FITELnet-F100/設定例/FITELnet-F100対向でIPsec通信をする(4)

ネットワーク機器トップ　>　製品ラインナップ　>　FITELnet-Fシリーズ　>　FITELnet-F100・1000　>　設定例　>　FITELnet-F100対向でIPsec通信をする(4)

6．NAT-Traversal機能を使う　　

・F100をF1000に置き換えても運用できます。

・NAT-Traversalを使用することで、通信経路上にIPマスカレード変換を行う機器が存在する環境下
　でIPsecを実現します。
　（暗号化パケット（ESPパケット）が変換されると具合が悪いため、暗号化パケットをさらにUDP
　パケットでカプセル化する手法です）

・この設定例では、拠点側をIPsec送信元IPアドレスでの認証が行えないためAggressiveモードで
　設定します。
　（RSA（電子証明書）を利用する場合はMainモードでの運用が行えます）

・NAT-Traversalを使用する際、対向側VPNルータもNAT-Traversalを設定する必要があります。

・NAT-Traversalの実装は標準化された仕様でないため各社とも独自に実装を行っております。
　そのため、他社製品とはNAT-Traversal機能が使用できない場合があります。

＜プロバイダより割り振られたアドレス（アドレスは一例です）＞

センタ側	200.200.200.1
拠点側	指定なし(ルータモデム)

＜設定条件＞

設定環境は図のとおり

IPsecの対象とする中継パケット	192.168.1.0/24 ⇔ 192.168.3.0/24
IPsec Phase1ポリシー	モード･･･ Aggressiveモード認証方式･･･事前共有鍵方式暗号化方式･･･ DES ハッシュ方式･･･ MD5
IPsec Phase2ポリシー	暗号化方式･･･ DES ハッシュ方式･･･ MD5 IPsec SA確立契機･･･常にSAを確立する（拠点側のみ設定）

