古河電工ネットワーク機器 [FITELnet]:FITELnet-Fシリーズ F2500:設定例

古河電工ネットワーク機器の総合ブランド　ファイテルネット

設定例

IKEv2リモートアクセスのための設定例
対象機種：F70/F71/F220/F221/F220 EX/F221 EX

概要

IKEv2を使用してVPNクライアント端末からリモートアクセスするための設定です。
VPNゲートウェイ（以下「FITELnet装置」）は、FITELnet F70/F71/F220/F221/F220 EX/F221 EXもしくはFITELnet F2500です。
VPNクライアント端末は、以下の機種について動作確認しております。設定方法については以下をご確認ください。
　　・Windows10端末の設定
※本設定例では電子証明書を使用しますので、事前に証明書のインストールが必要となります。

補足・注意点

■証明書の登録について
　本設定例では、FITELnet装置とVPNクライアント端末それぞれに、証明書の登録が必要となります。
　弊社では、Ubuntu 14.04.5 LTSのOpenSSLによりCA局を作成して、FITELnet装置の証明書およびCA証明書を発行して動作確認しております。CA局およびFITELnet装置の操作手順を以下の「IKEv2証明書発行手順書」にまとめておりますので、ご確認ください。
　　　IKEv2証明書発行手順書
　　　　上記手順書の中では、以下を引用しております。
　　　　　・OpenSSLのコンフィグ(openssl.cnf)
　　　　　・デフォルトのopenssl.cnfからの変更箇所
　　　　　・Windows10にCA証明書をインストールする方法
　また、装置の日時が証明書の有効期間前になっているとIPsec接続できませんので、装置の日時を確認してご使用ください。本設定例では、NTPサーバとの時刻同期を行っています。

■Radiusサーバについて
　本設定例では、VPNクライアント端末から接続するユーザをLocal認証するケースとRadius認証するケースの2つを紹介しています。Radius認証の場合はRadiusサーバの設置が必要となります。弊社ではFreeRADIUS Version 3.0.16を使用して動作確認しております。ご参考までに、FreeRADIUSの設定ファイルを以下に提示します。
　　　radiusd.conf
　　　clients.conf
　　　users(追加する内容のみ抜粋)

■NAT+使用時の注意点
　FITELnet装置のWAN側インタフェースにてNAT+変換を行う場合に、NAT+変換対象をip nat list anyで設定すると、FITELnet装置が自局送信するパケットもNAT+変換対象となりますのでご注意ください。FITELnet装置が送信するISAKMPパケットがNAT+変換対象となり、IPsecSAを確立できなくなるケースがございます。以下にip nat list any使用時の問題点およびその回避方法をまとめておりますので、ご確認ください。
　　　NAT+使用時の注意点

FITELnet装置の設定例

FITELnet装置	pdfファイル（コマンドの説明あり）	txtファイル（working.cfg貼り付け用）
FITELnet F70/F71/F220/F221/ F220 EX/F221 EX	EAP-MSCHAPv2 Local認証	この設定を利用したい方は
FITELnet F70/F71/F220/F221/ F220 EX/F221 EX	EAP-MSCHAPv2 Radius認証&アカウンティング	この設定を利用したい方は
FITELnet F2500	EAP-MSCHAPv2 Local認証	この設定を利用したい方は
FITELnet F2500	EAP-MSCHAPv2 Radius認証&アカウンティング	この設定を利用したい方は

