| ネットワーク機器トップ > 製品ラインナップ > FITELnet-Fシリーズ > 設定例 > FITELnet-F40対向でIPsec通信をする(1) |
| 1.NAT-Traversalの構成 |
| センタ側 | 210.158.***.17 |
| 拠点側 | 指定なし(ルータモデム) |
|
【設定例表記方法のご案内】 本来一行で入力すべきコマンドでありながら,スペースの関係で複数行に渡った場合,行末に「\」を付けています. FITELnet-F40は,この「\」を認識しますので,本ページの設定例をコンソールにペーストできます. |
# #EWANをPPPoEで使用する # wan type=pppoe # #EWAN側IPアドレスと,フレッツADSLに接続するための #ID(abc012@***.***.ne.jp)とパスワード(xxxyyyzzz)の設定 # pppoe add name=FLETS if=pppoe1 addr=210.158.***.17\ id=abc012@***.***.ne.jp password=xxxyyyzzz # #LAN側IPアドレスの設定 # interface lan addr=192.168.1.254,255.255.255.0 # #ルート情報の設定 # ipripstatic delete default ipripstatic add dst=0.0.0.0,0.0.0.0 nextif=pppoe1 # #NATプラスを使用する #→VPN対象外のパケットをインターネットアクセスさせる場合には # VPNセレクタの設定と併せて必要 # nat pppoe1 natp # #VPN機能を使用する # vpn on # #PhaseIポリシーの設定(暗号アルゴリズムはDES,認証方法はPre-shared key方式, #認証アルゴリズムはMD5。ライフタイムはデフォルトで1000秒) # vpnikepolicy add id=1 encr=des method=prekey hash=md5 # #PhaseIIポリシーの設定(暗号アルゴリズムはDES,認証アルゴリズムはMD5。 #ライフタイムはデフォルトで600秒) # vpnpolicy add id=1 encr=des auth=hmac-md5 # #VPNピアの設定(この例では,鍵データは文字列でsecret-vpnとした。 #NAT-Traversal 機能を使用する) # vpnpeer add name=kyoten\ idtype-pre=userfqdn key=a,secret-vpn nat=off mode=aggressive ikepolicy=1\ nat-traversal=on # #VPN対象パケット(VPNセレクタ)の設定 # vpnselector add id=1 dst=192.168.3.0,255.255.255.0\ src=192.168.1.0,255.255.255.0 type=ipsec peername=kyoten policy=1 # #VPN対象外のパケットをインターネットアクセスさせる場合には必要 # vpnselector add id=64 dst=all src=all type=bypass # #設定を保存して装置を再起動 #(再起動しないと設定が有効にならない項目もあるので注意) # exit Configuration modified. save ok?(y/n): y please reset#reset Do you want to continue(y/n)?: y
# #EWAN側は固定のIPアドレスを使用する # wan type=manual # #EWAN側IPアドレスの設定 #(アドレスは一例です。 # ルータモデムのLAN側の設定に合わせてください) # interface wan addr=192.168.2.254,255.255.255.0 # #LAN側IPアドレスの設定 # interface lan addr=192.168.3.254,255.255.255.0 # #ルート情報の設定 #(nexthopのアドレスは一例です。 # ルータモデムのLAN側のアドレスを設定してください) # ipripstatic delete default ipripstatic add dst=0.0.0.0,0.0.0.0 nexthop=192.168.2.253 # #NATプラスを使用する #→VPN対象外のパケットをインターネットアクセスさせる場合には # VPNセレクタの設定と併せて必要 # nat wan natp # #VPN機能を使用する # vpn on # #PhaseIポリシーの設定(暗号アルゴリズムはDES,認証方法はPre-shared key方式, #認証アルゴリズムはMD5→センター側の設定と合わせる。ライフタイムはデフォルトで1000秒) # vpnikepolicy add id=1 encr=des method=prekey hash=md5 # #PhaseIIポリシーの設定(暗号アルゴリズムはDES,認証アルゴリズムはMD5 #→センター側の設定と合わせる。ライフタイムはデフォルトで600秒) # vpnpolicy add id=1 encr=des auth=hmac-md5 # #VPNピアの設定(鍵データは文字列でsecret-vpn→センター側と同じにする。 #NAT-Traversal 機能を使用する) # vpnpeer add addr=210.158.***.17 myname=kyoten\ idtype-pre=userfqdn key=a,secret-vpn nat=off mode=aggressive ikepolicy=1\ nat-traversal=on # #VPN対象パケット(VPNセレクタ)の設定 # vpnselector add id=1 dst=192.168.1.0,255.255.255.0\ src=192.168.3.0,255.255.255.0 type=ipsec\ peeraddr=210.158.***.17 policy=1 # #VPN対象外のパケットをインターネットアクセスさせる場合には必要 # vpnselector add id=64 dst=all src=all type=bypass # #設定を保存して装置を再起動 #(再起動しないと設定が有効にならない項目もあるので注意) # exit Configuration modified. save ok?(y/n): y please reset#reset Do you want to continue(y/n)?: y
|
拠点側の「VPN対象パケット(VPNセレクタ)の設定」で,以下のように
retrynegoをonにすることで,SA が確立するまで繰り返し確立を試みる
ようになります。 また,negotypeをlifetimeに設定しておくことで, SAが確立された後は,ライフタイム満了前に新しいSAを確立しにいく ようになります。 この二つの機能を利用することで,常にSAを確立した 状態を維持でき,拠点側に固定アドレスがなくても,データの発生契機や 方向に関わらず,VPN通信を自動的に再開できるようになります。 vpnselector set id=1 dst=192.168.1.0,255.255.255.0\ src=192.168.3.0,255.255.255.0 negotype=,lifetime\ retrynego=on peeraddr=210.158.***.17 policy=1 |
|
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2003 |