| ネットワーク機器トップ > 製品ラインナップ > FITELnet-Fシリーズ > FITELnet-F100・1000 > 設定例 > IPsecパススルーをする |
| 5.IPsecパススルーをする センタ(IP固定),拠点(IP固定) |
<プロバイダより割り振られたアドレス(アドレスは一例です)>
| センタ側 | 200.200.200.1 |
| 拠点側 | 210.210.210.100 |
<設定条件>
設定環境は図のとおり
| IPsecの対象とする中継パケット | 192.168.1.0/24 ⇔ 172.16.0.100 |
| IPsec Phase1ポリシー | モード ・・・ Mainモード 認証方式 ・・・ 事前共有鍵方式 暗号化方式 ・・・ 3DES ハッシュ方式 ・・・ MD5 Diffie-Hellman ・・・ Group2 |
| IPsec Phase2ポリシー | 暗号化方式 ・・・ 3DES ハッシュ方式 ・・・ MD5 |
! ! ! LAN側IPアドレスを設定します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# Router# configure terminal Router(config)# Router(config)# interface lan 1 Router(config-if lan 1)# ip address 192.168.0.1 255.255.255.0 Router(config-if lan 1)# exit ! ! ! PPPoE1インタフェース設定モードに移行します。 ! Router(config)# interface pppoe 1 Router(config-if pppoe 1)# ! ! ! PPPoEの各種設定をします。 ! Router(config-if pppoe 1)# pppoe server FLETS Router(config-if pppoe 1)# pppoe account abc012@***.***.ne.jp xxxyyyzzz Router(config-if pppoe 1)# pppoe type host Router(config-if pppoe 1)# ip address 200.200.200.1 ! ! ! NAT+(IPマスカレード)の設定をします。 ! Router(config-if pppoe 1)# ip nat inside source list 1 interface Router(config-if pppoe 1)# exit ! ! ! access-list に、NAT+変換前アドレス(LAN側アドレス)を登録します。 ! Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255 ! ! 学習フィルタリング(SPI)の設定 Router(config)# access-list 100 dynamic permit ip 192.168.0.0 0.0.0.255 any Router(config)# access-list 199 deny ip any any ! ! ! DHCPサーバ機能を有効にします。 ! Router(config)# service dhcp-server ! ! ! 代理DNSサーバ機能を有効にします。 ! Router(config)# proxydns mode v4 ! IPv4にて使用 ! ! ! ホスト名の設定(名称は任意) Router(config)# hostname CENTER ! ! ! デフォルトルートをPPPoE1に設定します。 ! CENTER(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 ! ! ! LAN側にDHCPで広告する情報を設定します。 ! CENTER(config)# ip dhcp pool lan1 CENTER(config-dhcp-pool)# dns-server 0.0.0.0 ! F100自身を広告 CENTER(config-dhcp-pool)# default-router 0.0.0.0 ! F100自身を広告 CENTER(config-dhcp-pool)# exit ! ! VPN動作モードを指定します。 ! CENTER(config)# vpn enable ! ! ! VPNログを有効にします。 ! CENTER(config)# vpnlog enable ! ! ! Phase1ポリシーの設定を行ないます。 ! CENTER(config)# crypto isakmp policy 1 CENTER(config-isakmp)# negotiation-mode main ! WindowsXPはメインモードのみサポート CENTER(config-isakmp)# authentication prekey ! CENTER(config-isakmp)# encryption 3des CENTER(config-isakmp)# hash md5 CENTER(config-isakmp)# group 2 ! WindowsXPの初期設定値に合わせます CENTER(config-isakmp)# key ascii SECRET-VPN CENTER(config-isakmp)# peer-identity address 210.210.210.100 ! 見かけ上のVPNエンドポイントは拠点側F100です CENTER(config-isakmp)# exit ! ! ! Phase2ポリシーの設定を行ないます。 ! CENTER(config)# ipsec transform-set P2-3DES-MD5 esp-3des esp-md5-hmac ! ! ! VPNセレクタの設定を行ないます。 ! CENTER(config)# ipsec access-list 1 ipsec ip 192.168.0.0 0.0.0.255 172.16.0.100 0.0.0.0 ! 対向のWindowsXPのIPアドレス CENTER(config)# ipsec access-list 64 bypass ip any any CENTER(config)# crypto map KYOTEN 1 CENTER(config-crypto-map)# match address 1 CENTER(config-crypto-map)# set peer address 210.210.210.100 ! 見かけ上のVPNエンドポイントは拠点側F100です CENTER(config-crypto-map)# set transform-set P2-3DES-MD5 CENTER(config-crypto-map)# exit CENTER(config)# interface pppoe 1 CENTER(config-if pppoe 1)# crypto map KYOTE CENTER(config-if pppoe 1)# exit CENTER(config)# end CENTER# save SIDE-*.cfg ←*には、保存したい面に応じて、A・Bのどちらかを入れる % saving working-config % finished saving |