<pre>
!
access-list 111 permit udp any host 10.0.0.1 eq 500
access-list 111 permit udp any host 10.0.0.1 eq 4500
access-list 111 permit icmp any host 10.0.0.1
access-list 111 permit 50 any host 10.0.0.1
access-list 121 spi ip any any
!
ip route 0.0.0.0 0.0.0.0 192.168.0.254
ip route 192.168.1.0 255.255.255.0 null 0
ip local pool POOL1 192.168.1.1 192.168.1.254
!
logging buffer level informational
!
aaa authentication ike-client AUTH1 local-group LOCAL1
aaa authorization network CP1 local-group CONFIG1
!
aaa local group LOCAL1
 username user1 password pass1
 username user2 password pass2
exit
!
ntp server A.B.C.D
!
hostname IPsecGW
!
crypto ipsec udp-encapsulation nat-t keepalive interval 60
!
crypto ipsec policy IPsec_POLICY
 set security-association lifetime seconds 3600
 set security-association transform-keysize aes 128 256 256
 set security-association transform esp-aes esp-sha-hmac esp-sha256-hmac
 set mtu 1500
 set mss 1360
 set ip df-bit 0
 set ip fragment post
 sa-up route
exit
!
crypto ipsec selector SELECTOR
 src 1 ipv4 any
 src 2 ipv6 any
 dst 1 ipv4 any
 dst 2 ipv6 any
exit
!
crypto isakmp keepalive interval 30
crypto isakmp log sa detail
crypto isakmp log session detail
crypto isakmp log negotiation-fail detail
crypto isakmp tunnel-route ip address 10.0.0.2
!
crypto isakmp client configuration group CONFIG1
 pool POOL1
exit
!
crypto isakmp policy ISAKMP_POLICY
 authentication rsa-sig
 encryption aes
 encryption-keysize aes 128 256 256
 group 2 5 14 15
 lifetime 86400
 hash sha sha-256 sha-384 sha-512
exit
!
crypto isakmp profile PROF1
 local-address 10.0.0.1
 self-identity fqdn IPsecGW.example.com
 set isakmp-policy ISAKMP_POLICY
 set ipsec-policy IPsec_POLICY
 ca trustpoint CA1
 client authentication list AUTH1
 client authentication type eap-mschapv2
 client authentication eap-identity request
 client configuration address respond
 isakmp authorization list CP1
 pki revocation-check none
exit
!
crypto session identification address
!
crypto map MAP1 ipsec-isakmp dynamic
 match address SELECTOR
 set isakmp-profile PROF1
exit
!
interface GigaEthernet 1/1
 vlan-id 2
 bridge-group 2
 channel-group 2
exit
!
interface GigaEthernet 2/1
 vlan-id 1
 bridge-group 1
 channel-group 1
 ip access-group 111 in
 ip access-group 121 out
exit
!
interface Port-channel 1
 ip address 10.0.0.1 255.255.255.252
 mtu 1500
 mss 1360
exit
!
interface Port-channel 2
 ip address 192.168.0.1 255.255.255.0
 mtu 1500
 mss 1360
exit
!
end
</pre>

