|
1.センタ(IP固定,アドレス8),拠点(IP不定)
|
<プロバイダより割り振られたアドレス(アドレスは一例です)>
| センタ側 |
210.158.xxx.16/29 (LAN型:アドレス8) |
| 拠点側 |
指定なし |
<コマンド操作>
【設定例表記方法のご案内】
本来一行で入力すべきコマンドでありながら,スペースの関係で複数行に渡った場合,行末に「\」を付けています.
FITELnet-F40は,この「\」を認識しますので,本ページの設定例をコンソールにペーストできます.
|
#
#EWANをPPPoEで使用する
#
wan type=pppoe
#
#EWAN側IPアドレスと,フレッツADSLに接続するための
#ID(abc012@***.***.ne.jp)とパスワード(xxxyyyzzz)の設定
#固定IPアドレスのうち,一番若い数字をEWAN側IPアドレスとして設定
#(ファームウェアV01.02以前では“if=pppoe1”は不要)
#
pppoe add name=FLETS if=pppoe1 addr=210.158.***.17 type=lan\
id=abc012@***.***.ne.jp password=xxxyyyzzz
#
#LAN側IPアドレスの設定
#
interface lan addr=210.158.***.17,255.255.255.248
#
#ルート情報の設定
#
ipripstatic delete default
ipripstatic add dst=0.0.0.0,0.0.0.0 nextif=pppoe1
#
#設定を保存して装置を再起動
#(再起動しないと設定が有効にならない項目もあるので注意)
#
exit
Configuration modified. save ok?(y/n):y
please reset#reset
Do you want to continue(y/n)?:y
#
#EWAN側は固定のIPアドレスを使用する
#
wan type=manual
#
#EWAN側IPアドレスの設定
#
interface wan addr=210.158.***.18,255.255.255.248
#
#LAN側IPアドレスの設定
#
interface lan addr=192.168.1.253,255.255.255.0
#
#ルート情報の設定
#192.168.100.0/24向けの通信は,2台目の装置に転送して処理してもらう
#
ipripstatic delete default
ipripstatic add dst=0.0.0.0,0.0.0.0 nexthop=210.158.***.17
ipripstatic add dst=192.168.100.0,255.255.255.0 nexthop=192.168.1.254
#
#VPN機能を使用する
#
vpn on
#
#PhaseIポリシーの設定(暗号アルゴリズムはDES,認証方法はPre-shared key方式,
#認証アルゴリズムはMD5。ライフタイムはデフォルトで1000秒)
#
vpnikepolicy add id=1 encr=des method=prekey hash=md5
#
#PhaseIIポリシーの設定(暗号アルゴリズムはDES,認証アルゴリズムはMD5。
#ライフタイムはデフォルトで600秒)
#
vpnpolicy add id=1 encr=des auth=hmac-md5
#
#VPNピアの設定(この例では,鍵データは文字列でsecret-vpnとした)
#
vpnpeer add name=kyoten1\
idtype-pre=userfqdn key=a,secret-vpn nat=off ikepolicy=1
#
#VPN対象パケット(VPNセレクタ)の設定
#
vpnselector add id=1 dst=192.168.10.0,255.255.255.0\
src=192.168.1.0,255.255.255.0 type=ipsec peername=kyoten1 policy=1
#
#設定を保存して装置を再起動
#(再起動しないと設定が有効にならない項目もあるので注意)
#
exit
Configuration modified. save ok?(y/n):y
please reset#reset
Do you want to continue(y/n)?:y
#
#EWAN側は固定のIPアドレスを使用する
#
wan type=manual
#
#EWAN側IPアドレスの設定
#
interface wan addr=210.158.***.19,255.255.255.248
#
#LAN側IPアドレスの設定
#
interface lan addr=192.168.1.254,255.255.255.0
#
#ルート情報の設定
#192.168.10.0/24向けの通信は,1台目の装置に転送して処理してもらう
#
ipripstatic delete default
ipripstatic add dst=0.0.0.0,0.0.0.0 nexthop=210.158.***.17
ipripstatic add dst=192.168.10.0,255.255.255.0 nexthop=192.168.1.253
#
#VPN機能を使用する
#
vpn on
#
#PhaseIポリシーの設定(暗号アルゴリズムはDES,認証方法はPre-shared key方式,
#認証アルゴリズムはMD5。ライフタイムはデフォルトで1000秒)
#
vpnikepolicy add id=1 encr=des method=prekey hash=md5
#
#PhaseIIポリシーの設定(暗号アルゴリズムはDES,認証アルゴリズムはMD5。
#ライフタイムはデフォルトで600秒)
#
vpnpolicy add id=1 encr=des auth=hmac-md5
#
#VPNピアの設定(この例では,鍵データは文字列でsecret-vpnとした)
#
vpnpeer add name=kyoten2\
idtype-pre=userfqdn key=a,secret-vpn nat=off ikepolicy=1
#
#VPN対象パケット(VPNセレクタ)の設定
#
vpnselector add id=1 dst=192.168.100.0,255.255.255.0\
src=192.168.1.0,255.255.255.0 type=ipsec peername=kyoten2 policy=1
#
#設定を保存して装置を再起動
#(再起動しないと設定が有効にならない項目もあるので注意)
#
exit
Configuration modified. save ok?(y/n):y
please reset#reset
Do you want to continue(y/n)?:y
#
#EWANをPPPoEで使用する
#
wan type=pppoe
#
#フレッツADSLに接続するためのID(abc345@***.***.ne.jp)とパスワード(zzzyyyxxx)の設定