＜WEB設定の例＞

設定画面		設定項目	設定値		備考
設定画面		設定項目	センタ	拠点	備考
インタフェース設定	LAN側設定	LAN側IPアドレス	192.168.1.254	192.168.3.254
		サブネットマスク	255.255.255.0	255.255.255.0
		DHCPサーバ機能	使用しない	使用しない
			【送信】	【送信】	送信ボタンを押します
	EWAN1 PPPoE接続	PPPoE1 名称	FLETS	(設定不要)	わかりやすい名称
		ユーザID	abc012@*.*.ne.jp	(設定不要)	IDは一例です
		パスワード	xxxyyyzzz	(設定不要)	パスワードは一例です
		接続タイプ	端末型	(設定不要)
		IPアドレス	200.200.200.1	(設定不要)
		NAT動作モード	NAT+	(設定不要)
			【送信】		送信ボタンを押します
	EWAN1 マニュアル設定	WAN側IPアドレス	(設定不要)	192.168.2.254
		サブネットマスク	(設定不要)	255.255.255.0
		NAT動作モード	(設定不要)	NAT+
				【送信】	送信ボタンを押します
ルーティングプロトコルの設定	スタティックルーティング	通信先指定	0.0.0.0/0	0.0.0.0/0
		中継先指定インタフェース指定	PPPOE1	(設定不要)
		IPアドレス指定	(設定不要)	192.168.2.253
			【送信】	【送信】	送信ボタンを押します
NAT機能	PPPoE1 NAT+登録	LAN上の端末指定	192.168.1.0/24	(設定不要)	NAT変換前のアドレス
	PPPoE1 NAT+登録		【送信】		送信ボタンを押します
	EWAN1 NAT+登録	LAN上の端末指定	(設定不要)	192.168.3.0/24
	EWAN1 NAT+登録			【送信】	送信ボタンを押します
VPNの設定		VPN動作モード	ON	ON
VPNの設定			【送信】	【送信】	送信ボタンを押します
VPNの設定	VPN対象パケットの登録	優先度	1	1
		宛先指定	IPアドレス指定 192.168.3.0/24	IPアドレス指定 192.168.1.0/24
		送信元指定	IPアドレス指定 192.168.1.0/24	IPアドレス指定 192.168.3.0/24
		プロトコル	IP	IP
		IPsec処理タイプ	IPsec処理して中継	IPsec処理して中継
			【送信】	【送信】	送信ボタンを押します
		優先度	64	64
		宛先指定	すべて	すべて
		送信元指定	すべて	すべて
		プロトコル	IP	IP
		IPsec処理タイプ	IPsec処理しないで中継	IPsec処理しないで中継
			【送信】	【送信】	送信ボタンを押します
	暗号化ポリシーの登録	名前	P2-DES-MD5	P2-DES-MD5
		暗号アルゴリズム	DES	DES
		認証アルゴリズム	HMAC-MD5	HMAC-MD5
			【送信】	【送信】	送信ボタンを押します
	IKEポリシーの登録	ID	1	1
		IKEポリシー認証アルゴリズム	Pre-shared Key(拡張認証なし)	Pre-shared Key(拡張認証なし)
		暗号化アルゴリズム	des	des
		ハッシュアルゴリズム	md5	md5
		FQDNタイプ	UserFQDN	UserFQDN
		鍵データ	アスキー SECRET-VPN	アスキー SECRET-VPN
		IKE SAネゴシエーションモード	Aggressive	Aggressive
		自身の名前	(設定不要)	F100-kyoten
		VPNピアのIPアドレス	(設定不要)	200.200.200.1
		VPNピアの名前	F100-kyoten	(設定不要)
			【送信】	【送信】	送信ボタンを押します
	MAPの登録	MAP名	KYOTEN	CENTER
		VPN対象パケット優先度	1	1
		VPNピアのIPアドレス	(設定不要)	200.200.200.1
		VPNピアのホスト名	F100-kyoten	(設定不要)
		暗号化ポリシー	P2-DES-MD5	P2-DES-MD5
		IPsec SA確立契機	(設定不要)	常にSAを確立する
			【送信】	【送信】	送信ボタンを押します
	インタフェースのMAP登録 PPPoE1のMAP登録	MAP名	KYOTEN	(設定不要)
	インタフェースのMAP登録 PPPoE1のMAP登録		【送信】		送信ボタンを押します
	EWAN1のMAP登録		(設定不要)	CENTER
	EWAN1のMAP登録			【送信】	送信ボタンを押します
装置の再起動		装置を再起動する	【送信】	【送信】	※　★

★：NAT-Traversal機能を使う設定がWEB設定画面にはありませんので、以下のコマンドをセンタ側
　と拠点側にそれぞれ追加してください。
　Router# configure terminal
　Router(config)# crypto isakmp policy 1
　Router(config-isakmp)# nat-traversal enable

※：設定を有効にするために、装置の再起動を行います。

＜コマンドによる設定の例＞
センタ側FITELnet-F100の設定　　　　　　　　　　　　　　　　　　　　

!
!
! LAN側IPアドレスを設定します。
!
Router> enable
Enter password: super ←パスワードを入力します。（実際は表示されない）