<pre>
!
access-list 111 permit udp any host 10.0.0.1 eq 500
access-list 111 permit udp any host 10.0.0.1 eq 4500
access-list 111 permit icmp any host 10.0.0.1
access-list 111 permit 50 any host 10.0.0.1
access-list 121 spi ip any any
!
ip route 0.0.0.0 0.0.0.0 192.168.0.254
ip route 192.168.1.0 255.255.255.0 null 0
!
logging buffer level informational
!
aaa authentication ike-client AUTH1 group RADIUS1
aaa accounting network ACCT1 start-stop group RADIUS1
!
aaa group server radius RADIUS1
 server-private 192.168.0.251 key secret auth-port 1812 acct-port 1813
 server-private 192.168.0.252 key secret auth-port 1812 acct-port 1813
 changeback-time 1
 nas-ip-address 192.168.0.1
exit
!
ntp server A.B.C.D
!
hostname IPsecGW
!
crypto ipsec udp-encapsulation nat-t keepalive interval 60
!
crypto ipsec policy IPsec_POLICY
 set security-association lifetime seconds 3600
 set security-association transform-keysize aes 128 256 256
 set security-association transform esp-aes esp-sha-hmac esp-sha256-hmac
 set mtu 1500
 set mss 1360
 set ip df-bit 0
 set ip fragment post
 sa-up route
exit
!
crypto ipsec selector SELECTOR
 src 1 ipv4 any
 src 2 ipv6 any
 dst 1 ipv4 any
 dst 2 ipv6 any
exit
!
crypto isakmp keepalive interval 30
crypto isakmp log sa detail
crypto isakmp log session detail
crypto isakmp log negotiation-fail detail
crypto isakmp tunnel-route ip address 10.0.0.2
!
crypto isakmp policy ISAKMP_POLICY
 authentication rsa-sig
 encryption aes
 encryption-keysize aes 128 256 256
 group 2 5 14 15
 lifetime 86400
 hash sha sha-256 sha-384 sha-512
exit
!
crypto isakmp profile PROF1
 local-address 10.0.0.1
 self-identity fqdn IPsecGW.example.com
 set isakmp-policy ISAKMP_POLICY
 set ipsec-policy IPsec_POLICY
 ca trustpoint CA1
 client authentication list AUTH1
 client authentication type eap-mschapv2
 client authentication eap-identity request
 client configuration address respond
 accounting ACCT1
 pki revocation-check none
exit
!
crypto session identification address
!
crypto map MAP1 ipsec-isakmp dynamic
 match address SELECTOR
 set isakmp-profile PROF1
exit
!
interface GigaEthernet 1/1
 vlan-id 2
 bridge-group 2
 channel-group 2
exit
!
interface GigaEthernet 2/1
 vlan-id 1
 bridge-group 1
 channel-group 1
 ip access-group 111 in
 ip access-group 121 out
exit
!
interface Port-channel 1
 ip address 10.0.0.1 255.255.255.252
 mtu 1500
 mss 1360
exit
!
interface Port-channel 2
 ip address 192.168.0.1 255.255.255.0
 mtu 1500
 mss 1360
exit
!
end

<pre>
!
access-list 111 permit udp any host 10.0.0.1 eq 500
access-list 111 permit udp any host 10.0.0.1 eq 4500
access-list 111 permit icmp any host 10.0.0.1
access-list 111 permit 50 any host 10.0.0.1
access-list 121 spi ip any any
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
ip route vrf VRF1 0.0.0.0 0.0.0.0 192.168.0.254
ip route 192.168.1.0 255.255.255.0 null 0
ip local pool POOL1 192.168.1.1 192.168.1.254
!
ip vrf VRF1
 rd 1:1
exit
!
logging buffer level informational
!
aaa authentication ike-client AUTH1 local-group LOCAL1
aaa authorization network CP1 local-group CONFIG1
!
aaa local group LOCAL1
 username user1 password pass1
 username user2 password pass2
exit
!
ntp server A.B.C.D
!
hostname IPsecGW
!
crypto ipsec udp-encapsulation nat-t keepalive interval 60
!
crypto ipsec policy IPsec_POLICY
 set security-association lifetime seconds 3600
 set security-association transform-keysize aes 128 256 256
 set security-association transform esp-aes esp-sha-hmac esp-sha256-hmac
 set mtu 1500
 set mss 1360
 set ip df-bit 0
 set ip fragment post
 sa-up route
exit
!
crypto ipsec selector SELECTOR
 src 1 ipv4 any
 src 2 ipv6 any
 dst 1 ipv4 any
 dst 2 ipv6 any
exit
!
crypto isakmp keepalive interval 30
crypto isakmp log sa detail
crypto isakmp log session detail
crypto isakmp log negotiation-fail detail
!
crypto isakmp client configuration group CONFIG1
 pool POOL1
exit
!
crypto isakmp policy ISAKMP_POLICY
 authentication rsa-sig
 encryption aes
 encryption-keysize aes 128 256 256
 group 2 5 14 15
 lifetime 86400
 hash sha sha-256 sha-384 sha-512
exit
!
crypto isakmp profile PROF1
 local-address 10.0.0.1
 self-identity fqdn IPsecGW.example.com
 set isakmp-policy ISAKMP_POLICY
 set ipsec-policy IPsec_POLICY
 ca trustpoint CA1
 client authentication list AUTH1
 client authentication type eap-mschapv2
 client authentication eap-identity request
 client configuration address respond
 isakmp authorization list CP1
 pki revocation-check none
exit
!
crypto session identification address
!
crypto map MAP1 ipsec-isakmp dynamic
 match address SELECTOR
 set isakmp-profile PROF1
 vrf VRF1
exit
!
interface GigaEthernet 1/1
 ip access-group 111 in
 ip access-group 121 out
 channel-group 1
exit
!
interface GigaEthernet 1/2
 channel-group 2
exit
!
interface Port-channel 1
 ip address 10.0.0.1 255.255.255.252
 mtu 1500
 mss 1360
exit
!
interface Port-channel 2
 ip vrf forwarding VRF1
 ip address 192.168.0.1 255.255.255.0
 mtu 1500
 mss 1360
exit
!
end

