Comments
Description
Transcript
Vyatta での IPsec サイト間 VPN 接続手順書
クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 サービスマニュアル Ver.1.2 2013 年 2 月 27 日 株式会社 IDC フロンティア 目次 1. はじめに ........................................................................................................................... 1 1.1. IPsec 接続確認機器.......................................................................................................... 1 1.2. 必要な情報 と 構成図(例) .......................................................................................... 3 1.3. ご注意点 ........................................................................................................................... 4 1.4. セルフポータルでの作業手順 .......................................................................................... 5 1.4.1. Vyatta マシンの作成 ............................................................................................ 5 1.4.2. ネットワークの設定 ............................................................................................ 8 1.5. Vyatta の基本コマンド ................................................................................................... 10 2. SSG550M の場合 ..........................................................................................................11 2.1. クラウド側 Vyatta の設定 ............................................................................................ 11 2.2. SSG550M の設定 .......................................................................................................... 14 3. YAMAHA RTX1200 の場合 ........................................................................................... 16 3.1. クラウド側 Vyatta の設定 ............................................................................................ 16 3.2. YAMAHA RTX1200 の設定 ........................................................................................... 19 4. Cisco7301 の場合 ......................................................................................................... 20 4.1. クラウド側 Vyatta の設定 ............................................................................................ 20 4.2. Cisco7301 の設定.......................................................................................................... 23 5. Cisco RVS4000 の場合................................................................................................. 24 5.1. クラウド側 Vyatta の設定 ............................................................................................ 24 5.2. Cisco RVS4000 の設定 ................................................................................................. 27 6. Vyatta Core 6.4 の場合 ................................................................................................. 29 6.1. クラウド側 Vyatta の設定 ............................................................................................ 29 6.2. ブランチ側 Vyatta の設定 ............................................................................................ 32 7. お問合わせ .................................................................................................................... 33 7.1. サポートコンテンツ ....................................................................................................... 33 7.2. オンラインサポート ....................................................................................................... 34 7.3. プレミアムサポート ....................................................................................................... 36 クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 はじめに 1. この文書では当社クラウド環境の Vyatta と IPsec 接続の確認が取れた機器に関して、そ の接続のための設定手順について記載します。なお、お客様環境により接続条件等は変わっ てくるため、接続できることを保証しているものではありません。 VPN の設定はお客様にて行っていただく必要がございます。 Vyatta マニュアルのダウンロード http://www.vyatta.com/download/documentation 設定サポートをご希望の場合、当社協力会社のご紹介が可能です。ご相談下さい。 この文書では、クラウド側に設置された Vyatta を「クラウド側 Vyatta」、クラウド側 Vyatta に対向するブランチ側に設置されたデバイスを「ブランチ側デバイス」と表現しま す。 1.1. 想定している接続例 ブランチ側 クラウド側 1. お客様オフィス セルフタイプ 2. IDCF クラウド マネージドタイプ セルフタイプ 3. IDCF クラウド セルフタイプ セルフタイプ アカウント間※ ※【注意】セルフタイプのアカウント間を接続する場合、同一ゾーン内での IPsec 接続 はできません。ゾーン間での IPsec 接続が可能です。(例:East⇔West 間) -1© IDC Frontier Inc. All Rights Reserved. クラウドサービス セルフタイプ 1.2. Vyatta での IPsec サイト間 VPN 接続手順書 IPsec 接続確認機器 現時点で当社にて IPsec 接続確認を行っている機器は下記になります。 [機器名] [OS] Juniper SSG550M ScreenOS 6.1 YAMAHA RTX1200 Firmware Version 10.01.38 Cisco7301 IOS 12.4(25f) Cisco RVS4000 Firmware Version 2.0.2.7 Vyatta Core VC6.4-2012.05.31 -2© IDC Frontier Inc. All Rights Reserved Vyatta での IPsec サイト間 VPN 接続手順書 クラウドサービス セルフタイプ 1.3. 必要な情報 と 構成図(例) 設定には下記のような情報が必要となります。 この文書では、下記構成を例として説明します。 設定する際、これらの値は実際の環境で置き換えて設定してください。 ブ ラ ン チ 側 ブランチ側デバイスのプライ ベート IP に NAT されるグ ローバル IP の場合もある ・任意の文字列。 ・YAMAHA RTX1200 と Cisco7301 の場合は不要 デバイスのグローバル IP アドレス 198.51.100.1 デバイスの ID branch ネットワークアドレス 192.168.1.0/24 192.168.1.0/24 任意 ブランチ側デバイス @branch [機器:SSG / YAMAHA/ Cisco/ Vyatta・・・] 198.51.100.1 IPsec Internet ・my_shared_secret ・3DES/MD5 192.0.2.1 10.1.0.0/22 クラウド側 Vyatta @cloud 10.1.1.1 ク ラ ウ ド 側 Vyatta に NAT されるグローバル IP アドレス 192.0.2.1 ポータルから取得 Vyatta の eth0 の IP アドレス 10.1.1.1 ポータルで確認 Vyatta の ID cloud ・任意の文字列 ・YAMAHA RTX1200 の場合は不要 ネットワークアドレス 10.1.0.0/22 固定 ※セルフタイプのプライベート IP のサブネットは/22 です。 -3© IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 IPsec 事前共有鍵(Pre-shared Secret) my_shared_secret 任意の文字列 IKE で用いる暗号化アルゴリズムとハッシュアルゴリズム 3DES/MD5 任意 ESP で用いる暗号化アルゴリズムとハッシュアルゴリズム 3DES/MD5 任意 ご注意点 1.4. 当社クラウド環境側の各仮想マシンでは、対向拠点側のプライベートネットワーク (ブランチ側のネットワークアドレス)宛についてのスタティックルートを Vyatta 向けに設定する必要があります。 YAMAHA のような IPsec の前にトンネリングが行われるような構成の場合には、 そのトンネリングに使われる通信を許可する必要があります。 ブランチ側ネットワークまでの途中経路の機器が Path-MTU discovery に対応して いない場合、IPsec セッションは張れているのに大きいサイズのパケットが通信で きないという現象が起きる可能性があります。具体的には途中経路の機器が ICMP Type=3(Destination Unreachable) Code=4(fragmentation needed and DF set)を 返してこない場合に Path-MTU discovery が行えず、MTU サイズを超えるパケッ トが破棄される形となってしまいます。その際には、MTU サイズを変えていただ くか、上記 ICMP メッセージが正しく届くように途中経路でのフィルタの見直し等 をしていただく必要があります。 -4© IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 セルフポータルでの作業手順 1.5. セルフポータルにログインします。 https://noahcloud.jp/portal 1.5.1. Vyatta マシンの作成 ご説明 操作方法 ① Vyatta 用のマシンを作成 します。 ダッシュボードから「仮想マ シンを作成」ボタンをクリッ ク。 ② テンプレートから 「[LATEST]Vyatta Core 6.4 32bit (Software Router)」を 選択。 ③ VM タ イ プ を 選 択 し ま す。Vyatta 用のマシンに は S2 以上を推奨いたし ます。 ※作成後にスペックの変 更が可能ですが、変更に はマシンの停止が必要で す。 ④ ディスクを選択します。 注意! ・ クレジットカードの場合は、お支払い情 -5© IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ ご説明 ⑤ Vyatta での IPsec サイト間 VPN 接続手順書 操作方法 仮想マシン名とグループ 名を任意で設定します。 (後で変更可能です) SSH Keyの設定をします。 SSH Key名を任意で指定 して、選択項目からKeyを Vyatta用マシン作成時は、基本的には以下から選択します。 選択します。 [SSH鍵選択] ・過去に作成した鍵と同じ鍵を利用する場合 [SSH鍵生成] ・ 新たに鍵を作成する場合 ※画面に表示されるKey情報は必ずファイルに保存してください。 この画面でしか表示されません。 [アップロード] ・ 既存の鍵をアップロードする場合 ※当社ではセキュリティ上、公開鍵認証を推奨しておりますが、公開鍵認 証を使用しない場合は[SSH鍵なし]を選択してください。(その場合、デ フォルトでは外部からのSSH接続が許可されておりませんので、コンソー ルからのログインが必要となります。) ⑥ マシン情報をご確認の 上、契約約款に同意しま すにチェックを入れ、「申 し込み」をクリックすると、 マシン作成が開始しま 「仮想マシン実行処理中・・・・」 というメッセージが表示され、仮想マシン の作成が始まります。 す。 マシンサイズにもよりますが、5分程度で作成が完了します。 ※1台目の仮想マシンを作成する時は30分前後かかる場合があります。 ※作成中に「仮想マシンリスト」ページに移動することは可能 ですが、マシンステータスが 「Starting」から「Running」に変 わるまで操作はできません。 -6© IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ ⑦ Vyatta での IPsec サイト間 VPN 接続手順書 仮想マシンの作成が完了 すると、画面にパスワード が表示されます。 ※仮想マシンのログイン ID は「vyatta」となります。 ※このパスワードを忘れても、パスワードリセットで再設定が可能ですが、 パスワードリセットは仮想マシンの再起動を伴います。 ⑧ [リソース]→[仮想マ シン]の画面で、作成し た仮想マシンのステー タスが“Running”にな っていれば仮想マシン 作成の完了です。 -7© IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ 1.5.2. ネットワークの設定 ご説明 ① Vyatta での IPsec サイト間 VPN 接続手順書 操作方法 [リソース]タブから[ネット ワーク]を開きます。 ② VPN接続に使用する グローバルIPアドレスを取 得します。(有償) [IPアドレス取得]をクリッ ク。 ※ソースと書かれているIPアド レスはVyatta用には使用しない でください。Vyattaではグロー バルIPとプライベートIPが1対1 に紐付られている必要がありま すが、ソースのIPは、仮想マシ ンと1対1に紐付け(スタティック NAT)が設定できません。 ③ 追加されたIPアドレスを選 択します。 -8© IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ ④ Vyatta での IPsec サイト間 VPN 接続手順書 [詳細]タブの「スタティッ クNAT有効化」をクリックし ます。 ※[ポートフォワーディン グ]や[ロードバランサー] で設定しないでください ⑤ 「確認」をクリックします。 ⑥ [ファイアウォール]タブを 選択し、設定を行います。 ※全てのプロトコル、ポートが 閉じられた状態から、設定した 部分のみが開放されます。 以下の設定を行います。 ICMP ICMPタイプ: 3 UDP ポート: 500番 と 4500番 TCP ポート: 22番 ICMPコード: 4 [VPN用] [SSH用] ※ソースCIDR : 許可する接続元CIDRを指定 IPアドレス単位の場合は /32 で設定 複数 CIDR の場合は「カンマ」区切りで設定 -9© IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 Vyatta の基本コマンド 1.6. Vyatta の CUI での基本コマンドは以下となります。 モードの移行方法 [ configure ]: Operational Mode から Configuration Mode へ移行します。 [ exit ] : Configuration Mode から Operational Mode へ戻ります。 Vyatta には 2 種類のモードがあります。 ・ Operational Mode (ログイン時のモード。