Router# configure terminal
Router(config)# interface lan 1
Router(config-if lan 1)# ip address 192.168.1.254 255.255.255.0
Router(config-if lan 1)# exit
!
! 
! PPPoEの各種設定をします。
!
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# pppoe server FLETS
Router(config-if pppoe 1)# pppoe account abc012@***.***.ne.jp xxxyyyzzz
Router(config-if pppoe 1)# pppoe type host
Router(config-if pppoe 1)# ip address 200.200.200.1
!
! 
! NAT+の設定をします。
!
Router(config-if pppoe 1)# ip nat inside source list 1 interface
Router(config-if pppoe 1)# exit
!
!
! access-list に、NAT+変換前アドレス（LAN側アドレス）を登録します。
!
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
!
!
! デフォルトルートをPPPoE1に設定します。
!
Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1
!
!
!  VPN動作モードを指定します。
!
Router(config)# vpn enable
!
!
!  Phase1ポリシーの設定を行ないます。
!
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# authentication prekey
Router(config-isakmp)# encryption des
Router(config-isakmp)# hash md5
Router(config-isakmp)# key ascii SECRET-VPN
Router(config-isakmp)# negotiation-mode aggressive
Router(config-isakmp)# peer-identity host F100-kyoten
Router(config-isakmp)# idtype-pre userfqdn
Router(config-isakmp)# nat-traversal enable
!                      NATトラバーサル有効
Router(config-isakmp)# exit
!
!
!  Phase2ポリシーの設定を行ないます。
!
Router(config)# ipsec transform-set P2-DES-MD5 esp-des esp-md5-hmac
!
!
!  VPNセレクタの設定を行ないます。
!
Router(config)# ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 
Router(config)# ipsec access-list 64 bypass ip any any
Router(config)# crypto map KYOTEN 1
Router(config-crypto-map)# match address 1
Router(config-crypto-map)# set peer host F100-kyoten
Router(config-crypto-map)# set transform-set P2-DES-MD5
Router(config-crypto-map)# exit
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# crypto map KYOTEN
Router(config-if pppoe 1)# exit
Router(config)# end
Router# save SIDE-A.cfg
% saving working-config
% finished saving

拠点側FITELnet-F100の設定　　　　　　　　　　　　　　　　　　　　

!
!
! LAN側IPアドレスを設定します。
!
Router> enable
Enter password: super ←パスワードを入力します。（実際は表示されない）

Router# configure terminal
Router(config)# interface lan 1
Router(config-if lan 1)# ip address 192.168.3.254 255.255.255.0
Router(config-if lan 1)# exit
!
!
! EWANインタフェース設定モードに移行します。
!
Router(config)# interface ewan 1
!
! 
! IPアドレス／サブネットマスクを設定します。
!
Router(config-if ewan 1)# ip address 192.168.2.254 255.255.255.0
!
! 
! NAT+の設定をします。
!
Router(config-if ewan 1)# ip nat inside source list 1 interface
Router(config-if ewan 1)# exit
!
!
! access-list に、NAT+変換前アドレス（LAN側アドレス）を登録します。
!
Router(config)# access-list 1 permit 192.168.3.0 0.0.0.255
!
!
! デフォルトルートのNextHopを192.168.2.253（ルータモデム）に設定します。
!
Router(config)# ip route 0.0.0.0 0.0.0.0 192.168.2.253
!
!
!  VPN動作モードを指定します。
!
Router(config)# vpn enable
!
!
!  Phase1ポリシーの設定を行ないます。
!
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# authentication prekey
Router(config-isakmp)# encryption des
Router(config-isakmp)# hash md5
Router(config-isakmp)# key ascii SECRET-VPN
Router(config-isakmp)# my-identity F100-kyoten
Router(config-isakmp)# negotiation-mode aggressive
Router(config-isakmp)# peer-identity address 200.200.200.1
Router(config-isakmp)# idtype-pre userfqdn
Router(config-isakmp)# nat-traversal enable
!                      NATトラバーサル有効
Router(config-isakmp)# exit
!
!
!  Phase2ポリシーの設定を行ないます。
!
Router(config)# ipsec transform-set P2-DES-MD5 esp-des esp-md5-hmac
!
!
!  VPNセレクタの設定を行ないます。
!
Router(config)# ipsec access-list 1 ipsec ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 
Router(config)# ipsec access-list 64 bypass ip any any
Router(config)# crypto map CENTER 1
Router(config-crypto-map)# match address 1
Router(config-crypto-map)# set peer address 200.200.200.1
Router(config-crypto-map)# set transform-set P2-DES-MD5
Router(config-crypto-map)# set security-association always-up
!                                                       常にSAを確立
Router(config-crypto-map)# exit
Router(config)# interface ewan 1
Router(config-if ewan 1)# crypto map CENTER
Router(config-if ewan 1)# exit
Router(config)# end
Router# save SIDE-A.cfg
% saving working-config
% finished saving