古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
 
設定例
5.センタ(IP固定,アドレス1),拠点(IP不定)
概要
補足・注意点
前提条件
当設定例では、以下のアドレス・環境を前提に説明しています。
プロバイダより割り振られたアドレス(アドレスは一例です)
センタ側 210.158.xxx.17
拠点側 指定なし
WEB設定の例
センタ
設定画面 設定項目 設定値 備考
センタ(F100)
インタフェース設定 LAN側設定 LAN側IPアドレス

192.168.1.254

サブネットマスク

255.255.255.0

DHCPサーバ機能 使用しない
【送信】 送信ボタンを押します
EWAN
PPPoE接続
PPPoE1
名称
FLETS わかりやすい名称
ユーザID

abc012@***.***.ne.jp

IDは一例です
パスワード xxxyyyzzz パスワードは一例です
接続タイプ 端末型
IPアドレス

210.158.xxx.17

【送信】 送信ボタンを押します
ルーティングプロトコルの設定 スタティックルーティング 通信先指定 0.0.0.0/0
中継先指定
インタフェース指定
PPPOE1
【送信】 送信ボタンを押します
NAT機能 PPPoE1
NAT+の登録
LAN上の端末指定 192.168.1.0/24 NAT変換前のアドレス
【送信】 送信ボタンを押します
VPNの設定 VPN動作モード ON
VPN通信動作中のイベントログ 残す
【送信】 送信ボタンを押します
VPNの設定 VPN対象パケットの登録 優先度 1
宛先指定 IPアドレス指定
192.168.2.0/24
送信元指定 IPアドレス指定
192.168.1.0/24
プロトコル IP
IPsec処理タイプ IPsec処理して中継
【送信】
優先度 64
宛先指定 すべて
送信元指定 すべて
プロトコル IP
IPsec処理タイプ IPsec処理しないで中継
【送信】 送信ボタンを押します
暗号化ポリシーの登録 名前 P2-POLICY
暗号アルゴリズム 3DES
認証アルゴリズム HMAC-SHA
【送信】 送信ボタンを押します
IKEポリシーの登録 ID 1
IKEポリシー認証アルゴリズム Pre-shared Key(拡張認証なし)
暗号化アルゴリズム 3des  
Diffie-Hellman Group 2  
ハッシュアルゴリズム sha
FQDNタイプ UserFQDN  
鍵データ アスキー
secret-vpn
VPNピアの名前 remote
【送信】 送信ボタンを押します
MAPの登録 MAP名

kyoten

VPN対象パケット優先度 1
VPNピアのホスト名

remote

暗号化ポリシー P2-POLICY
IPsec PFS off
IPsec SAの生存時間 600秒
【送信】 送信ボタンを押します
インタフェースのMAP登録
PPPoE1のMAP登録
MAP名