参照モード) ・ Configuration Mode (設定ファイルの編集を行うモード) 設定の保存方法 [ commit ] : 設定の反映 [ save ] : 設定の保存。commit で反映させた後に使用します。 ※commit だけでは、 マシン再起動後に設定が消えてしまいます。 設定方法 設定手順(検証例)は、次項よりご案内します。 はじめにクラウド側 Vyatta の設定手順を説明し、その後それぞれの対向と なるデバイスの設定手順を説明します。 - 10 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 SSG550M の場合 2. 以下の設定を行います。 クラウド側 Vyatta の設定 2.1. 1. IPsec の通信に用いるインターフェースの設定 set vpn ipsec ipsec-interfaces interface eth0 (これは当社初期設定で投入されていますので設定の必要はありません。 ) 2. IKE グループの設定 set vpn ipsec ike-group IKE-G lifetime 3600 set vpn ipsec ike-group IKE-G proposal 1 encryption 3des set vpn ipsec ike-group IKE-G proposal 1 hash md5 上記の例では IKE-G という名前の IKE グループを定義しています。グループ名 (IKE-G の箇所)は任意のグループ名で置き換えて設定してください。 IKE の有効期限を 3600 秒(1 時間)、暗号化アルゴリズムを 3DES、ハッシュアルゴ リズムを MD5 としています。暗号化アルゴリズムとハッシュアルゴリズムは proposal 2、 proposal 3、として複数登録しておくことも可能です。 3. ESP グループの設定 set vpn ipsec esp-group ESP-G lifetime 1800 set vpn ipsec esp-group ESP-G proposal 1 encryption 3des set vpn ipsec esp-group ESP-G proposal 1 hash md5 上記の例では ESP-G という名前の ESP グループを定義しています。 グループ名 (ESP-G の箇所)は任意のグループ名で置き換えて設定してください。 ESP の有効期限を 1800 秒(30 分)、暗号化アルゴリズムを 3DES、ハッシュアルゴ リズムを MD5 としています。IKE と同様、暗号化アルゴリズムとハッシュアルゴリズ ムは proposal 2、 proposal 3、として複数登録しておくことも可能です。 - 11 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ 4. Vyatta での IPsec サイト間 VPN 接続手順書 NAT トラバーサルの設定の有効化 set vpn ipsec nat-traversal enable (これは当社初期設定で投入されていますので設定の必要はありません。 ) 5. ブランチ側デバイスとの通信で用いる IKE グループと ESP グループを設定 set vpn ipsec site-to-site peer 198.51.100.1 ike-group IKE-G set vpn ipsec site-to-site peer 198.51.100.1 default-esp-group ESP-G 上記の実行例のうち 198.51.100.1 は実際のブランチ側デバイスのグローバル IP アド レスで置き換えてください。 (これ以降も同様に置き換えてください。 ) 6. 接続で用いる認証方式を事前共有鍵方式に設定 set vpn ipsec site-to-site pre-shared-secret peer 198.51.100.1 set vpn ipsec site-to-site peer pre-shared-secret my_shared_secret authentication 198.51.100.1 mode authentication (※上記 2 つのコマンドは実際にはそれぞれ 1 行で入力してください。 ) 上 記 の 実 行 例 の う ち my_shared_secret の 部 分 は 実 際 の IPsec 事 前 共 有 鍵 [Pre-shared Secret] (任意の文字列)で置き換えてください。 7. 自分自身(クラウド側 Vyatta)の ID と対向デバイス(ブランチ側デバイス)の ID を設定 set vpn ipsec site-to-site peer 198.51.100.1 authentication id @cloud set vpn ipsec site-to-site peer 198.51.100.1 authentication remote-id @branch (※実際には 1 行で入力してください。 ) ID の設定には ID の頭に “@(アットマーク)” を付加します。上記の実行例のうち could と branch の部分は実際の値に置き換えてください。 - 12 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ 8. Vyatta での IPsec サイト間 VPN 接続手順書 自分自身(クラウド側 Vyatta)の eth0 の IP アドレスを設定 set vpn ipsec site-to-site peer 198.51.100.1 local-ip 10.1.1.1 上記の実行例のうち 10.1.1.1 の部分は実際のクラウド側 Vyatta の eth0 の IP アド レスの値に置き換えてください。 9. IPsec トンネルを通す宛先ネットワークと送信元ネットワークの対を設定 set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 local subnet 10.1.0.0/22 set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 remote subnet 192.168.1.0/24 (※上記 2 つのコマンドは実際にはそれぞれ 1 行で入力してください。 ) 上記の実行例のうち、 192.168.1.0/24 は実際のブランチ側のネットワークに置き換え てください。 10. ファイアウォールのルールを確認 set set set set firewall firewall firewall firewall name name name name FW_RULE FW_RULE FW_RULE FW_RULE rule rule rule rule 100 100 110 110 action source action source accept address 10.1.0.0/22 accept address 192.168.1.0/24 192.168.1.0/24(ブランチ側)、 ルール番号 100 と 110 はそれぞれ実際の値に置き換 えてください。 もし eth0 に対して送受信時のフィルタを定義している場合(set interfaces ethernet eth0 firewall in の設定がされている場合)は、クラウド側のネットワークとブランチ側の ネットワークの双方で通信ができるためのルールが設定されている必要があります。 上記の例では FW_RULE という名前のファイアウォールルールセットに、クラウド側 のネットワークアドレスとブランチ側のネットワークアドレスからのパケットを許可す る設定を追加しています。 また、Vyatta 自身に対してフィルタを定義している場合(set interfaces ethernet eth0 firewall local の設定がされている場合)は peer 同士の IP アドレスを許可する設定が必要 となります。 - 13 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ 2.2. Vyatta での IPsec サイト間 VPN 接続手順書 SSG550M の設定 ここでは以下の構成を例に説明します。 トンネルインターフェース tunne1.1 WAN 側の Ethernet インターフェース ethernet0/2 VPN 設定 ID 0x1 IKE 設定名 ike_cloud VPN 設定名 vpn_cloud すでに複数の IPsec サイト間接続 VPN の設定がされている場合は、すでにトンネル インターフェース tunnel.1 と VPN 設定 ID 0x1 が使用されている可能性があります。 そのときは tunnel.2、 tunnel.3、や 0x2、 0x3 で適宜置き換えてください。 1. トンネルインターフェースのゾーンを “Untrust” に設定 set interface "tunnel.1" zone "Untrust" 2. トンネルインターフェースと WAN 側インターフェースの対応付け set interface tunnel.1 ip unnumbered interface ethernet0/2 3. IKE の設定 set ike gateway "ike_cloud" address 192.0.2.1 id "branch" Main local-id "cloud" outgoing-interface "ethernet0/2" preshare "my_shared_secret" proposal "pre-g2-3des-md5" (※実際には 1 行で入力してください。 ) 上記で例として書かれてある箇所を、以下の( )の内容の実際の値に置き換えて設定し てください。 ・ike_cloud ( IKE 設定名) ・192.0.2.1 (クラウド側 Vyatta に NAT されるグローバル IP アドレス) ・branch (ブランチ側デバイスの ID) ・cloud (クラウド側 Vyatta の ID) ・ethernet0/2 (WAN 側の Ethernet インターフェース) ・my_shared_secet(IPsec 事前共有鍵[Pre-shared Secret](任意の文字列)) ・pre-g2-3des-md5 (IKE で用いる暗号化アルゴリズムとハッシュアルゴリズムに対応する値) - 14 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ 4. Vyatta での IPsec サイト間 VPN 接続手順書 NAT トラバーサルの設定 set ike gateway "ike_cloud" nat-traversal set ike gateway "ike_cloud" nat-traversal udp-checksum set ike gateway "ike_cloud" nat-traversal keepalive-frequency 5 NAT のステータスを保持するためキープアライブの設定も行います。 上記の例では 5 秒間隔で実施します。 5. VPN の設定 set vpn "vpn_cloud" gateway "ike_cloud" no-replay tunnel idletime 0 proposal "g2-esp-3des-md5" (※実際には 1 行で入力してください。 ) 上記の例で、 vpn_cloud は VPN 設定名に、 g2-esp-3des-md5 は ESP で用いる暗号 化アルゴリズムとハッシュアルゴリズムに対応する値に、それぞれ置き換えてください。 6. VPN の設定をトンネルインターフェースとバインド set vpn "vpn_cloud" id 0x1 bind interface tunnel.1 set vpn "vpn_cloud" 10.1.0.0/22 "ANY" proxy-id local-ip 192.168.1.0/24 remote-ip (※上記 2 つのコマンドは実際にはそれぞれ 1 行で入力してください。 ) 上記の例で、 0x1 は実際の VPN 設定 ID に、 192.168.1.0/24 はブランチ側のネッ トワークアドレスに、それぞれ置き換えてください。 7. 宛先アドレスがクラウド側のネットワークとなっているパケットが上記で作成したトン ネルを通るようルーティングの設定 set route 10.1.0.0/22 interface tunnel.1 - 15 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 YAMAHA RTX1200 の場合 3. YAMAHA RTX1200 では、 NAT-Traversal 機能を利用し、 ID と IP アドレスが一致 しない構成で IPsec を利用したい場合、 IKE phase 1 で Aggressive mode しかサポー トしていません。一方 Vyatta は Main mode しかサポートしていません。 そのため IPIP トンネルを設定し、そのうえで IPsec トンネルを設定する必要がありま す。 ※なお、当社ポータルの[ファイアウォール]では、IPIP 通信のフィルタ解除の設定が 出来ません。しかし、Vyatta から対向機器に対し VPN 通信を行ったタイミングで、動的 に当社ファイアウォールでの IPIP 通信のフィルタが解除される為、対向側からの VPN 通 信も到達可能となります。 以下の例では IPIP トンネルの対向 IP アドレスを 192.168.123.1/24(クラウド側 Vyatta)と 192.168.123.2/24(ブランチ側 YAMAHA RTX1200)として設定しています。 これらの値は適宜置き換えて設定してください。 クラウド側 Vyatta の設定 3.1. 1. IPIP トンネルの設定を行います。 set set set set set interfaces interfaces interfaces interfaces interfaces tunnel tunnel tunnel tunnel tunnel tun0 tun0 tun0 tun0 tun0 address 192.168.123.1/24 encapsulation ipip local-ip 10.1.1.1 mtu 1422 remote-ip 198.51.100.1 上記の実行例のうち、10.1.1.1 はクラウド側 Vyatta の eth0 の IP アドレスに、 198.51.100.1 は実際のブランチ側デバイスのグローバル IP アドレスに、それぞれ置き換 えてください。 2. IPsec の通信に用いるインターフェースの設定 set vpn ipsec ipsec-interfaces interface eth0 (これは当社初期設定で投入されていますので設定の必要はありません。 ) - 16 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ 3. Vyatta での IPsec サイト間 VPN 接続手順書 IKE グループの設定 set vpn ipsec ike-group IKE-G lifetime 3600 set vpn ipsec ike-group IKE-G proposal 1 encryption 3des set vpn ipsec ike-group IKE-G proposal 1 hash md5 上記の例では IKE-G という名前の IKE グループを定義しています。 グループ名 (IKE-G の箇所)は任意のグループ名で置き換えて設定してください。 IKE の有効期限を 3600 秒(1 時間)、暗号化アルゴリズムを 3DES、ハッシュアルゴ リズムを MD5 としています。暗号化アルゴリズムとハッシュアルゴリズムは proposal 2、 proposal 3、として複数登録しておくことも可能です。 4. ESP グループの設定 set vpn ipsec esp-group ESP-G lifetime 1800 set vpn ipsec esp-group ESP-G proposal 1 encryption 3des set vpn ipsec esp-group ESP-G proposal 1 hash md5 上記の例では ESP-G という名前の ESP グループを定義しています。 グループ名 (ESP-G の箇所)は任意のグループ名で置き換えて設定してください。 ESP の有効期限を 1800 秒(30 分)、暗号化アルゴリズムを 3DES、ハッシュアルゴ リズムを MD5 としています。IKE と同様、暗号化アルゴリズムとハッシュアルゴリズ ムは proposal 2、 proposal 3、として複数登録しておくことも可能です。 5. ブランチ側デバイスとの通信で用いる IKE グループと ESP グループを設定 set vpn ipsec site-to-site peer 192.168.123.2 ike-group IKE-G set vpn ipsec site-to-site peer 192.168.123.2 default-esp-group ESP-G 6. 接続で用いる認証方式を事前共有鍵方式に設定 set vpn ipsec site-to-site peer pre-shared-secret 192.168.123.2 authentication mode set vpn ipsec site-to-site peer pre-shared-secret my_shared_secret 192.168.123.2 authentication (※上記 2 つのコマンドは実際には 1 行で入力してください。) 上 記 の 実 行 例 の う ち my_shared_secret の 部 分 は 実 際 の IPsec 事 前 共 有 鍵 [Pre-shared Secret] (任意の文字列)で置き換えてください。 - 17 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ 7. Vyatta での IPsec サイト間 VPN 接続手順書 自分自身(クラウド側 Vyatta)の tun0 の IP アドレスを設定 set vpn ipsec site-to-site peer 192.168.123.2 local-ip 192.168.123.1 上記の実行例のうち 192.168.123.1 の部分は実際のクラウド側 Vyatta の tun0 の IP アドレスの値に置き換えてください。 8. IPsec トンネルを通す宛先ネットワークと送信元ネットワークの対を設定 set vpn ipsec site-to-site peer 192.168.123.2 tunnel 1 local subnet 10.1.0.0/22 set vpn ipsec site-to-site peer 192.168.123.2 tunnel 1 remote subnet 192.168.1.0/24 (※上記 2 つのコマンドは実際には 1 行で入力してください。 ) 上記の実行例のうち、192.168.1.0/24 は実際のブランチ側のネットワークに置き換えて ください。 9. ファイアウォールのルールを確認 set set set set firewall firewall firewall firewall name name name name FW_RULE FW_RULE FW_RULE FW_RULE rule rule rule rule 100 100 110 110 action source action source accept address 10.1.0.0/22 accept address 192.168.1.0/24 192.168.1.0/24(ブランチ側)、 ルール番号 100 と 110 はそれぞれ実際の値に置き換 えてください。 もし eth0 に対して送受信時のフィルタを定義している場合(set interfaces ethernet eth0 firewall in の設定がされている場合)は、クラウド側のネットワークとブランチ側の ネットワークの双方で通信ができるためのルールが設定されている必要があります。 上記の例では FW_RULE という名前のファイアウォールルールセットに、クラウド側 のネットワークアドレスとブランチ側のネットワークアドレスからのパケットを許可す る設定を追加しています。 また、Vyatta 自身に対してフィルタを定義している場合(set interfaces ethernet eth0 firewall local の設定がされている場合)は peer 同士の IP アドレスを許可する設定が必要 となります。 - 18 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ 3.2. 1. Vyatta での IPsec サイト間 VPN 接続手順書 YAMAHA RTX1200 の設定 IPIP トンネルの設定を行います。 tunnel select 1 tunnel encapsulation ipip tunnel endpoint address 192.168.123.1 192.0.2.1 ip tunnel address 192.168.123.2/24 tunnel enable 1 上記の例で 192.0.2.1 はクラウド側 Vyatta のグローバル IP アドレスに置き換えて ください。 2. IPsec の設定 tunnel select 2 ipsec tunnel 2 ipsec sa policy 2 2 esp 3des-cbc md5-hmac ipsec ike duration ipsec-sa 2 1800 ipsec ike encryption 2 3des-cbc ipsec ike group 2 modp1024 ipsec ike hash 2 md5 ipsec ike keepalive use 2 on icmp-echo 10.1.1.1 ipsec ike local address 2 192.168.123.2 ipsec ike pre-shared-key 2 text my_shared_secret ipsec ike remote address 2 192.168.123.1 tunnel enable 2 ipsec auto refresh on IPIP トンネル上で NAT-Traversal を利用しない IPsec トンネルを設定する場合、 IPIP トンネルのセッションがタイムアウトすることで通信ができなくなる可能性があり ます。そのため ipsec ike keepalive コマンドでキープアライブの設定を行います。以下 の例で 10.1.1.1 はクラウド側 Vyatta の eth0 の IP アドレスに置き換えてください。 3. クラウド側のネットワーク宛てのパケットが IPsec トンネルを通るようルーティングの 設定 ip route 10.1.0.0/22 gateway tunnel 2 - 19 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 Cisco7301 の場合 4. 以下の設定を行います。 4.1. 1. クラウド側 Vyatta の設定 IPsec の通信に用いるインターフェースの設定 set vpn ipsec ipsec-interfaces interface eth0 (これは当社初期設定で投入されていますので設定の必要はありません。 ) 2. IKE グループの設定 set vpn ipsec ike-group IKE-G lifetime 3600 set vpn ipsec ike-group IKE-G proposal 1 encryption 3des set vpn ipsec ike-group IKE-G proposal 1 hash md5 上記の例では IKE-G という名前の IKE グループを定義しています。 グループ名 (IKE-G の箇所)は任意のグループ名で置き換えて設定してください。 IKE の有効期限を 3600 秒(1 時間)、暗号化アルゴリズムを 3DES、ハッシュアル ゴ リ ズ ム を MD5 と し て い ま す 。 暗 号 化 ア ル ゴ リ ズ ム と ハ ッ シ ュ ア ル ゴ リ ズ ム は proposal 2、 proposal 3、として複数登録しておくことも可能です。 3. ESP グループの設定 set vpn ipsec esp-group ESP-G lifetime 1800 set vpn ipsec esp-group ESP-G proposal 1 encryption 3des set vpn ipsec esp-group ESP-G proposal 1 hash md5 上記の例では ESP-G という名前の ESP グループを定義しています。グループ名 (ESP-G の箇所)は任意のグループ名で置き換えて設定してください。 ESP の有効期限を 1800 秒(30 分)、暗号化アルゴリズムを 3DES、ハッシュアルゴ リズムを MD5 としています。IKE と同様、暗号化アルゴリズムとハッシュアルゴリズ ムは proposal 2、 proposal 3、として複数登録しておくことも可能です。 - 20 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ 4. Vyatta での IPsec サイト間 VPN 接続手順書 NAT トラバーサルの設定を有効化 set vpn ipsec nat-traversal enable (これは当社初期設定で投入されていますので設定の必要はありません。 ) 5. ブランチ側デバイスとの通信で用いる IKE グループと ESP グループを設定 set vpn ipsec site-to-site peer 198.51.100.1 ike-group IKE-G set vpn ipsec site-to-site peer 198.51.100.1 default-esp-group ESP-G 上記の実行例のうち 198.51.100.1 は実際のブランチ側デバイスのグローバル IP アド レスで置き換えてください。 (これ以降も同様に置き換えてください。 ) 6. 接続で用いる認証方式を事前共有鍵方式に設定 set vpn ipsec site-to-site pre-shared-secret peer 198.51.100.1 set vpn ipsec site-to-site peer pre-shared-secret my_shared_secret authentication 198.51.100.1 mode authentication (※上記 2 つのコマンドは実際には 1 行で入力してください。 ) 上 記 の 実 行 例 の う ち my_shared_secret の 部 分 は 実 際 の IPsec 事 前 共 有 鍵 [Pre-shared Secret] (任意の文字列)で置き換えてください。 7. 自分自身(クラウド側 Vyatta)の ID を設定 set vpn ipsec site-to-site peer 198.51.100.1 authentication id @cloud ID の設定には ID の頭に “@(アットマーク)” を付加します。下記の実行例のうち could の部分は実際の値に置き換えてください。 - 21 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ 8. Vyatta での IPsec サイト間 VPN 接続手順書 自分自身(クラウド側 Vyatta)の eth0 の IP アドレスを設定 set vpn ipsec site-to-site peer 198.51.100.1 local-ip 10.1.1.1 上記の実行例のうち 10.1.1.1 の部分は実際のクラウド側 Vyatta の eth0 の IP アド レスの値に置き換えてください。 9. IPsec トンネルを通す宛先ネットワークと送信元ネットワークの対を設定 set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 local subnet 10.1.0.0/22 set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 remote subnet 192.168.1.0/24 (※上記 2 つのコマンドは実際には 1 行で入力してください。 ) 上記の実行例のうち、198.51.100.1 は実際のブランチ側デバイスのグローバル IP アド レスに、192.168.1.0/24 は実際のブランチ側のネットワークに、それぞれ置き換えてくだ さい。 10. 最後にファイアウォールのルールを確認 set set set set firewall firewall firewall firewall name name name name FW_RULE FW_RULE FW_RULE FW_RULE rule rule rule rule 100 100 110 110 action source action source accept address 10.1.0.0/22 accept address 192.168.1.0/24 192.168.1.0/24(ブランチ側)、 ルール番号 100 と 110 はそれぞれ実際の値に置き換 えてください。 もし eth0 に対して送受信時のフィルタを定義している場合(set interfaces ethernet eth0 firewall in の設定がされている場合)は、クラウド側のネットワークとブランチ側の ネットワークの双方で通信ができるためのルールが設定されている必要があります。 上記の例では FW_RULE という名前のファイアウォールルールセットにクラウド側の ネットワークアドレスとブランチ側のネットワークアドレスからのパケットを許可する 設定を追加しています。192.168.1.0/24、 ルール番号 100 と 110 はそれぞれ実際の値に 置き換えてください。 また、Vyatta 自身に対してフィルタを定義している場合(set interfaces ethernet eth0 firewall local の設定がされている場合)は、peer 同士の IP アドレスを許可する設定が必 要となります。 - 22 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ 4.2. 1. Vyatta での IPsec サイト間 VPN 接続手順書 Cisco7301 の設定 IKE の設定 crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key my_shared_secret address 192.0.2.1 crypto isakmp nat keepalive 20 上記の例で 192.0.2.1 はクラウド側 Vyatta のグローバル IP アドレスに置き換えて ください。 2. IPsec のポリシーを設定 crypto ipsec transform-set myset esp-3des esp-md5-hmac 上記の例では myset という名前(任意)でポリシーを定義しています。 3. 対向の ID を定義 crypto identity cloudid fqdn cloud 上記の例では cloudid という名前(任意)で cloud という ID を設定しています。 4. IPsec ピアの設定 crypto map myvpn 10 ipsec-isakmp set peer 192.0.2.1 set transform-set myset set identity cloudid match address 101 上記の例では myvpn という名前(任意)で設定しています。 5. IPsec トンネルを通す IP パケットの定義 access-list 101 permit ip 192.168.1.0 0.0.0.255 10.1.0.0 0.0.3.255 - 23 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 Cisco RVS4000 の場合 5. 以下の設定を行います。 5.1. 1. クラウド側 Vyatta の設定 IPsec の通信に用いるインターフェースの設定 set vpn ipsec ipsec-interfaces interface eth0 (これは当社初期設定で投入されていますので設定の必要はありません。 ) 2. IKE グループの設定 set vpn ipsec ike-group IKE-G lifetime 3600 set vpn ipsec ike-group IKE-G proposal 1 encryption 3des set vpn ipsec ike-group IKE-G proposal 1 hash md5 上記の例では IKE-G という名前の IKE グループを定義しています。グループ名 (IKE-G の箇所)は任意のグループ名で置き換えて設定してください。 IKE の有効期限を 3600 秒(1 時間)、暗号化アルゴリズムを 3DES、ハッシュアル ゴ リ ズ ム を MD5 と し て い ま す 。 暗 号 化 ア ル ゴ リ ズ ム と ハ ッ シ ュ ア ル ゴ リ ズ ム は proposal 2、 proposal 3、として複数登録しておくことも可能です。 3. ESP グループの設定 set vpn ipsec esp-group ESP-G lifetime 1800 set vpn ipsec esp-group ESP-G proposal 1 encryption 3des set vpn ipsec esp-group ESP-G proposal 1 hash md5 上記の例では ESP-G という名前の ESP グループを定義しています。 グループ名 (ESP-G の箇所)は任意のグループ名で置き換えて設定してください。 ESP の有効期限を 1800 秒(30 分)、暗号化アルゴリズムを 3DES、ハッシュアルゴ リズムを MD5 としています。IKE と同様、暗号化アルゴリズムとハッシュアルゴリズ ムは proposal 2、 proposal 3、として複数登録しておくことも可能です。 4. NAT トラバーサルの設定の有効化 set vpn ipsec nat-traversal enable (これは当社初期設定で投入されていますので設定の必要はありません。 ) - 24 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ 5. Vyatta での IPsec サイト間 VPN 接続手順書 ブランチ側デバイスとの通信で用いる IKE グループと ESP グループを設定 set vpn ipsec site-to-site peer 198.51.100.1 ike-group IKE-G set vpn ipsec site-to-site peer 198.51.100.1 default-esp-group ESP-G 上記の実行例のうち 198.51.100.1 は実際のブランチ側デバイスのグローバル IP アド レスで置き換えてください。 (これ以降も同様に置き換えてください。 ) 6. 接続で用いる認証方式を事前共有鍵方式に設定 set vpn ipsec site-to-site pre-shared-secret peer 198.51.100.1 set vpn ipsec site-to-site peer pre-shared-secret my_shared_secret authentication 198.51.100.1 mode authentication (※上記 2 つのコマンドは実際には 1 行で入力してください。 ) 上 記 の 実 行 例 の う ち my_shared_secret の 部 分 は 実 際 の IPsec 事 前 共 有 鍵 [Pre-shared Secret] (任意の文字列)で置き換えてください。 7. 自分自身(クラウド側 Vyatta)の ID と、対向デバイス(ブランチ側デバイス)の ID を設定 set vpn ipsec site-to-site peer 198.51.100.1 authentication id @cloud set vpn ipsec site-to-site peer 198.51.100.1 authentication remote-id @branch ID の設定には ID の頭に “@(アットマーク)” を付加します。上記の実行例のうち could と branch の部分は実際の値に置き換えてください。 8. 自分自身(クラウド側 Vyatta)の eth0 の IP アドレスを設定 set vpn ipsec site-to-site peer 198.51.100.1 local-ip 10.1.1.1 上記の実行例のうち 10.1.1.1 の部分は実際のクラウド側 Vyatta の eth0 の IP アド レスの値に置き換えてください。 - 25 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ 9. Vyatta での IPsec サイト間 VPN 接続手順書 IPsec トンネルを通す宛先ネットワークと送信元ネットワークの対を設定 set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 local subnet 10.1.0.0/22 set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 remote subnet 192.168.1.0/24 (※上記 2 つのコマンドは実際には 1 行で入力してください。) 