123.2 local-ip 192.168.123.1
上記の実行例のうち 192.168.123.1 の部分は実際のクラウド側 Vyatta の tun0 の
IP アドレスの値に置き換えてください。
8.
IPsec トンネルを通す宛先ネットワークと送信元ネットワークの対を設定
set vpn ipsec site-to-site peer 192.168.123.2 tunnel 1 local subnet
10.1.0.0/22
set vpn ipsec site-to-site peer 192.168.123.2 tunnel 1 remote subnet
192.168.1.0/24
(※上記 2 つのコマンドは実際には 1 行で入力してください。
)
上記の実行例のうち、192.168.1.0/24 は実際のブランチ側のネットワークに置き換えて
ください。
9.
ファイアウォールのルールを確認
set
set
set
set
firewall
firewall
firewall
firewall
name
name
name
name
FW_RULE
FW_RULE
FW_RULE
FW_RULE
rule
rule
rule
rule
100
100
110
110
action
source
action
source
accept
address 10.1.0.0/22
accept
address 192.168.1.0/24
192.168.1.0/24(ブランチ側)、 ルール番号 100 と 110 はそれぞれ実際の値に置き換
えてください。
もし eth0 に対して送受信時のフィルタを定義している場合(set interfaces ethernet
eth0 firewall in の設定がされている場合)は、クラウド側のネットワークとブランチ側の
ネットワークの双方で通信ができるためのルールが設定されている必要があります。
上記の例では FW_RULE という名前のファイアウォールルールセットに、クラウド側
のネットワークアドレスとブランチ側のネットワークアドレスからのパケットを許可す
る設定を追加しています。
また、Vyatta 自身に対してフィルタを定義している場合(set interfaces ethernet eth0
firewall local の設定がされている場合)は peer 同士の IP アドレスを許可する設定が必要
となります。
- 18 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
3.2.
1.
Vyatta での IPsec サイト間 VPN 接続手順書
YAMAHA RTX1200 の設定
IPIP トンネルの設定を行います。
tunnel select 1
tunnel encapsulation ipip
tunnel endpoint address 192.168.123.1 192.0.2.1
ip tunnel address 192.168.123.2/24
tunnel enable 1
上記の例で 192.0.2.1 はクラウド側 Vyatta のグローバル IP アドレスに置き換えて
ください。
2.
IPsec の設定
tunnel select 2
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike duration ipsec-sa 2 1800
ipsec ike encryption 2 3des-cbc
ipsec ike group 2 modp1024
ipsec ike hash 2 md5
ipsec ike keepalive use 2 on icmp-echo 10.1.1.1
ipsec ike local address 2 192.168.123.2
ipsec ike pre-shared-key 2 text my_shared_secret
ipsec ike remote address 2 192.168.123.1
tunnel enable 2
ipsec auto refresh on
IPIP トンネル上で NAT-Traversal を利用しない IPsec トンネルを設定する場合、
IPIP トンネルのセッションがタイムアウトすることで通信ができなくなる可能性があり
ます。そのため ipsec ike keepalive コマンドでキープアライブの設定を行います。以下
の例で 10.1.1.1 はクラウド側 Vyatta の eth0 の IP アドレスに置き換えてください。
3.
クラウド側のネットワーク宛てのパケットが IPsec トンネルを通るようルーティングの
設定
ip route 10.1.0.0/22 gateway tunnel 2
- 19 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
Vyatta での IPsec サイト間 VPN 接続手順書
Cisco7301 の場合
4.
以下の設定を行います。
4.1.
1.
クラウド側 Vyatta の設定
IPsec の通信に用いるインターフェースの設定
set vpn ipsec ipsec-interfaces interface eth0
(これは当社初期設定で投入されていますので設定の必要はありません。
)
2.
IKE グループの設定
set vpn ipsec ike-group IKE-G lifetime 3600
set vpn ipsec ike-group IKE-G proposal 1 encryption 3des
set vpn ipsec ike-group IKE-G proposal 1 hash md5
上記の例では IKE-G という名前の IKE グループを定義しています。 グループ名
(IKE-G の箇所)は任意のグループ名で置き換えて設定してください。
IKE の有効期限を 3600 秒(1 時間)、暗号化アルゴリズムを 3DES、ハッシュアル
ゴ リ ズ ム を MD5 と し て い ま す 。 暗 号 化 ア ル ゴ リ ズ ム と ハ ッ シ ュ ア ル ゴ リ ズ ム は
proposal 2、 proposal 3、として複数登録しておくことも可能です。
3.