kyoten

【送信】 送信ボタンを押します
装置の再起動 装置を再起動する 【送信】
※:設定を有効にするために、装置の再起動を行います。
WEB設定の例
拠点
設定画面 設定項目 設定値 備考
拠点(F40)
簡単設定 PPP over Ethernetの設定 1
名称
FLETS わかりやすい名称
ユーザID abc345@***.***.ne.jp IDは一例です
パスワード zzzyyyxxx パスワードは一例です
接続タイプ 端末型
デフォルトルート チェックを入れる
LAN側IPアドレス IPアドレス 192.168.2.254
サブネットマスク 255.255.255.0
NAT動作モード PPPoE1 NAT+
【登録する】 登録ボタンを押します
便利な設定
VPNの設定
VPN動作モード ON
【送信】 送信ボタンを押します
便利な設定
VPNの設定
Phase1ポリシーの登録 1
ポリシー識別子 1
Phase1方式 Pre-shared Key(拡張認証なし)
暗号化アルゴリズム 3des
Diffie-Hellmanで使用するOakley Group group2
ハッシュアルゴリズム sha
【送信】 送信ボタンを押します
Phase2ポリシーの登録 1
ポリシー識別子 1
SAライフタイム 600
鍵データの再生成 しない
暗号化アルゴリズム 3des
認証アルゴリズム hmac-sha
【送信】 送信ボタンを押します
VPNピアの登録 1
VPNピア識別
相手IPアドレス指定
210.158.xxx.17
こちらの名前 remote  
FQDNタイプ UserFQDN
鍵データ 文字列
secret-vpn
NAT動作モード off
Phase1ポリシー識別子 1
【送信】 送信ボタンを押します
VPN対象パケットの登録 優先度 1
宛先指定 IPアドレス指定
192.168.1.0/24
送信元指定 IPアドレス指定
192.168.2.0/24
IPsec処理タイプ IPsec処理して中継
SA確率契機 起動時確立しない
ライフタイム満了時  
回線が確立したらSA確立動作を行う  
SA確率までリトライする  
VPNピア 210.158.xxx.17
Phase2ポリシー 1
優先度 64
宛先指定 全て(ホスト1)
送信元指定 全て(ホスト1)
IPsec処理タイプ IPsec処理しないで中継
【送信】 送信ボタンを押します
インフォメーション VPNログの表示 今後VPNログに SA 確立のイベントを 【残す】 残すボタンを押します
装置の再起動 装置を再起動する 【送信】
ファームウェアV02.01以降からこの設定を加えることで、インタフェースUP時にSAが確立するまで繰返し確立を試みます。これによりインタフェースUP時には常にSAが確立されます。
この機能を利用して、拠点側に固定のアドレスが無くても、データの発生契機や方向に関わらずVPN通信を自動的に再開できます。

設定を有効にするために、装置の再起動を行います。
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
センタ
!
!
! 特権ユーザモードに移行します。
!
Router> enable
Enter password: super ←パスワードを入力します。(実際は表示されない)

Router#
!
!
! 基本設定モードに移行します。
!
Router# configure terminal
Router(config)#
!
!
! LAN側IPアドレスを設定します。
!
Router(config)# interface lan 1
Router(config-if lan 1)# ip address 192.168.1.254 255.255.255.0
Router(config-if lan 1)# exit
!
!
! PPPoE1インタフェース設定モードに移行します。
!
Router(config)# interface pppoe 1
Router(config-if pppoe 1)#
!
! 
! PPPoEの各種設定をします。
!
Router(config-if pppoe 1)# pppoe server FLETS
Router(config-if pppoe 1)# pppoe account abc012@***.***.ne.jp xxxyyyzzz
Router(config-if pppoe 1)# pppoe type host ※1
Router(config-if pppoe 1)# ip address 210.158.xxx.17 ※2
!
! 
! NAT+の設定をします。
!
Router(config-if pppoe 1)# ip nat inside source list 99 interface
Router(config-if pppoe 1)# exit
!
!
! access-list に、変換前アドレス(LAN側アドレス)を登録します。
!
Router(config)# access-list 99 permit 192.168.1.0 0.0.0.255
!
!
! デフォルトルートをPPPoE1に設定します。
!
Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1
!
!
! VPN機能を有効にします。
!
Router(config)# vpn enable
!
!
! VPN通信動作中の詳細なログを残す設定にします。
!
Router(config)# vpnlog enable
!
!
! Phase1ポリシーの設定を行ないます。
!
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# authentication prekey
Router(config-isakmp)# encryption 3des
Router(config-isakmp)# group 2
Router(config-isakmp)# hash sha
Router(config-isakmp)# peer-identity host remote
Router(config-isakmp)# idtype-pre userfqdn
Router(config-isakmp)# key ascii secret-vpn
Router(config-isakmp)# exit
!
!
! Phase2ポリシーの設定を行ないます。
!
Router(config)# ipsec transform-set P2-POLICY esp-3des esp-sha-hmac
!
!
! VPNセレクタの設定を行ないます。
!
Router(config)# ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 
Router(config)# ipsec access-list 64 bypass ip any any
Router(config)# crypto map kyoten 1
Router(config-crypto-map)# match address 1
Router(config-crypto-map)# set peer host remote 
Router(config-crypto-map)# set transform-set P2-POLICY
Router(config-crypto-map)# no set pfs 
Router(config-crypto-map)# set security-association lifetime seconds 600
Router(config-crypto-map)# exit
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# crypto map kyoten
Router(config-if pppoe 1)# exit
!
!
! 特権ユーザモードに戻ります。
!
Router(config)# end
!
!
! 設定を保存します。
!
Router# save SIDE-A.cfg
% saving working-config
% finished saving