上記の実行例のうち、192.168.1.0/24 は実際のブランチ側のネットワークに、それぞれ 置き換えてください。 10. set set set set 最後にファイアウォールのルールを確認 firewall firewall firewall firewall name name name name FW_RULE FW_RULE FW_RULE FW_RULE rule rule rule rule 100 100 110 110 action source action source accept address 10.1.0.0/22 accept address 192.168.1.0/24 192.168.1.0/24(ブランチ側)、 ルール番号 100 と 110 はそれぞれ実際の値に置き換 えてください。 もし eth0 に対して送受信時のフィルタを定義している場合(set interfaces ethernet eth0 firewall in の設定がされている場合)はクラウド側のネットワークとブランチ側のネ ットワークの双方で通信ができるためのルールが設定されている必要があります。 上記の例では FW_RULE という名前のファイアウォールルールセットにクラウド側の ネットワークアドレスとブランチ側のネットワークアドレスからのパケットを許可する 設定を追加しています。 また、Vyatta 自身に対してフィルタを定義している場合(set interfaces ethernet eth0 firewall local の設定がされている場合)は peer 同士の IP アドレスを許可する設定が必要 となります。 - 26 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ 5.2. Vyatta での IPsec サイト間 VPN 接続手順書 Cisco RVS4000 の設定 1. ローカルセキュリティゲー トウェイのタイプを“IP とド メ イ ン 名 (FQDN) に よ る 認 証”に設定します。 2. ドメイン名にブランチ側デ バ イ ス の ID ( こ の 例 で は “branch”)を設定します。 3. ローカルセキュリティのグ ループを“サブネット”に設 定し、IP アドレスとサブネッ トマスクにブランチ側のネ ットワーク情報を入力しま す。 1. リモートセキュリティゲー トウェイのタイプを“IP とド メ イ ン 名 (FQDN) に よ る 認 証”に設定します。 2. ドメイン名にクラウド側 Vyatta の ID(この例では “cloud”)を設定します。 3. IP ア ド レ ス に ク ラ ウ ド 側 Vyatta のグローバル IP ア ドレスを入力します。 4. リモートセキュリティグル ープのタイプを“サブネッ ト”にし、クラウド側ネット ワークの情報を入力します。 - 27 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 1. キー入力モードを“事前共有 キー付き IKE”にし、暗号化、 認証、グループをそれぞれ設 定します。 2. 事前共有キーにクラウド側 Vyatta で設定した事前共有 キーを入力します。 - 28 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 Vyatta Core 6.4 の場合 6. クラウド側 Vyatta と(お客様用意、または IDC フロンティア クラウドサービス マネ ージドタイプでご提供)の Vyatta を接続する場合は、以下の手順となります。 【注意】セルフタイプのアカウント間を接続する場合、同一ゾーン内での IPsec 接続はで きません。ゾーン間での IPsec 接続が可能です。 (例:East⇔West 間) 6.1. 1. クラウド側 Vyatta の設定 IPsec の通信に用いるインターフェースの設定 set vpn ipsec ipsec-interfaces interface eth0 (これは当社初期設定で投入されていますので設定の必要はありません。 ) 2. IKE グループの設定 set vpn ipsec ike-group IKE-G lifetime 3600 set vpn ipsec ike-group IKE-G proposal 1 encryption 3des set vpn ipsec ike-group IKE-G proposal 1 hash md5 上記の例では IKE-G という名前の IKE グループを定義しています。 グループ名 (IKE-G の箇所)は任意のグループ名で置き換えて設定してください。 IKE の有効期限を 3600 秒(1 時間) 、暗号化アルゴリズムを 3DES、ハッシュアルゴ リズムを MD5 としています。暗号化アルゴリズムとハッシュアルゴリズムは proposal 2、 proposal 3、として複数登録しておくことも可能です。 3. ESP グループの設定 set vpn ipsec esp-group ESP-G lifetime 1800 set vpn ipsec esp-group ESP-G proposal 1 encryption 3des set vpn ipsec esp-group ESP-G proposal 1 hash md5 上記の例では ESP-G という名前の ESP グループを定義しています。 グループ名 (ESP-G の箇所)は任意のグループ名で置き換えて設定してください。 ESP の有効期限を 1800 秒(30 分)、暗号化アルゴリズムを 3DES、ハッシュアルゴ リズムを MD5 としています。IKE と同様、暗号化アルゴリズムとハッシュアルゴリズ ムは proposal 2、 proposal 3、として複数登録しておくことも可能です。 4. NAT トラバーサルの設定の有効化 set vpn ipsec nat-traversal enable - 29 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 (これは当社初期設定で投入されていますので設定の必要はありません。 ) 5. ブランチ側デバイスとの通信で用いる IKE グループと ESP グループを設定 set vpn ipsec site-to-site peer 198.51.100.1 ike-group IKE-G set vpn ipsec site-to-site peer 198.51.100.1 default-esp-group ESP-G 上記の実行例のうち 198.51.100.1 は実際のブランチ側デバイスのグローバル IP アド レスで置き換えてください。 (これ以降も同様に置き換えてください。 ) 6. 接続で用いる認証方式を事前共有鍵方式に設定 set vpn ipsec site-to-site pre-shared-secret peer 198.51.100.1 set vpn ipsec site-to-site peer pre-shared-secret my_shared_secret authentication 198.51.100.1 mode authentication (※上記 2 つのコマンドは実際には 1 行で入力してください。 ) 上 記 の 実 行 例 の う ち my_shared_secret の 部 分 は 実 際 の IPsec 事 前 共 有 鍵 [Pre-shared Secret] (任意の文字列)で置き換えてください。 7. 自分自身(クラウド側 Vyatta)の ID と対向デバイス(ブランチ側デバイス)の ID を設定 set vpn ipsec site-to-site peer 198.51.100.1 authentication id @cloud set vpn ipsec site-to-site peer 198.51.100.1 authentication remote-id @branch (※上記のコマンドは実際には 1 行で入力してください。 ) ID の設定には ID の頭に “@(アットマーク)” を付加します。下記の実行例のうち could と branch の部分は実際の値に置き換えてください。 8. 自分自身(クラウド側 Vyatta)の eth0 の IP アドレスを設定 set vpn ipsec site-to-site peer 198.51.100.1 local-ip 10.1.1.1 上記の実行例のうち 10.1.1.1 の部分は実際のクラウド側 Vyatta の eth0 の IP アド レスの値に置き換えてください。 - 30 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ 9. Vyatta での IPsec サイト間 VPN 接続手順書 IPsec トンネルを通す宛先ネットワークと送信元ネットワークの対を設定 set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 local subnet 10.1.0.0/22 set vpn ipsec site-to-site peer 198.51.100.1 tunnel 1 remote subnet 192.168.1.0/24 (※上記 2 つのコマンドは実際には 1 行で入力してください。 ) 上記の実行例のうち、192.168.1.0/24 は実際のブランチ側のネットワークに、それぞれ 置き換えてください。 10. ファイアウォールのルールを確認 set set set set firewall firewall firewall firewall name name name name FW_RULE FW_RULE FW_RULE FW_RULE rule rule rule rule 100 100 110 110 action source action source accept address 10.1.0.0/22 accept address 192.168.1.0/24 192.168.1.0/24(ブランチ側)、 ルール番号 100 と 110 はそれぞれ実際の値に置き換 えてください。 もし eth0 で送受信時のフィルタを定義している場合はクラウド側のネットワークとブ ランチ側のネットワークの双方で通信ができるためのルールが設定されている必要があ ります。上記の例では FW_RULE という名前のファイアウォールルールセットにクラウ ド側のネットワークアドレスとブランチ側のネットワークアドレスからのパケットを許 可する設定を追加しています。 - 31 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 ブランチ側 Vyatta の設定 6.2. ここでは以下の構成を例に説明します。 WAN 側の Ethernet インターフェース 1. eth0 基本的にはクラウド側 Vyatta と同じ設定を行います。 (アドレスやネットワーク、 ID などの情報が入れ替わるだけです。 ) set set set set set set set set set vpn vpn vpn vpn vpn vpn vpn vpn vpn ipsec ipsec ipsec ipsec ipsec ipsec ipsec ipsec ipsec esp-group ESP-G lifetime 1800 esp-group ESP-G proposal 1 encryption 3des esp-group ESP-G proposal 1 hash md5 ike-group IKE-G lifetime 3600 ike-group IKE-G proposal 1 encryption 3des ike-group IKE-G proposal 1 hash md5 ipsec-interfaces interface eth0 nat-traversal enable site-to-site peer 192.0.2.1 authentication id @branch set vpn ipsec site-to-site pre-shared-secret peer set vpn ipsec site-to-site pre-shared-secret my_shared_secret set set set set 192.0.2.1 peer authentication 192.0.2.1 mode authentication vpn ipsec site-to-site peer 192.0.2.1 authentication remote-id @cloud vpn ipsec site-to-site peer 192.0.2.1 default-esp-group ESP-G vpn ipsec site-to-site peer 192.0.2.1 ike-group IKE-G vpn ipsec site-to-site peer 192.0.2.1 local-ip 10.1.1.1 set vpn ipsec 192.168.1.0/24 site-to-site peer 192.0.2.1 tunnel 1 local subnet set vpn ipsec site-to-site peer 192.0.2.1 tunnel 1 remote subnet 10.1.0.0/22 (※上記 で 2 行のコマンドは実際には 1 行で入力してください。 ) ただし、 WAN 側で NAT を使用している場合は注意点があります。 Vyatta では IPsec を通すか通さないかの判断をする前の段階で、NAT のルールが適 用されてしまうため、 NAT ルールから、以下を除外する必要があります。 ・ 「宛先アドレスがクラウド側のネットワークアドレス」を除外 set nat source rule 1 destination address !10.1.0.0/22 仮に rule 1 として Source NAT が設定されている場合、上記のコマンドで「宛先アド レスがクラウド側のネットワークアドレス」のパケットを NAT ルールから除外すること ができます。 - 32 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 お問合わせ 7. サービスに関するお問合わせは、ポータル内のお問合わせチケットシステムを利用したオ ンラインサポートをご利用ください。また、プレミアムサポート(有償オプション)をお申 し込みいただければ、お電話でのお問い合わせも可能となります。 ※ただし、VPN に関する設定は、当社サポート範囲外となっておりますので、あらかじ めご了承ください。設定サポートをご希望の場合、当社協力会社のご紹介が可能です。ご相 談ください。 その他、ポータルに関するお問い合わせ等も以下よりご相談ください。 項目 内容 オンラインサポート (標準) [チケットシステム] サービス問合せ 平日 09:00~17:00 故障問合せ 24 時間 365 日 プレミアムサポート (有償) (※電話) サービス・故障問合せ 平日 09:00~17:00 ※プレミアムサポートは電話サポートが可能となるサービスです。 サポートコンテンツ 7.1. サービス稼働状況の確認確認が可能です。 ご説明 操作方法 ①サービス全体の故 障やメンテナンス が無いか「サービス 稼動状況」でご確認 ください。 計画メンテナンスが ある場合は、 「スケ ジュールメンテナン ス」に表示されます - 33 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 オンラインサポート 7.2. FAQ などでも問題が解決しない場合は、問合せチケットにてお問合せください。 ご説明 操作方法 ① サポート」-「問 い合わせチケッ ト」にアクセスし ます。 ② 「新規チケット」 ボタンをクリック します。 ③ タイトルと説明に お問い合わせ内容 を入力し「登録」を クリック ※不具合のお問合わせの場合、OS や仮想マシン名(i から始まる 番号) 、テンプレート名、ブラウザなどの詳細情報を記載いただ けますと、調査時間の短縮につながります。ご協力をお願いい たします。 - 34 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ ③ Vyatta での IPsec サイト間 VPN 接続手順書 チケットを登録す ると、すぐにご登録 メ ー ル アド レ ス宛 てに、チケットが登 録 さ れ たこ と をメ ー ル で お知 ら せし ます。 その後、チケットが 更新される度に、メ ー ル で お知 ら せし ま す 。 更新 内 容は 「コメント」欄に記 載されますので、ポ ー タ ル にロ グ イン し な く ても 調 査結 果 を メ ール で 確認 す る こ とが 可 能で す。 - 35 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 プレミアムサポート 7.3. プレミアムサポート(有償)を申し込むと、お電話での問合せが可能です。 ご説明 操作方法 ① ダッシュボードの プレミアムサポー トサインアップか らサインアップし ます。 ① 申し込みが完了す ると、ダッシュボー ドにプレミアムサ ポートの情報が表 示されるようにな ります。お電話での 問い合わせの際は、 サポート ID とサポ ート PIN をスタッ フにお伝え下さい。 ※サポート ID とサ ポート PIN が確認 できない場合お電 話でのお問い合わ せは受けられませ ん。 - 36 © IDC Frontier Inc. All Rights Reserved クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 改版履歴 改訂日 改訂章 改訂内容 2012 年 8 月 21 日 全章 新規作成 2013 年 2 月 6 日 1章 内容を追加 2013 年 2 月 26 日 7章 内容を編集 2013 年 2 月 27 日 1章 内容を追加 © IDC Frontier, Inc. All Rights Reserved. クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 クラウドサービス セルフタイプ Vyatta での IPsec サイト間 VPN 接続手順書 マニュアル Ver.1.2 発行日:2013 年 2 月 27 日 株式会社 IDC フロンティア 〒160-0004 東京都新宿区四谷 4-29 http://www.idcf.jp/ CS-PUB-M0101-ET © IDC Frontier, Inc. All Rights Reserved.