ESP グループの設定
set vpn ipsec esp-group ESP-G lifetime 1800
set vpn ipsec esp-group ESP-G proposal 1 encryption 3des
set vpn ipsec esp-group ESP-G proposal 1 hash md5
上記の例では ESP-G という名前の ESP グループを定義しています。グループ名
(ESP-G の箇所)は任意のグループ名で置き換えて設定してください。
ESP の有効期限を 1800 秒(30 分)、暗号化アルゴリズムを 3DES、ハッシュアルゴ
リズムを MD5 としています。IKE と同様、暗号化アルゴリズムとハッシュアルゴリズ
ムは proposal 2、 proposal 3、として複数登録しておくことも可能です。
- 20 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
4.
Vyatta での IPsec サイト間 VPN 接続手順書
NAT トラバーサルの設定を有効化
set vpn ipsec nat-traversal enable
(これは当社初期設定で投入されていますので設定の必要はありません。
)
5.
ブランチ側デバイスとの通信で用いる IKE グループと ESP グループを設定
set vpn ipsec site-to-site peer 198.51.100.1 ike-group IKE-G
set vpn ipsec site-to-site peer 198.51.100.1 default-esp-group ESP-G
上記の実行例のうち 198.51.100.1 は実際のブランチ側デバイスのグローバル IP アド
レスで置き換えてください。
(これ以降も同様に置き換えてください。
)
6.
接続で用いる認証方式を事前共有鍵方式に設定
set vpn ipsec site-to-site
pre-shared-secret
peer
198.51.100.1
set
vpn
ipsec
site-to-site
peer
pre-shared-secret my_shared_secret
authentication
198.51.100.1
mode
authentication
(※上記 2 つのコマンドは実際には 1 行で入力してください。
)
上 記 の 実 行 例 の う ち my_shared_secret の 部 分 は 実 際 の IPsec 事 前 共 有 鍵
[Pre-shared Secret]
(任意の文字列)で置き換えてください。
7.
自分自身(クラウド側 Vyatta)の ID を設定
set vpn ipsec site-to-site peer 198.51.100.1 authentication id @cloud
ID の設定には ID の頭に “@(アットマーク)” を付加します。下記の実行例のうち
could の部分は実際の値に置き換えてください。
- 21 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
8.
Vyatta での IPsec サイト間 VPN 接続手順書
自分自身(クラウド側 Vyatta)の eth0 の IP アドレスを設定
set vpn ipsec site-to-site peer 198.51.100.1 local-ip 10.1.1.1
上記の実行例のうち 10.1.1.1 の部分は実際のクラウド側 Vyatta の eth0 の IP アド
レスの値に置き換えてください。
9.
IPsec トンネルを通す宛先ネットワークと送信元ネットワークの対を設定
set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 local subnet
10.1.0.0/22
set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 remote subnet
192.168.1.0/24
(※上記 2 つのコマンドは実際には 1 行で入力してください。
)
上記の実行例のうち、198.51.100.1 は実際のブランチ側デバイスのグローバル IP アド
レスに、192.168.1.0/24 は実際のブランチ側のネットワークに、それぞれ置き換えてくだ
さい。
10. 最後にファイアウォールのルールを確認
set
set
set
set
firewall
firewall
firewall
firewall
name
name
name
name
FW_RULE
FW_RULE
FW_RULE
FW_RULE
rule
rule
rule
rule
100
100
110
110
action
source
action
source
accept
address 10.1.0.0/22
accept
address 192.168.1.0/24
192.168.1.0/24(ブランチ側)、 ルール番号 100 と 110 はそれぞれ実際の値に置き換
えてください。
もし eth0 に対して送受信時のフィルタを定義している場合(set interfaces ethernet
eth0 firewall in の設定がされている場合)は、クラウド側のネットワークとブランチ側の
ネットワークの双方で通信ができるためのルールが設定されている必要があります。
上記の例では FW_RULE という名前のファイアウォールルールセットにクラウド側の
ネットワークアドレスとブランチ側のネットワークアドレスからのパケットを許可する
設定を追加しています。192.168.1.0/24、 ルール番号 100 と 110 はそれぞれ実際の値に
置き換えてください。
また、Vyatta 自身に対してフィルタを定義している場合(set interfaces ethernet eth0
firewall local の設定がされている場合)は、peer 同士の IP アドレスを許可する設定が必
要となります。
- 22 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
4.2.