#(ファームウェアV01.02以前では“if=pppoe1”は不要)
#
pppoe add name=FLETS if=pppoe1 id=abc345@***.***.ne.jp password=zzzyyyxxx
#
#LAN側IPアドレスの設定
#
interface lan addr=192.168.10.254,255.255.255.0
#
#ルート情報の設定
#
ipripstatic delete default
ipripstatic add dst=0.0.0.0,0.0.0.0 nextif=pppoe1
#
#NATプラスを使用する
#(VPN対象外のパケットをインターネットアクセスさせる場合には
#VPNセレクタの設定と併せて必要)
#(ファームウェアV01.02以前では“pppoe1”は不要)
#
nat pppoe1 natp
#
#VPN機能を使用する
#
vpn on
#
#PhaseIポリシーの設定(暗号アルゴリズムはDES,認証方法はPre-shared key方式,
#認証アルゴリズムはMD5→センター側の設定と合わせる。ライフタイムはデフォルトで1000秒)
#
vpnikepolicy add id=1 encr=des method=prekey hash=md5
#
#PhaseIIポリシーの設定(暗号アルゴリズムはDES,認証アルゴリズムはMD5。
#→センター側の設定と合わせる。ライフタイムはデフォルトで600秒)
#
vpnpolicy add id=1 encr=des auth=hmac-md5
#
#VPNピアの設定(鍵データは文字列でsecret-vpn→センター側と同じにする)
#
vpnpeer add addr=210.158.***.18 myname=kyoten1\
idtype-pre=userfqdn key=a,secret-vpn nat=off ikepolicy=1
#
#VPN対象パケット(VPNセレクタ)の設定
#
vpnselector add id=1 dst=192.168.1.0,255.255.255.0\
src=192.168.10.0,255.255.255.0 type=ipsec peeraddr=210.158.***.18 policy=1
#
#VPN対象外のパケットをインターネットアクセスさせる場合には必要
#
vpnselector add id=64 dst=all src=all type=bypass
#
#設定を保存して装置を再起動
#(再起動しないと設定が有効にならない項目もあるので注意)
#
exit
Configuration modified. save ok?(y/n):y
please reset#reset
Do you want to continue(y/n)?:y
#
#EWANをPPPoEで使用する
#
wan type=pppoe
#
#フレッツADSLに接続するためのID(abc678@***.***.ne.jp)とパスワード(yyyxxxzzz)の設定
#(ファームウェアV01.02以前では“if=pppoe1”は不要)
#
pppoe add name=FLETS if=pppoe1 id=abc678@***.***.ne.jp password=yyyxxxzzz
#
#LAN側IPアドレスの設定
#
interface lan addr=192.168.100.254,255.255.255.0
#
#ルート情報の設定
#
ipripstatic delete default
ipripstatic add dst=0.0.0.0,0.0.0.0 nextif=pppoe1
#
#NATプラスを使用する
#(VPN対象外のパケットをインターネットアクセスさせる場合には
#VPNセレクタの設定と併せて必要)
#(ファームウェアV01.02以前では“pppoe1”は不要)
#
nat pppoe1 natp
#
#VPN機能を使用する
#
vpn on
#
#PhaseIポリシーの設定(暗号アルゴリズムはDES,認証方法はPre-shared key方式,
#認証アルゴリズムはMD5→センター側の設定と合わせる。ライフタイムはデフォルトで1000秒)
#
vpnikepolicy add id=1 encr=des method=prekey hash=md5
#
#PhaseIIポリシーの設定(暗号アルゴリズムはDES,認証アルゴリズムはMD5。
#→センター側の設定と合わせる。ライフタイムはデフォルトで600秒)
#
vpnpolicy add id=1 encr=des auth=hmac-md5
#
#VPNピアの設定(鍵データは文字列でsecret-vpn→センター側と同じにする)
#
vpnpeer add addr=210.158.***.19 myname=kyoten2\
idtype-pre=userfqdn key=a,secret-vpn nat=off ikepolicy=1
#
#VPN対象パケット(VPNセレクタ)の設定
vpnselector add id=1 dst=192.168.1.0,255.255.255.0\
src=192.168.100.0,255.255.255.0 type=ipsec peeraddr=210.158.***.19 policy=1
#
#VPN対象外のパケットをインターネットアクセスさせる場合には必要
#
vpnselector add id=64 dst=all src=all type=bypass
#
#設定を保存して装置を再起動
#(再起動しないと設定が有効にならない項目もあるので注意)
#
exit
Configuration modified. save ok?(y/n):y
please reset#reset
Do you want to continue(y/n)?:y
(ファームウェアV02.01以降から)
「VPN対象パケット(VPNセレクタ)の設定」で,以下のようにretrynegoをonにすることで,SAが確立するまで繰り返し確立を試みるようになります。また,negotypeをlifetimeに設定しておくことで,SAが確立された後は,ライフタイム満了前に新しいSAを確立しにいくようになります。
この二つの機能を利用することで,常にSAを確立した状態を維持でき,拠点側に固定アドレスがなくても,データの発生契機や方向に関わらず,VPN通信を自動的に再開できるようになります。
<拠点1側>
vpnselector set id=1 dst=192.168.1.0,255.255.255.0\
src=192.168.10.0,255.255.255.0 negotype=,lifetime\
retrynego=on peeraddr=210.158.xxx.18 policy=1
<拠点2側>
vpnselector set id=1 dst=192.168.1.0,255.255.255.0\
src=192.168.100.0,255.255.255.0 negotype=,lifetime\
retrynego=on peeraddr=210.158.xxx.19 policy=1
|
