Comments
Description
Transcript
リモートアクセス型L2TP+IPsec VPN 設定例
リモートアクセス型L2TP+IPsec VPN 設定例 (既設FWあり、既設NW変更なし、Global IP使用) 本資料は、弊社での検証に基づき Firewall、ARシリーズ、VPNクライアント の操作方法を記載したものです。すべての環境での動作を保証するものではありません。 ※iPhone、iPadはApple Inc.の商標です。 ※iPhoneの商標は、アイホン株式会社のライセンスに基づき使用されています。 ※Androidは、Google Inc.の商標または登録商標です。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. 目次 構成概要 構成図 パラメータ ARルーターの設定手順 VPNクライアントの設定 Copyright©2011 Allied Telesis K.K. All Rights Reserved. 1 構成概要 本資料では、FirewallのDMZ側に接続されたARルーターにVPN接続を行う設定方法をご紹介します。 Firewallの設定方法については、ご使用のFirewall製品のマニュアルをご参照ください。 本構成について FirewallのDMZ側にARルーターを接続します。 ARルーターのeth0にGlobal IPアドレスが設定されており、ARルーターでもFirewall機能を使用します。 VPNクライアントはTrust側に接続されたDNSサーバーを使用して名前解決を行います。 VPN接続後、Intranet内の端末にリモートデスクトップ接続を行います。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. 2 192.168.2.1-100宛のパケットを10.100.10.1に転送するスタティックルートを追加 192.168.2.1-100宛のパケットを10.100.10.1に転送するスタティックルートを追加 以下のFirewallポリシーを設定 以下のFirewallポリシーを設定 構成図 用途 動作 送信元 送信先 ZONE IPアドレス ZONE IPアドレス ポート番号 IPsec 許可 Untrust Any DMZ 10.100.10.1 UDP 500,4500 ESP (50番) DNS 許可 DMZ 192.168.2.1-100 Trust 192.168.1.100 TCP 53 UDP 53 リモートデスクトップ※ 許可 DMZ 192.168.2.1-100 Trust 192.168.1.0 TCP3389 ※本資料ではVPN接続時、VPNクライアントからIntranet内の端末にリモートデスクトップ接続を行うものとしてご説明します。 他のサービスを使用する場合は、送信元IPアドレス:192.168.2.1-100のパケットを許可してください。 VPNトンネル VPNトンネル IP: 10.100.10.254/24 zone: DMZ IP: 111.11.11.1/24 zone: Untrust インターネット インターネット Firewall Interface: eth0 IP: 10.100.10.1/24 ARルーター 3Gネットワーク 3Gネットワーク IP: 192.168.1.1/24 zone: Trust Firewall無効 Firewall無効 10.100.10.1宛にVPN接続 10.100.10.1宛にVPN接続 L2SW VPNクライアント iPhone, iPad, Android, PC 192.168.2.1-100 (L2TP経由でIP Poolより払い出し) 赤色表記のIPアドレス:グローバルIPアドレス 赤色表記のIPアドレス:グローバルIPアドレス 黒色表記のIPアドレス:プライベートIPアドレス 黒色表記のIPアドレス:プライベートIPアドレス Copyright©2011 Allied Telesis K.K. All Rights Reserved. Intranet DNSサーバー IP: 192.168.1.100/24 GW: 192.168.1.1 3 IP: 192.168.1.0/24 GW: 192.168.1.1 ARルーターのパラメータ 本資料では以下のパラメータでの設定例をご紹介します。 ルーターの基本設定 WAN側物理インターフェース eth0 WAN側IPアドレス 10.100.10.1/24(eth0) IKEフェーズ1の認証方式 事前共有鍵(pre-shared key) 事前共有鍵(pre-shared key) secret(文字列) DPDによる死活監視 行う(対向機器がDPDをサポートしている場合) NAT-Traversalのネゴシエーション 行う RADIUSサーバーの共有パスワード secret 接続してきたVPNクライアントには、IPアドレスプール「VPNC」(192.168.2.1~192.168.2.100)から空きアドレスを動的に 割り当てます。また、クライアントの認証にはRADIUSサーバーを使用します。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. 4 ARルーターの設定手順 工場出荷時設定のCLIの ログインID/PW は下記の通りです。 ID : manager PW : friend 本資料はAR415S/AR550S/AR560S/AR570Sのファームウェアバージョン 2.9.2-00 以上に適応可能です。AR260S V2はスマートフォンからのリモートアクセスに対応し ておりません。 各設定画面のパラメータ詳細については、ユーザーマニュアルや設定例をご参照くだ さい。 