1.
Vyatta での IPsec サイト間 VPN 接続手順書
Cisco7301 の設定
IKE の設定
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key my_shared_secret address 192.0.2.1
crypto isakmp nat keepalive 20
上記の例で 192.0.2.1 はクラウド側 Vyatta のグローバル IP アドレスに置き換えて
ください。
2.
IPsec のポリシーを設定
crypto ipsec transform-set myset esp-3des esp-md5-hmac
上記の例では myset という名前(任意)でポリシーを定義しています。
3.
対向の ID を定義
crypto identity cloudid
fqdn cloud
上記の例では cloudid という名前(任意)で cloud という ID を設定しています。
4.
IPsec ピアの設定
crypto map myvpn 10 ipsec-isakmp
set peer 192.0.2.1
set transform-set myset
set identity cloudid
match address 101
上記の例では myvpn という名前(任意)で設定しています。
5.
IPsec トンネルを通す IP パケットの定義
access-list 101 permit ip 192.168.1.0 0.0.0.255 10.1.0.0 0.0.3.255
- 23 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
Vyatta での IPsec サイト間 VPN 接続手順書
Cisco RVS4000 の場合
5.
以下の設定を行います。
5.1.
1.
クラウド側 Vyatta の設定
IPsec の通信に用いるインターフェースの設定
set vpn ipsec ipsec-interfaces interface eth0
(これは当社初期設定で投入されていますので設定の必要はありません。
)
2.
IKE グループの設定
set vpn ipsec ike-group IKE-G lifetime 3600
set vpn ipsec ike-group IKE-G proposal 1 encryption 3des
set vpn ipsec ike-group IKE-G proposal 1 hash md5
上記の例では IKE-G という名前の IKE グループを定義しています。グループ名
(IKE-G の箇所)は任意のグループ名で置き換えて設定してください。
IKE の有効期限を 3600 秒(1 時間)、暗号化アルゴリズムを 3DES、ハッシュアル
ゴ リ ズ ム を MD5 と し て い ま す 。 暗 号 化 ア ル ゴ リ ズ ム と ハ ッ シ ュ ア ル ゴ リ ズ ム は
proposal 2、 proposal 3、として複数登録しておくことも可能です。
3.
ESP グループの設定
set vpn ipsec esp-group ESP-G lifetime 1800
set vpn ipsec esp-group ESP-G proposal 1 encryption 3des
set vpn ipsec esp-group ESP-G proposal 1 hash md5
上記の例では ESP-G という名前の ESP グループを定義しています。 グループ名
(ESP-G の箇所)は任意のグループ名で置き換えて設定してください。
ESP の有効期限を 1800 秒(30 分)、暗号化アルゴリズムを 3DES、ハッシュアルゴ
リズムを MD5 としています。IKE と同様、暗号化アルゴリズムとハッシュアルゴリズ
ムは proposal 2、 proposal 3、として複数登録しておくことも可能です。
4.
NAT トラバーサルの設定の有効化
set vpn ipsec nat-traversal enable
(これは当社初期設定で投入されていますので設定の必要はありません。
)
- 24 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
5.
Vyatta での IPsec サイト間 VPN 接続手順書
ブランチ側デバイスとの通信で用いる IKE グループと ESP グループを設定
set vpn ipsec site-to-site peer 198.51.100.1 ike-group IKE-G
set vpn ipsec site-to-site peer 198.51.100.1 default-esp-group ESP-G
上記の実行例のうち 198.51.100.1 は実際のブランチ側デバイスのグローバル IP アド
レスで置き換えてください。
(これ以降も同様に置き換えてください。
)
6.
