harumaki.net

インフラ屋の覚書や、ラーメン食べある記とか。

infra network YAMAHA Router 備忘録

YAMAHA RTX1200でIPsec VPN設定(クライアント接続)ドキュメント1.ルーター編

投稿日:2012年12月28日

わりと久々にRTX1200でIPsec VPNを設定したのでメモしました。

今回はPPPoEするルーターとVPNのプロファイルを設定するルーターが別のマシン、
対向側がルーターではなくVPNクライアントソフトを入れたノートPCなので
設定例集と比べて変更箇所が複数あるため、個人的な備忘録の要素が強いですw

参考

お世話になっております!

1)なんとなくポイント

  • PPPoE接続をするルーターとVPN設定ルーターが別になる。
    →なのでVPNルーター側のデフォルトGWにはPPPoEルーターを指定。
  • PPPoEはunnumbered接続
    今回設定するルーターには全然関係ないけど、一応備忘録として。
  • ISPから割り当てを受けるグローバルIPは/28、16個、うち14個使用可
  • PPPoE側はunnumberedなので割り当てIPは設定されず
    GWルーターのLAN1側に割り当てグローバルIPのセグメントを持つ。
  • 拠点間VPNではなく、VPNクライアントソフトを使ってPCから直接アクセス
    →イメージとしては、外出先からVPNを使用する。
    客先とか、くつろぎモードでル○アールとかコ○ダ珈琲店とかで作業をするなどw
    →なのでクライアント側の接続IPが変動するので、許可IPを設定しない
    →接続元IPをanyにする代わりに、ネームベースで接続元を識別する。
    →クライアントソフトにはYAMAHA YMS-VPN7を使用
    クライアントがVPN接続した後で使う内部IPの定義が必要
    →VPNクライアントは2台、トンネル数も2つなので内部IPも2セグメント用意する。

2)環境

※本ドキュメント内のIPアドレスはグローバル、プライベートともに架空のアドレスに置換しています。
グローバルIPは、RFC5737に沿って"テストネットワーク"で定義されているIPレンジ"203.0.113.0/24"を
255.255.240.0のサブネットで使用しました。

1.セグメント

  • グローバルセグメント
    203.0.113.16/28(アドレスレンジは203.0.113.17~30)

    • ネットワークアドレス
      203.0.113.16
    • ブロードキャストアドレス
      203.0.113.31
  • LANセグメント
    192.168.64.0/24
  • VPNクライアント用内部アドレスレンジ
    192.168.129.0/24
    192.168.130.0/24

2.各ルーターインターフェースへの割り当てIP、およびホスト

  • ゲートウェイルーター
    • LAN1
      PPPoE/unnumbered
    • LAN2
      203.0.113.17/28
  • VPNルーター
    • LAN1
      未使用(DMZとしてVLANで使う予定なので、今回は使わない)
    • LAN2
      203.0.113.30/28(実IP)
      203.0.113.18/28(仮想IP/セカンダリーIP)
    • LAN3
      192.168.64.254
  • 汎用サーバー
    192.168.64.201

    • ※汎用サーバーは主に以下のサービスを行う。
      telnet、ssh接続(実際にはどちらか片方)

      • syslog
      • SNMPサーバー(ルーターのMIB取得用)
      • tftpサーバー(コンフィグのバックアップ用)

 
ショボいNW図ですが、せっかくなので載せてみました。Visioの使い方はヘタです…

3)各種設定

フィルタリングの設定一覧

ここは最低限の設定しかしていないので、環境にあわせて
都度調整する必要があります。

  • IN
    番号 ルール プロトコル 送信元アドレス ポート番号
    受信先アドレス ポート番号
    21 reject 192.168.64.0/24
    *
    31 pass ICMP *
    192.168.64.0/24
    41 pass AH,ESP *
    *
    42 pass UDP * 500
    * *
    43 pass UDP * *
    * 500
    50 reject *
    *
  • OUT
    番号 ルール プロトコル 送信元アドレス ポート番号
    受信先アドレス ポート番号
    11 reject UDP,TCP * 135
    * *
    12 reject UDP,TCP * *
    * 135
    13 reject UDP,TCP * netbios_ns-netbios_ssn
    * *
    14 reject UDP,TCP * *
    * netbios_ns-netbios_ssn
    15 reject UDP,TCP * 445
    * *
    16 reject UDP,TCP * *
    * 445
    60 pass *
    *