http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/index.html http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-93.html http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-195.html Copyright©2011 Allied Telesis K.K. All Rights Reserved. 5 ARルーターの設定手順 IPアドレスおよびSecurity Officer レベルユーザーの作成 1. IPモジュールを有効にします。 ENABLE IP ↓ 2. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成 します。PWは「secoff」とします。 ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER ↓ Note ‐ セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. 6 ARルーターの設定手順 WAN側インターフェースおよびスタティックルートの設定 1. WAN側(eth0)インターフェースにIPアドレス「10.100.10.1」を設定します。 ADD IP INT=eth0 IP=10.100.10.1 MASK=255.255.255.0 ↓ 2. デフォルトルートを設定します。 ADD IP ROUTE=0.0.0.0 INT=eth0 NEXTHOP=10.100.10.254 ↓ Copyright©2011 Allied Telesis K.K. All Rights Reserved. 7 ARルーターの設定手順 認証ユーザーの登録 1. 暗号化されたL2TPトンネル経由でPPP接続してくるVPNクライアントを認証するためのユーザー(PPP ユーザー)を登録します。 ADD ADD ADD ADD 2. USER=AAA PASSWORD=PasswordA LOGIN=NO ↓ USER=BBB PASSWORD=PasswordB LOGIN=NO ↓ USER=CCC PASSWORD=PasswordC LOGIN=NO ↓ USER=DDD PASSWORD=PasswordD LOGIN=NO ↓ IPアドレスプール「VPNC」を作成し、接続してきたVPNクライアントに割り当てるアドレスの範囲を指定 します。ここでは100台分のアドレスプールを用意しています。 CREATE IP POOL=VPNC IP=192.168.2.1-192.168.2.100 ↓ Copyright©2011 Allied Telesis K.K. All Rights Reserved. 8 ARルーターの設定手順 L2TPプロトコルならびにPPP TEMPLATEの設定 1. L2TP経由でVPNクライアントがPPP接続してきたときに動的に作成するPPPインターフェースのテンプ レート「1」を作成します。接続時の認証にはCHAPを使い、CHAPの再認証はOFFにし、VJ圧縮を有効 にします。また、アドレス割り当てにはIPアドレスプール「VPNC」を使うようにします。 CREATE PPP TEMPLATE=1 IPPOOL=VPNC AUTHENTICATION=CHAP BAP=OFF ECHO=30 RECHALLENGE=OFF VJC=ON ↓ 2. L2TPモジュールを有効にします。 ENABLE L2TP ↓ 3. L2TPサーバーをBOTHモードで起動します。 ENABLE L2TP SERVER=BOTH ↓ 4. VPNクライアントにDNSサーバーアドレス「192.168.1.100」を通知します。 SET PPP DNSPRIMARY=192.168.1.100 ↓ Note –VPNクライアントにDNSサーバーを通知する場合に必要な設定です。本コマンドを使用せず、 ADD IP DNS PRIMARY=192.168.1.100 コマンドでルーター本体にDNSサーバーを手動登録すれば同様に通知可能です。 5. L2TP経由でVPNクライアントが接続してきたときに使用するPPPテンプレートを指定します。ここでは クライアントのアドレスが不定なので、どのアドレスからでも接続を受け入れるように設定します。 ADD L2TP IP=0.0.0.0-255.255.255.255 PPPTEMPLATE=1 ↓ Copyright©2011 Allied Telesis K.K. All Rights Reserved. 9 ARルーターの設定手順 Firewallの設定 1. ファイアウォール機能を有効にします。 ENABLE FIREWALL ↓ 2. ファイアウォールの動作を規定するファイアウォールポリシーを作成します。 CREATE FIREWALL POLICY=net ↓ 3. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。 ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓ Note – デフォルト設定では、ICMPはファイアウォールを通過できません。 4. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対し て、ただちにTCP RSTを返すよう設定します。 DISABLE FIREWALL POLICY=net IDENTPROXY ↓ 5. VPNクライアントがL2TP経由で接続してきたときに動的に作成されるPPPインターフェース用のファイア ウォール設定を行います。最初に、ダイナミックインターフェーステンプレート「vpnif」を作成します。名前は 自由です。 