接続で用いる認証方式を事前共有鍵方式に設定
set vpn ipsec site-to-site
pre-shared-secret
peer
198.51.100.1
set
vpn
ipsec
site-to-site
peer
pre-shared-secret my_shared_secret
authentication
198.51.100.1
mode
authentication
(※上記 2 つのコマンドは実際には 1 行で入力してください。
)
上 記 の 実 行 例 の う ち my_shared_secret の 部 分 は 実 際 の IPsec 事 前 共 有 鍵
[Pre-shared Secret]
(任意の文字列)で置き換えてください。
7.
自分自身(クラウド側 Vyatta)の ID と、対向デバイス(ブランチ側デバイス)の
ID を設定
set vpn ipsec site-to-site peer 198.51.100.1 authentication id @cloud
set vpn ipsec site-to-site peer 198.51.100.1 authentication remote-id
@branch
ID の設定には ID の頭に “@(アットマーク)” を付加します。上記の実行例のうち
could と branch の部分は実際の値に置き換えてください。
8.
自分自身(クラウド側 Vyatta)の eth0 の IP アドレスを設定
set vpn ipsec site-to-site peer 198.51.100.1 local-ip 10.1.1.1
上記の実行例のうち 10.1.1.1 の部分は実際のクラウド側 Vyatta の eth0 の IP アド
レスの値に置き換えてください。
- 25 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
9.
Vyatta での IPsec サイト間 VPN 接続手順書
IPsec トンネルを通す宛先ネットワークと送信元ネットワークの対を設定
set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 local subnet
10.1.0.0/22
set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 remote subnet
192.168.1.0/24
(※上記 2 つのコマンドは実際には 1 行で入力してください。)
上記の実行例のうち、192.168.1.0/24 は実際のブランチ側のネットワークに、それぞれ
置き換えてください。
10.
set
set
set
set
最後にファイアウォールのルールを確認
firewall
firewall
firewall
firewall
name
name
name
name
FW_RULE
FW_RULE
FW_RULE
FW_RULE
rule
rule
rule
rule
100
100
110
110
action
source
action
source
accept
address 10.1.0.0/22
accept
address 192.168.1.0/24
192.168.1.0/24(ブランチ側)、 ルール番号 100 と 110 はそれぞれ実際の値に置き換
えてください。
もし eth0 に対して送受信時のフィルタを定義している場合(set interfaces ethernet
eth0 firewall in の設定がされている場合)はクラウド側のネットワークとブランチ側のネ
ットワークの双方で通信ができるためのルールが設定されている必要があります。
上記の例では FW_RULE という名前のファイアウォールルールセットにクラウド側の
ネットワークアドレスとブランチ側のネットワークアドレスからのパケットを許可する
設定を追加しています。
また、Vyatta 自身に対してフィルタを定義している場合(set interfaces ethernet eth0
firewall local の設定がされている場合)は peer 同士の IP アドレスを許可する設定が必要
となります。
- 26 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
5.2.
Vyatta での IPsec サイト間 VPN 接続手順書
Cisco RVS4000 の設定
1.
ローカルセキュリティゲー
トウェイのタイプを“IP とド
メ イ ン 名 (FQDN) に よ る 認
証”に設定します。
2.
ドメイン名にブランチ側デ
バ イ ス の ID ( こ の 例 で は
“branch”)を設定します。
3.
ローカルセキュリティのグ
ループを“サブネット”に設
定し、IP アドレスとサブネッ
トマスクにブランチ側のネ
ットワーク情報を入力しま
す。
1.
リモートセキュリティゲー
トウェイのタイプを“IP とド
メ イ ン 名 (FQDN) に よ る 認
証”に設定します。
2.
ドメイン名にクラウド側
Vyatta の ID(この例では
“cloud”)を設定します。
3.
IP ア ド レ ス に ク ラ ウ ド 側
Vyatta のグローバル IP ア
ドレスを入力します。
4.
リモートセキュリティグル
ープのタイプを“サブネッ
ト”にし、クラウド側ネット
ワークの情報を入力します。
- 27 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
Vyatta での IPsec サイト間 VPN 接続手順書
1.