4)個別設定

※大抵の場合はNATトラバーサルが必要になることが多いですが、今回は使わないので省略しています。

  • システム設定 
    login password <PASSWORD>
administrator password <ADMINPASSWORD>
security class 1 off off
timezone +09:00
  • IP、経路情報の設定 
    ip routing on
ip route default gateway 203.0.113.17		←GWルーターのアドレスをデフォルトゲートウェイに指定
ip route 192.168.24.0/24 gateway tunnel 1	←VPNクライアント側で設定するIPセグメントその1
ip route 192.168.25.0/24 gateway tunnel 2	←VPNクライアント側で設定するIPセグメントその2
ip filter source-route on
ip filter directed-broadcast on
  • LAN2のインターフェース設定 
    ip lan2 address 203.0.113.30/28				←LAN2にグローバルIPを設定。RTX107eとおなじセグメントのIP
ip lan2 secondary address 203.0.113.18/28		←グローバルIPのセカンダリを設定(VPN用だけど、なくても可)
ip lan2 secure filter in 21 31 41 42 43 50		←フィルタ設定(IN)
ip lan2 secure filter out 11 12 13 14 15 16 60 		←フィルタ設定(OUT)
ip lan2 intrusion detection out on
ip lan2 intrusion detection out winny on reject=on
ip lan2 intrusion detection out share on reject=on
ip lan2 intrusion detection out default off
ip lan2 nat descriptor 1				←NATディスクリプタの割り当て
  • LAN3のインターフェース設定 
    ip lan3 address 192.168.64.254/24			←L2回線側ゲートウェイ、LAN3
ip lan3 intrusion detection out on
ip lan3 intrusion detection out winny on reject=on
ip lan3 intrusion detection out share on reject=on
ip lan3 intrusion detection out default off
  • PP configuration 
    pp disable all

    このルーターではプロバイダ接続を行わないのでdisable allのままで。
     

  • TUNNEL configuration 
    no tunnel enable all

    トンネルインターフェースの無効化
    ここはとんねるインターフェースごとにenableにする。
    "tunnel disable all"でもいいような気が…
     

  • VPN/トンネル設定1 
    tunnel select 1						←VPN用トンネル設定。
 description tunnel vpn_client_A
 ipsec tunnel 1
  ipsec sa policy 1 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 off
  ipsec ike encryption 1 aes-cbc
  ipsec ike group 1 modp768
  ipsec ike hash 1 sha
  ipsec ike keepalive log 1 on
  ipsec ike keepalive use 1 auto heartbeat
  ipsec ike local address 1 192.168.64.254		←LAN3側IPアドレス(LAN側のゲートウェイ)
  ipsec ike pfs 1 off
  ipsec ike pre-shared-key 1 text hogehoge12345		←事前共有キー
  ipsec ike remote address 1 any			←接続元のIPを非固定に。
  ipsec ike remote name 1 client_A key-id		←IPでなくクライアント名で識別するのでマスト。
  ipsec auto refresh 1 on
 ip tunnel tcp mss limit auto
 tunnel enable 1
  • VPN/トンネル設定2 
    tunnel select 2						←VPN用トンネル設定。
 description tunnel vpn_client_B
 ipsec tunnel 2
  ipsec sa policy 2 2 esp aes-cbc sha-hmac
  ipsec ike always-on 2 off
  ipsec ike encryption 2 aes-cbc
  ipsec ike group 2 modp768
  ipsec ike hash 2 sha
  ipsec ike keepalive log 2 on
  ipsec ike keepalive use 2 auto heartbeat
  ipsec ike local address 2 192.168.64.254		←LAN3側IPアドレス(LAN側のゲートウェイ)
  ipsec ike pfs 2 off
  ipsec ike pre-shared-key 2 text foobar12345		←事前共有キー
  ipsec ike remote address 2 any			←接続元のIPを非固定に。
  ipsec ike remote name 2 client_B key-id		←IPでなくクライアント名で識別するのでマスト。
  ipsec auto refresh 2 on
 ip tunnel tcp mss limit auto
 tunnel enable 2
  • パケットフィルタリング設定
    最低限の設定しかしていないので、都度調整する必要あり(備忘録的コメントw)