CREATE FIREWALL POLICY=net DYNAMIC=vpnif ↓ Copyright©2011 Allied Telesis K.K. All Rights Reserved. 10 ARルーターの設定手順 6. 次に、ダイナミックインターフェーステンプレート「vpnif」の対象ユーザーを指定します。USERパラメーター で指定したユーザーが接続してきたときに動的作成されるPPPインターフェースは、ADD FIREWALL POLICY INTERFACEコマンドで「DYN-templatename」として参照できます(templatenameはテンプレート 名)。ここでは対象ユーザーとして「ANY」を指定しています。これは、PPPの認証をパスしたすべてのユー ザーが対象であることを示します。 ADD FIREWALL POLICY=net DYNAMIC=vpnif USER=ANY ↓ 7. WAN側インターフェース(eth0)をPUBLIC(外部)に設定します。 ADD FIREWALL POLICY=net INT=eth0 TYPE=PUBLIC ↓ 8. L2TP経由でユーザーが接続してきたときに動的作成されるPPPインターフェース(vpnif)をPRIVATE(内 部)に設定します。 ADD FIREWALL POLICY=net INT=DYN-vpnif TYPE=PRIVATE ↓ Copyright©2011 Allied Telesis K.K. All Rights Reserved. 11 ARルーターの設定手順 9. VPNクライアントから受信したIKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)がファイアウォールを通 過できるように設定します。 ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=eth0 PROT=UDP PORT=500 IP=10.100.10.1 ↓ ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=eth0 PROT=UDP PORT=4500 IP=10.100.10.1 ↓ 10. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルール を設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを 適用することを示します。よって、以下のコマンドは、「取り出したパケットがUDPで終点ポートが1701番(L2TP パケット)ならば許可する」の意味になります。 ADD FIREWALL POLICY=net RULE=3 AC=ALLOW INT=eth0 PROT=UDP PORT=1701 IP=10.100.10.1 ENCAP=IPSEC ↓ Copyright©2011 Allied Telesis K.K. All Rights Reserved. 12 ARルーターの設定手順 ISAKMPの設定 1. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」 という文字列で指定します(VPNクライアントにも同じ値を設定)。 CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓ Note ‐ CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)な どで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。 2. VPNクライアントからのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。 ↓ ISAKMPメッセージの暗号化には「3DES」、認証には「SHA」アルゴリズム、Oakleyグループは「2」を使用し、 VPNクライアントとの認証には前の手順で作成した事前共有鍵(鍵番号「1」)を使います。さらに、クライアン トのIPアドレスが不定なためPEERにANYを指定し、NAT-Traversalを有効にしています。 CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE NATTRAVERSAL=TRUE ↓ SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA GROUP=2 ↓ 3. DPDを有効にします。 SET ISAKMP POLICY="i" DPDMODE=both ↓ Copyright©2011 Allied Telesis K.K. All Rights Reserved. 13 ARルーターの設定手順 IPsecの設定 1. IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号 化方式 「AES256bit」、認証方式「SHA」に設定します。この例ではL2TPによってトンネリングを行うため、デ フォルトのトンネルモードは使用せずに、トランスポートモードを使用します。UDP1701番ポートを使って送 受信されるL2TPパケットだけを暗号化する形になります。 CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES256 HASHALG=SHA MODE=TRANSPORT ↓ 2. 同様にIPsec通信の仕様を定義するSAスペック「2」を作成します。鍵管理方式「ISAKMP」、プロトコル 「ESP」、暗号化方式 「AES128bit」、認証方式「SHA」に設定します。 CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES128 HASHALG=SHA MODE=TRANSPORT ↓ 3. 