キー入力モードを“事前共有
キー付き IKE”にし、暗号化、
認証、グループをそれぞれ設
定します。
2.
事前共有キーにクラウド側
Vyatta で設定した事前共有
キーを入力します。
- 28 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
Vyatta での IPsec サイト間 VPN 接続手順書
Vyatta Core 6.4 の場合
6.
クラウド側 Vyatta と(お客様用意、または IDC フロンティア クラウドサービス マネ
ージドタイプでご提供)の Vyatta を接続する場合は、以下の手順となります。
【注意】セルフタイプのアカウント間を接続する場合、同一ゾーン内での IPsec 接続はで
きません。ゾーン間での IPsec 接続が可能です。
(例:East⇔West 間)
6.1.
1.
クラウド側 Vyatta の設定
IPsec の通信に用いるインターフェースの設定
set vpn ipsec ipsec-interfaces interface eth0
(これは当社初期設定で投入されていますので設定の必要はありません。
)
2.
IKE グループの設定
set vpn ipsec ike-group IKE-G lifetime 3600
set vpn ipsec ike-group IKE-G proposal 1 encryption 3des
set vpn ipsec ike-group IKE-G proposal 1 hash md5
上記の例では IKE-G という名前の IKE グループを定義しています。 グループ名
(IKE-G の箇所)は任意のグループ名で置き換えて設定してください。
IKE の有効期限を 3600 秒(1 時間)
、暗号化アルゴリズムを 3DES、ハッシュアルゴ
リズムを MD5 としています。暗号化アルゴリズムとハッシュアルゴリズムは proposal
2、 proposal 3、として複数登録しておくことも可能です。
3.
ESP グループの設定
set vpn ipsec esp-group ESP-G lifetime 1800
set vpn ipsec esp-group ESP-G proposal 1 encryption 3des
set vpn ipsec esp-group ESP-G proposal 1 hash md5
上記の例では ESP-G という名前の ESP グループを定義しています。 グループ名
(ESP-G の箇所)は任意のグループ名で置き換えて設定してください。
ESP の有効期限を 1800 秒(30 分)、暗号化アルゴリズムを 3DES、ハッシュアルゴ
リズムを MD5 としています。IKE と同様、暗号化アルゴリズムとハッシュアルゴリズ
ムは proposal 2、 proposal 3、として複数登録しておくことも可能です。
4.
NAT トラバーサルの設定の有効化
set vpn ipsec nat-traversal enable
- 29 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
Vyatta での IPsec サイト間 VPN 接続手順書
(これは当社初期設定で投入されていますので設定の必要はありません。
)
5.
ブランチ側デバイスとの通信で用いる IKE グループと ESP グループを設定
set vpn ipsec site-to-site peer 198.51.100.1 ike-group IKE-G
set vpn ipsec site-to-site peer 198.51.100.1 default-esp-group ESP-G
上記の実行例のうち 198.51.100.1 は実際のブランチ側デバイスのグローバル IP アド
レスで置き換えてください。
(これ以降も同様に置き換えてください。
)
6.
接続で用いる認証方式を事前共有鍵方式に設定
set vpn ipsec site-to-site
pre-shared-secret
peer
198.51.100.1
set
vpn
ipsec
site-to-site
peer
pre-shared-secret my_shared_secret
authentication
198.51.100.1
mode
authentication
(※上記 2 つのコマンドは実際には 1 行で入力してください。
)
上 記 の 実 行 例 の う ち my_shared_secret の 部 分 は 実 際 の IPsec 事 前 共 有 鍵
[Pre-shared Secret]
(任意の文字列)で置き換えてください。
7.
自分自身(クラウド側 Vyatta)の ID と対向デバイス(ブランチ側デバイス)の ID
を設定
set vpn ipsec site-to-site peer 198.51.100.1 authentication id @cloud
set vpn ipsec site-to-site peer 198.51.100.1 authentication remote-id
@branch
(※上記のコマンドは実際には 1 行で入力してください。
)
ID の設定には ID の頭に “@(アットマーク)” を付加します。下記の実行例のうち
could と branch の部分は実際の値に置き換えてください。
8.
