※ | 拠点側F100ではIKE(ISAKMP)パケット及びESPパケット(プロトコル番号50)のみLAN側WindowsXPに対してパススルーします |
※ | WindowsXPのローカルIPアドレスは固定 |
センタ側 | 200.200.200.1 |
拠点側 | 210.210.210.100 |
IPsecの対象とする中継パケット | 192.168.1.0/24 ⇔ 172.16.0.100 |
IPsec Phase1ポリシー |
モード ・・・ Mainモード 認証方式 ・・・ 事前共有鍵方式 暗号化方式 ・・・ 3DES ハッシュ方式 ・・・ MD5 Diffie-Hellman ・・・ Group2 |
IPsec Phase2ポリシー |
暗号化方式 ・・・ 3DES ハッシュ方式 ・・・ MD5 |
センタ
! ! ! 特権ユーザモードに移行します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本設定モードに移行します。 ! Router# configure terminal Router(config)# ! ! ! LAN側IPアドレスを設定します。 ! Router(config)# interface lan 1 Router(config-if lan 1)# ip address 192.168.0.1 255.255.255.0 Router(config-if lan 1)# exit ! ! ! PPPoE1インタフェース設定モードに移行します。 ! Router(config)# interface pppoe 1 Router(config-if pppoe 1)# ! ! ! PPPoEの各種設定をします。 ! Router(config-if pppoe 1)# pppoe server FLETS Router(config-if pppoe 1)# pppoe account abc012@***.***.ne.jp xxxyyyzzz Router(config-if pppoe 1)# pppoe type host Router(config-if pppoe 1)# ip address 200.200.200.1 ! ! ! NAT+(IPマスカレード)の設定をします。 ! Router(config-if pppoe 1)# ip nat inside source list 1 interface Router(config-if pppoe 1)# exit ! ! ! access-list に、NAT+変換前アドレス(LAN側アドレス)を登録します。 ! Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255 ! ! ! スタティックのフィルタリングでIPsec通信を許可します。 ! Router(config)# access-list 130 permit ip 192.168.0.0 0.0.0.255 host 172.16.0.100 Router(config)# access-list 140 permit ip host 172.16.0.100 192.168.0.0 0.0.0.255 Router(config)# interface pppoe 1 Router(config-if pppoe 1)# ip access-group 130 out Router(config-if pppoe 1)# ip access-group 140 in Router(config-if pppoe 1)# exit ! ! ! 学習フィルタリング(SPI)の設定 ! Router(config)# access-list 190 dynamic permit ip 192.168.0.0 0.0.0.255 any Router(config)# access-list 199 deny ip any any Router(config)# interface pppoe 1 Router(config-if pppoe 1)# ip access-group 190 out Router(config-if pppoe 1)# ip access-group 199 in Router(config-if pppoe 1)# exit ! ! ! DHCPサーバ機能を有効にします。 ! Router(config)# service dhcp-server ! ! ! 代理DNSサーバ機能を有効にします。 ! Router(config)# proxydns mode v4 ! IPv4にて使用 ! ! ! ホスト名の設定(名称は任意) ! Router(config)# hostname CENTER ! ! ! デフォルトルートをPPPoE1に設定します。 ! CENTER(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 ! ! ! LAN側にDHCPで広告する情報を設定します。 ! CENTER(config)# ip dhcp pool lan1 CENTER(config-dhcp-pool)# dns-server 0.0.0.0 ! F100自身を広告 CENTER(config-dhcp-pool)# default-router 0.0.0.0 ! F100自身を広告 CENTER(config-dhcp-pool)# exit ! ! ! VPN動作モードを指定します。 ! CENTER(config)# vpn enable ! ! ! VPNログを有効にします。 ! CENTER(config)# vpnlog enable ! ! ! Phase1ポリシーの設定を行ないます。 ! CENTER(config)# crypto isakmp policy 1 CENTER(config-isakmp)# negotiation-mode main ! WindowsXPはメインモードのみサポート CENTER(config-isakmp)# authentication prekey CENTER(config-isakmp)# encryption 3des CENTER(config-isakmp)# hash md5 CENTER(config-isakmp)# group 2 ! WindowsXPの初期設定値に合わせます CENTER(config-isakmp)# key ascii SECRET-VPN CENTER(config-isakmp)# peer-identity address 210.210.210.100 ! 見かけ上のVPNエンドポイントは拠点側F100です CENTER(config-isakmp)# exit ! ! ! Phase2ポリシーの設定を行ないます。 ! CENTER(config)# ipsec transform-set P2-POLICY esp-3des esp-md5-hmac ! ! ! VPNセレクタの設定を行ないます。 ! CENTER(config)# ipsec access-list 1 ipsec ip 192.168.0.0 0.0.0.255 172.16.0.100 0.0.0.0 ! 対向のWindowsXPのIPアドレス CENTER(config)# ipsec access-list 64 bypass ip any any ! CENTER(config)# crypto map KYOTEN 1 CENTER(config-crypto-map)# match address 1 CENTER(config-crypto-map)# set peer address 210.210.210.100 ! 見かけ上のVPNエンドポイントは拠点側F100です CENTER(config-crypto-map)# set transform-set P2-POLICY CENTER(config-crypto-map)# exit ! CENTER(config)# interface pppoe 1 CENTER(config-if pppoe 1)# crypto map KYOTEN CENTER(config-if pppoe 1)# exit ! ! ! 特権ユーザモードに戻ります。 ! CENTER(config)# end ! ! ! 設定を保存します。 ! CENTER# save SIDE-*.cfg ←*には、保存したい面に応じて、A・Bのどちらかを入れる % saving working-config % finished saving CENTER# ! ! ! 設定を有効にするために再起動します。 ! CENTER# reset Are you OK to cold start?(y/n) y