Router#
!
!
! 設定を有効にするために再起動します。
!
Router# reset 
Are you OK to cold start?(y/n) y
※1 OCN ADSLアクセス IP8/IP16「フレッツ」プランのような複数のアドレスを割り当てられる契約の場合は、"pppoe type lan"と設定します。

※2 OCN ADSLアクセス IP8/IP16「フレッツ」プランのような複数のアドレスを割り当てられる契約の場合は、指定されたIPアドレスに+1したアドレスを設定します。
例えば、210.169.0.48/29 を割り当てられた場合は、"210.169.0.49"を設定します。
また、割り当てられた複数アドレスを、PPPoE のインターフェースでしか使用しない場合は、網と FITELnet-F100 との間で輻輳を防止するために、未使用のアドレスはフィルタリングしておいて下さい。
前出の例の場合ですと、
Router(config)# access-list 100 permit ip any 210.169.0.49 0.0.0.0
Router(config)# access-list 100 deny ip any 210.169.0.48 0.0.0.7
Router(config-if pppoe 1)# ip access-group 100 in
vのように設定します。
コマンド設定の例
(#の行はコメントです。実際に入力する必要はありません。)
拠点
#
#EWANをPPPoEを使用する
# 
wan type=pppoe
#
#フレッツADSLに接続するためのIDとパスワード
#固定IPアドレスのうち,一番若い数字をルータアドレスとして設定
#(ファームウェアV01.02以前では“if=pppoe1”は不要)
#
pppoe add name=FLETS if=pppoe1 type=host\
 id=abc345@xxx.xxx.ne.jp password=zzzyyyxxx
#
#LAN側IPアドレスの設定
#
interface lan addr=192.168.2.254,255.255.255.0
#
#ルート情報の設定
#
ipripstatic delete default
ipripstatic add dst=0.0.0.0,0.0.0.0 nextif=pppoe1
#
#NATプラスを使用する
#(ファームウェアV01.02以前では“pppoe1”は不要)
#
nat pppoe1 natp
#
#VPN機能を使用する
#
vpn on
vpnopt vpnlog=on
#
#PhaseIポリシーの設定(Pre-shared key方式)
#
vpnikepolicy add id=1 method=prekey encr=3des group=2 hash=sha
#
#VPNピアの設定
#
vpnpeer add addr=210.158.xxx.17 myname=remote\
 idtype-pre=userfqdn key=a,secret-vpn nat=off ikepolicy=1
#
#PhaseIIポリシーの設定
#(デフォルトでライフタイムは600秒)
#
vpnpolicy add id=1 encr=3des auth=hmac-sha pfs=no sec=600
#
#VPN対象パケット(VPNセレクタ)の設定
#
vpnselector add id=1\ 
 dst=192.168.1.0,255.255.255.0 src=192.168.2.0,255.255.255.0\
 type=ipsec peeraddr=210.158.xxx.17 policy=1
vpnselector add id=64 dst=all src=all type=bypass
#
#設定を保存
#
exit
Configuration modified. save ok?(y/n):y
please reset#reset
Do you want to continue(y/n)?:y

(ファームウェアV02.01以降から)

「VPN対象パケット(VPNセレクタ)の設定」で,以下の設定を加えることで,インタフェースUP時にSAが確立するまで繰り返し確立を試みます。これによりインターフェースUP時には常にSAが確立されます。
この機能を利用して,拠点側に固定のアドレスがなくても,データの発生契機や方向に関わらずVPNの通信を自動的に再開できます。

vpnselector set id=1 dst=192.168.1.0,255.255.255.0\
 src=192.168.2.0,255.255.255.0 ifupnego=on retrynego=on

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007