自分自身(クラウド側 Vyatta)の eth0 の IP アドレスを設定
set vpn ipsec site-to-site peer 198.51.100.1 local-ip 10.1.1.1
上記の実行例のうち 10.1.1.1 の部分は実際のクラウド側 Vyatta の eth0 の IP アド
レスの値に置き換えてください。
- 30 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
9.
Vyatta での IPsec サイト間 VPN 接続手順書
IPsec トンネルを通す宛先ネットワークと送信元ネットワークの対を設定
set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 local subnet
10.1.0.0/22
set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 remote subnet
192.168.1.0/24
(※上記 2 つのコマンドは実際には 1 行で入力してください。
)
上記の実行例のうち、192.168.1.0/24 は実際のブランチ側のネットワークに、それぞれ
置き換えてください。
10. ファイアウォールのルールを確認
set
set
set
set
firewall
firewall
firewall
firewall
name
name
name
name
FW_RULE
FW_RULE
FW_RULE
FW_RULE
rule
rule
rule
rule
100
100
110
110
action
source
action
source
accept
address 10.1.0.0/22
accept
address 192.168.1.0/24
192.168.1.0/24(ブランチ側)、 ルール番号 100 と 110 はそれぞれ実際の値に置き換
えてください。
もし eth0 で送受信時のフィルタを定義している場合はクラウド側のネットワークとブ
ランチ側のネットワークの双方で通信ができるためのルールが設定されている必要があ
ります。上記の例では FW_RULE という名前のファイアウォールルールセットにクラウ
ド側のネットワークアドレスとブランチ側のネットワークアドレスからのパケットを許
可する設定を追加しています。
- 31 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
Vyatta での IPsec サイト間 VPN 接続手順書
ブランチ側 Vyatta の設定
6.2.
ここでは以下の構成を例に説明します。
WAN 側の Ethernet インターフェース
1.
eth0
基本的にはクラウド側 Vyatta と同じ設定を行います。
(アドレスやネットワーク、 ID などの情報が入れ替わるだけです。
)
set
set
set
set
set
set
set
set
set
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
ipsec
ipsec
ipsec
ipsec
ipsec
ipsec
ipsec
ipsec
ipsec
esp-group ESP-G lifetime 1800
esp-group ESP-G proposal 1 encryption 3des
esp-group ESP-G proposal 1 hash md5
ike-group IKE-G lifetime 3600
ike-group IKE-G proposal 1 encryption 3des
ike-group IKE-G proposal 1 hash md5
ipsec-interfaces interface eth0
nat-traversal enable
site-to-site peer 192.0.2.1 authentication id @branch
set vpn ipsec site-to-site
pre-shared-secret
peer
set
vpn
ipsec
site-to-site
pre-shared-secret my_shared_secret
set
set
set
set
192.0.2.1
peer
authentication
192.0.2.1
mode
authentication
vpn ipsec site-to-site peer 192.0.2.1 authentication remote-id @cloud
vpn ipsec site-to-site peer 192.0.2.1 default-esp-group ESP-G
vpn ipsec site-to-site peer 192.0.2.1 ike-group IKE-G
vpn ipsec site-to-site peer 192.0.2.1 local-ip 10.1.1.1
set vpn ipsec
192.168.1.0/24
site-to-site
peer
192.0.2.1
tunnel
1
local
subnet
set vpn ipsec site-to-site peer 192.0.2.1 tunnel 1 remote subnet
10.1.0.0/22
(※上記 で 2 行のコマンドは実際には 1 行で入力してください。
)
ただし、 WAN 側で NAT を使用している場合は注意点があります。
Vyatta では IPsec を通すか通さないかの判断をする前の段階で、NAT のルールが適
用されてしまうため、 NAT ルールから、以下を除外する必要があります。
・
「宛先アドレスがクラウド側のネットワークアドレス」を除外
set nat source rule 1 destination address !10.1.0.0/22
仮に rule 1 として Source NAT が設定されている場合、上記のコマンドで「宛先アド
レスがクラウド側のネットワークアドレス」のパケットを NAT ルールから除外すること
ができます。
- 32 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
Vyatta での IPsec サイト間 VPN 接続手順書
お問合わせ
7.