<pre>
!
access-list 111 permit udp any host 10.0.0.1 eq 500
access-list 111 permit udp any host 10.0.0.1 eq 4500
access-list 111 permit icmp any host 10.0.0.1
access-list 111 permit 50 any host 10.0.0.1
access-list 121 spi ip any any
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
ip route vrf VRF1 0.0.0.0 0.0.0.0 192.168.0.254
ip route 192.168.1.0 255.255.255.0 null 0
!
ip vrf VRF1
 rd 1:1
exit
!
logging buffer level informational
!
aaa authentication ike-client AUTH1 group RADIUS1
aaa accounting network ACCT1 start-stop group RADIUS1
!
aaa group server radius RADIUS1
 server-private 192.168.0.251 key secret auth-port 1812 acct-port 1813
 server-private 192.168.0.252 key secret auth-port 1812 acct-port 1813
 changeback-time 1
 ip vrf forwarding VRF1
 nas-ip-address 192.168.0.1
exit
!
ntp server A.B.C.D
!
hostname IPsecGW
!
crypto ipsec udp-encapsulation nat-t keepalive interval 60
!
crypto ipsec policy IPsec_POLICY
 set security-association lifetime seconds 3600
 set security-association transform-keysize aes 128 256 256
 set security-association transform esp-aes esp-sha-hmac esp-sha256-hmac
 set mtu 1500
 set mss 1360
 set ip df-bit 0
 set ip fragment post
 sa-up route
exit
!
crypto ipsec selector SELECTOR
 src 1 ipv4 any
 src 2 ipv6 any
 dst 1 ipv4 any
 dst 2 ipv6 any
exit
!
crypto isakmp keepalive interval 30
crypto isakmp log sa detail
crypto isakmp log session detail
crypto isakmp log negotiation-fail detail
!
crypto isakmp policy ISAKMP_POLICY
 authentication rsa-sig
 encryption aes
 encryption-keysize aes 128 256 256
 group 2 5 14 15
 lifetime 86400
 hash sha sha-256 sha-384 sha-512
exit
!
crypto isakmp profile PROF1
 local-address 10.0.0.1
 self-identity fqdn IPsecGW.example.com
 set isakmp-policy ISAKMP_POLICY
 set ipsec-policy IPsec_POLICY
 ca trustpoint CA1
 client authentication list AUTH1
 client authentication type eap-mschapv2
 client authentication eap-identity request
 client configuration address respond
 accounting ACCT1
 pki revocation-check none
exit
!
crypto session identification address
!
crypto map MAP1 ipsec-isakmp dynamic
 match address SELECTOR
 set isakmp-profile PROF1
 vrf VRF1
exit
!
interface GigaEthernet 1/1
 ip access-group 111 in
 ip access-group 121 out
 channel-group 1
exit
!
interface GigaEthernet 1/2
 channel-group 2
exit
!
interface Port-channel 1
 ip address 10.0.0.1 255.255.255.252
 mtu 1500
 mss 1360
exit
!
interface Port-channel 2
 ip vrf forwarding VRF1
 ip address 192.168.0.1 255.255.255.0
 mtu 1500
 mss 1360
exit
!
end

設定状態の確認

こちらをご確認ください。

サイトマップ古河電工HOME l 古河電工サーバのご利用にあたっての注意