同様にIPsec通信の仕様を定義するSAスペック「3」を作成します。鍵管理方式「ISAKMP」、プロトコル 「ESP」、暗号化方式 「3DES」、認証方式「SHA」に設定します。 CREATE IPSEC SASPEC=3 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA MODE=TRANSPORT ↓ 4. SAスペック「1」、「2」、「3」からなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定し ます。 CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1 or 2 or 3" ↓ Note –VPNクライアントにより対応する暗号化方式が異なるため、SAスペックを複数設定しています。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. 14 ARルーターの設定手順 5. IKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)を素通しさせるIPsecポリシー「isa」「nat」を 作成します。 CREATE IPSEC POLICY=isa INT=eth0 ACTION=PERMIT LPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY=nat INT=eth0 ACTION=PERMIT LPORT=4500 TRANSPORT=UDP ↓ Note ‐ NAT‐Traversalを使用する場合は、必ずIKEとNAT‐Tのパケットが通過できるような設定を行ってください。 Note ‐ 「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICY コマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメータを使用します。 6. L2TPパケットを暗号化するIPsecポリシー「L2」をeth0インターフェースに対して作成します。鍵管理方式に は「ISAKMP」を指定します。VPNクライアントのIPアドレスが不定なため、PEERにはISAKMPの認証をパスし た相手という意味の「DYNAMIC」を、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定しま す。また、LPORTとTRANSPORTで対象となるパケットの条件(ここではL2TPパケット)を指定します。 CREATE IPSEC POLICY=L2 INT=eth0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓ SET IPSEC POLICY=L2 LPORT=1701 TRANSPORT=UDP ↓ 7. インターネットへの平文通信を許可するIPsecポリシー「inet」をeth0インターフェースに対して作成します。 CREATE IPSEC POLICY="inet" INT=eth0 ACTION=PERMIT ↓ Note ‐ インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポ リシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. 15 ARルーターの設定手順 8. IPsecモジュールを有効にします。 ENABLE IPSEC ↓ 9. ISAKMPモジュールを有効にします。 ENABLE ISAKMP ↓ 10. Security Officerレベルのユーザーでログインしなおします。 LOGIN secoff ↓ 11. 動作モードをセキュリティーモードに切り替えます。 ENABLE SYSTEM SECURITY_MODE ↓ Note ‐ セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください 。 12. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。 CREATE CONFIG=router.cfg ↓ SET CONFIG=router.cfg ↓ Copyright©2011 Allied Telesis K.K. All Rights Reserved. 16 VPNクライアントの設定 VPNクライアントの設定手順は、以下を参照下さい。 VPN接続先のIPアドレスやパスワード等、各種パラメータがそのまま流用できます。 ■参照先 CentreCOM AR560S 設定例集 2.9 #197 「リモートアクセス型L2TP+IPsec VPNとResponder Rekey Extensionによる死活監視 (クライアントはWindows XP/Vista/7、iPhone/iPadおよびAndroid(TM)端末)」 http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-197.html ※Windows接続検証は以下を参照し実施しております(当社独自調査であり、接続を保証するものではございません)。 WindowsXP (Service Pack 3) : Microsoftサポート 文書番号: 885407 Windows7 : Microsoftサポート 文書番号: 926179 Copyright©2011 Allied Telesis K.K. All Rights Reserved. 17 Copyright©2011 Allied Telesis K.K. All Rights Reserved.