! ! ! LAN側IPアドレスを設定します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# Router# configure terminal Router(config)# Router(config)# interface lan 1 Router(config-if lan 1)# Router(config-if lan 1)# ip address 172.16.0.1 255.255.0.0 Router(config-if lan 1)# exit ! ! ! access-list の設定をします。 ! Router(config)# access-list 1 permit 172.16.0.0 0.0.255.255 ! NAT+用の変換前アドレス(LAN側アドレス)を登録 Router(config)# access-list 100 permit udp any any eq isakmp log ! IKE(ISAKMP)パケットを許可 ! ※ logオプションは"show flog"コマンド用 Router(config)# access-list 101 permit 50 host 200.200.200.1 host 172.16.0.100 ! センタ側F100→WinXP方向のIPsec(ESP)パケットを許可 ! ※ ESPパケットはプロトコル番号50 Router(config)# access-list 102 permit 50 host 172.16.0.100 host 200.200.200.1 ! WinXP→センタ側F100方向のIPsec(ESP)パケットを許可 Router(config)# access-list 103 dynamic permit ip any any ! 学習フィルタリング(SPI) Router(config)# access-list 199 deny ip any any ! ! ! PPPoE1インタフェース設定モードに移行します。 ! Router(config)# interface pppoe 1 Router(config-if pppoe 1)# ! ! ! PPPoEの各種設定をします。 ! Router(config-if pppoe 1)# pppoe server FLETS Router(config-if pppoe 1)# pppoe account abc345@***.***.ne.jp zzzyyyxxx Router(config-if pppoe 1)# pppoe type host Router(config-if pppoe 1)# ip address 210.210.210.100 ! ! ! NAT+(IPマスカレード)の設定をします。 ! Router(config-if pppoe 1)# ip nat inside source list 1 interface ! ! ! NATの設定をします(WAN→LAN方向)。 ! Router(config-if pppoe 1)# ip nat inside destination static 210.210.210.100 172.16.0.100 ! 拠点側F100はIPsecパケットをWinXPに転送 ! ! access-listの関連付けをします。 Router(config-if pppoe 1)# ip access-group 100 out ! IKE(ISAKMP)パケット Router(config-if pppoe 1)# ip access-group 100 in ! IKE(ISAKMP)パケット Router(config-if pppoe 1)# ip access-group 101 in ! センタ側F100→WinXP方向のIPsec(ESP)パケット Router(config-if pppoe 1)# ip access-group 102 out ! WinXP→センタ側F100方向のIPsec(ESP)パケット Router(config-if pppoe 1)# ip access-group 103 out Router(config-if pppoe 1)# ip access-group 199 in Router(config-if pppoe 1)# exit ! ! ! DHCPサーバ機能を有効にします。 ! Router(config)# service dhcp-server ! ! ! 代理DNSサーバ機能を有効にします。 ! Router(config)# proxydns mode v4 ! IPv4にて使用 ! ! ! ホスト名の設定(名称は任意) Router(config)# hostname KYOTEN ! ! ! デフォルトルートをPPPoE1に設定します。 ! KYOTEN(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 ! ! LAN側にDHCPで広告する情報を設定します。 ! KYOTEN(config)# ip dhcp pool lan1 KYOTEN(config-dhcp-pool)# dns-server 0.0.0.0 ! F100自身を広告 KYOTEN(config-dhcp-pool)# default-router 0.0.0.0 ! F100自身を広告 KYOTEN(config-dhcp-pool)# exit ! ! KYOTEN(config)# end KYOTEN# save SIDE-*.cfg ←*には、保存したい面に応じて、A・Bのどちらかを入れる % saving working-config % finished saving |
WindowsXPのIPsec設定手順詳細は「FITELnet-F100とWinXPでIPsec通信をする」をご参照ください。 なお、IPsecパススルーの関係で一部設定値が異なりますのでご注意ください。 |
・センタ側F100→WinXP方向のVPNエンドポイント・・・172.16.0.100(WinXP自身のローカルIP)
・WinXP→センタ側F100方向のVPNエンドポイント・・・200.200.200.1