! ! ! 特権ユーザモードに移行します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本設定モードに移行します。 ! Router# configure terminal Router(config)# ! ! ! LAN側IPアドレスを設定します。 ! Router(config)# interface lan 1 Router(config-if lan 1)# ip address 172.16.0.1 255.255.0.0 Router(config-if lan 1)# exit ! ! ! access-list の設定をします。 ! Router(config)# access-list 1 permit 172.16.0.0 0.0.255.255 ! NAT+用の変換前アドレス(LAN側アドレス)を登録 Router(config)# access-list 130 permit udp any any eq isakmp log ! IKE(ISAKMP)パケットを許可 ! ※ logオプションは"show flog"コマンド用 Router(config)# access-list 140 permit 50 host 200.200.200.1 host 172.16.0.100 ! センタ側F100→WinXP方向のIPsec(ESP)パケットを許可 ! ※ ESPパケットはプロトコル番号50 Router(config)# access-list 145 permit 50 host 172.16.0.100 host 200.200.200.1 ! WinXP→センタ側F100方向のIPsec(ESP)パケットを許可 Router(config)# access-list 190 dynamic permit ip any any ! 学習フィルタリング(SPI) Router(config)# access-list 199 deny ip any any ! ! ! PPPoE1インタフェース設定モードに移行します。 ! Router(config)# interface pppoe 1 Router(config-if pppoe 1)# ! ! ! PPPoEの各種設定をします。 ! Router(config-if pppoe 1)# pppoe server FLETS Router(config-if pppoe 1)# pppoe account abc345@***.***.ne.jp zzzyyyxxx Router(config-if pppoe 1)# pppoe type host Router(config-if pppoe 1)# ip address 210.210.210.100 ! ! ! NAT+(IPマスカレード)の設定をします。 ! Router(config-if pppoe 1)# ip nat inside source list 1 interface ! ! ! NATの設定をします(WAN→LAN方向)。 ! Router(config-if pppoe 1)# ip nat inside destination static 210.210.210.100 172.16.0.100 ! 拠点側F100はIPsecパケットをWinXPに転送 ! ! ! access-listの関連付けをします。 ! Router(config-if pppoe 1)# ip access-group 130 out ! IKE(ISAKMP)パケット Router(config-if pppoe 1)# ip access-group 130 in ! IKE(ISAKMP)パケット Router(config-if pppoe 1)# ip access-group 140 in ! センタ側F100→WinXP方向のIPsec(ESP)パケット Router(config-if pppoe 1)# ip access-group 145 out ! WinXP→センタ側F100方向のIPsec(ESP)パケット Router(config-if pppoe 1)# ip access-group 190 out Router(config-if pppoe 1)# ip access-group 199 in Router(config-if pppoe 1)# exit ! ! ! DHCPサーバ機能を有効にします。 ! Router(config)# service dhcp-server ! ! ! 代理DNSサーバ機能を有効にします。 ! Router(config)# proxydns mode v4 ! IPv4にて使用 ! ! ! ホスト名の設定(名称は任意) ! Router(config)# hostname KYOTEN ! ! ! デフォルトルートをPPPoE1に設定します。 ! KYOTEN(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 ! ! ! LAN側にDHCPで広告する情報を設定します。 ! KYOTEN(config)# ip dhcp pool lan1 KYOTEN(config-dhcp-pool)# dns-server 0.0.0.0 ! F100自身を広告 KYOTEN(config-dhcp-pool)# default-router 0.0.0.0 ! F100自身を広告 KYOTEN(config-dhcp-pool)# exit ! ! ! 特権ユーザモードに戻ります。 ! KYOTEN(config)# end ! ! ! 設定を保存します。 ! KYOTEN# save SIDE-*.cfg ←*には、保存したい面に応じて、A・Bのどちらかを入れる % saving working-config % finished saving KYOTEN# ! ! ! 設定を有効にするために再起動します。 ! KYOTEN# reset Are you OK to cold start?(y/n) y
WindowsXP
WindowsXPのIPsec設定手順詳細は「FITELnet-F100とWinXPでIPsec通信をする」をご参照ください。 |
なお、IPsecパススルーの関係で一部設定値が異なりますのでご注意ください。 |
・ | センタ側F100→WinXP方向のVPNエンドポイント・・・172.16.0.100(WinXP自身のローカルIP) |
・ | WinXP→センタ側F100方向のVPNエンドポイント・・・200.200.200.1 |