サービスに関するお問合わせは、ポータル内のお問合わせチケットシステムを利用したオ
ンラインサポートをご利用ください。また、プレミアムサポート(有償オプション)をお申
し込みいただければ、お電話でのお問い合わせも可能となります。
※ただし、VPN に関する設定は、当社サポート範囲外となっておりますので、あらかじ
めご了承ください。設定サポートをご希望の場合、当社協力会社のご紹介が可能です。ご相
談ください。
その他、ポータルに関するお問い合わせ等も以下よりご相談ください。
項目
内容
オンラインサポート (標準)
[チケットシステム]
サービス問合せ
平日 09:00~17:00
故障問合せ
24 時間 365 日
プレミアムサポート (有償)
(※電話)
サービス・故障問合せ
平日 09:00~17:00
※プレミアムサポートは電話サポートが可能となるサービスです。
サポートコンテンツ
7.1.
サービス稼働状況の確認確認が可能です。
ご説明
操作方法
①サービス全体の故
障やメンテナンス
が無いか「サービス
稼動状況」でご確認
ください。
計画メンテナンスが
ある場合は、
「スケ
ジュールメンテナン
ス」に表示されます
- 33 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
Vyatta での IPsec サイト間 VPN 接続手順書
オンラインサポート
7.2.
FAQ などでも問題が解決しない場合は、問合せチケットにてお問合せください。
ご説明
操作方法
① サポート」-「問
い合わせチケッ
ト」にアクセスし
ます。
② 「新規チケット」
ボタンをクリック
します。
③ タイトルと説明に
お問い合わせ内容
を入力し「登録」を
クリック
※不具合のお問合わせの場合、OS や仮想マシン名(i から始まる
番号)
、テンプレート名、ブラウザなどの詳細情報を記載いただ
けますと、調査時間の短縮につながります。ご協力をお願いい
たします。
- 34 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
③
Vyatta での IPsec サイト間 VPN 接続手順書
チケットを登録す
ると、すぐにご登録
メ ー ル アド レ ス宛
てに、チケットが登
録 さ れ たこ と をメ
ー ル で お知 ら せし
ます。
その後、チケットが
更新される度に、メ
ー ル で お知 ら せし
ま す 。 更新 内 容は
「コメント」欄に記
載されますので、ポ
ー タ ル にロ グ イン
し な く ても 調 査結
果 を メ ール で 確認
す る こ とが 可 能で
す。
- 35 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
Vyatta での IPsec サイト間 VPN 接続手順書
プレミアムサポート
7.3.
プレミアムサポート(有償)を申し込むと、お電話での問合せが可能です。
ご説明
操作方法
① ダッシュボードの
プレミアムサポー
トサインアップか
らサインアップし
ます。
① 申し込みが完了す
ると、ダッシュボー
ドにプレミアムサ
ポートの情報が表
示されるようにな
ります。お電話での
問い合わせの際は、
サポート ID とサポ
ート PIN をスタッ
フにお伝え下さい。
※サポート ID とサ
ポート PIN が確認
できない場合お電
話でのお問い合わ
せは受けられませ
ん。
- 36 © IDC Frontier Inc. All Rights Reserved
クラウドサービス セルフタイプ
Vyatta での IPsec サイト間 VPN 接続手順書
改版履歴
改訂日
改訂章
改訂内容
2012 年 8 月 21 日
全章
新規作成
2013 年 2 月 6 日
1章
内容を追加
2013 年 2 月 26 日
7章
内容を編集
2013 年 2 月 27 日
1章
内容を追加
© IDC Frontier, Inc. All Rights Reserved.
クラウドサービス セルフタイプ
Vyatta での IPsec サイト間 VPN 接続手順書
クラウドサービス セルフタイプ
Vyatta での IPsec サイト間 VPN 接続手順書
マニュアル
Ver.1.2
発行日:2013 年 2 月 27 日
株式会社 IDC フロンティア
〒160-0004 東京都新宿区四谷 4-29
http://www.idcf.jp/
CS-PUB-M0101-ET
© IDC Frontier, Inc. All Rights Reserved.
Fly UP