    ip filter 11 reject * * udp,tcp 135 *
ip filter 12 reject * * udp,tcp * 135
ip filter 13 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 14 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 15 reject * * udp,tcp 445 *
ip filter 16 reject * * udp,tcp * 445
ip filter 21 reject 192.168.64.0/24 *
ip filter 31 pass * 192.168.64.0/24 icmp
ip filter 41 pass * * ah,esp			←VPN設定にはフィルタ番号41~43がマスト。
ip filter 42 pass * * udp 500 *			←IKE Phase 2にて、UDP500番を使ってESPを通す、とのこと。
ip filter 43 pass * * udp * 500			←これは番号42と対になります。
ip filter 50 reject * *
ip filter 60 pass * *
    • こちらはダイナミックフィルタ設定、ただしエントリだけで実機では有効にはしていない 
      ip filter dynamic 101 * * ftp
ip filter dynamic 102 * * www
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 107 * * udp
  • NATディスクリプタの設定 
    nat descriptor log on						←LAN2に定義するNAT設定
nat descriptor type 1 masquerade
nat descriptor address outer 1 203.0.113.30
nat descriptor address inner 1 192.168.64.0-192.168.64.255
nat descriptor masquerade static 1 1 192.168.64.254 udp 500
nat descriptor masquerade static 1 2 192.168.64.254 esp
  • IPSEC IKE の鍵交換開始の有無
    "鍵交換開始"に設定。

    ipsec auto refresh on
  • SYSLOG configuration
    syslogサーバーの指定。

    syslog host 192.168.64.201
syslog facility local*
  • TFTP サーバーの指定 
    tftp host 192.168.64.201
  • TELNETD configuration
    汎用サーバーからのみtelnetを許可。そのうちssh接続に切り替える予定。

    telnetd host 192.168.64.201
  • DNS configuration
    プロバイダのIPを指定。

    dns server 198.51.100.***		
dns private address spoof on
  • SNMP configuration 
    snmp host 192.168.64.201 public
  • Schedule configuration
    毎朝04:30にntpdateを実行、問い合わせ先はmfeed。

    schedule at 1 */* 04:30:00 * ntpdate ntp.jst.mfeed.ad.jp syslog
  • SSHD configuration 
    sshd service on
sshd host 192.168.64.201
sshd host key generate 22173 	Fg/q6erA5B5LjrIivMoOKrOqPm1t*****************************
******************************************************************************
******************************************************************************
  • Statistics configuration 
    statistics cpu on
statistics memory on
statistics traffic on
statistics flow on
statistics route on
statistics nat on
statistics filter on
statistics qos on

と、いった感じです。
しかしながら、事前共有キーの設定をしていて、おかしな挙動に気づいてしまった…
おそらく仕様だと思いますが、詳細はまとめて次回にUPまとめます。

またクライアント側の設定についてもまとめましたので、こちらをご参考ください。

ヤマハルーターでつくるインターネットVPN [第4版] -無線LAN構築対応-
ヤマハルーターでつくるインターネットVPN [第4版] -無線LAN構築対応-

posted with amazlet at 15.08.12
井上 孝司
マイナビ (2015-07-24)
売り上げランキング: 25,867
Amazon.co.jpで詳細を見る

 

Related posts:

  1. YAMAHA RTX1200でIPsec VPN設定(クライアント接続)ドキュメント2.クライアント編
  2. YAMAHA RTX1200 VPNアカウント作成手順(PPTP)
  3. YAMAHA RTX1200 設定のリストア(復元)についてメモ
  4. SNMPのTX/RXカウンタについて(YAMAHA RTX1200)

-infra, network, YAMAHA Router, 備忘録

執筆者:

comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


関連記事

[ただのメモ] Amazon_Linux_yumでのupdate不具合を解消

09/01にAmazon LinuxにてGitのアップデートがリリースされたのでyum updateしようとしたら、”No packages marked for update&#8221 …

no image

postfix + pop before SMTP

▼dracインストールとローカルでの動作確認 2004/10/20 dracはpop before SMTPを実装するためのアプリです。 といっても、この後SMTP-authへ変更してしまいましたが… …

[レビュー]Cisco Systems(Small Business) SG200-26-JP その1

  Cisco SBS SG200-26 今回、社内LAN用として、2010年に発売されたCisco small businessシリーズを2台ほど購入しました。 機種はSG200-26(24ポート+ …

[メモ][juniper] SRX(JunOS) FTPS設定追加

社内から外部のFTPサービスへ接続する際、通常のFTPでは問題ないものの、FTPS(FTP Over SSL/TLS)で接続しようとしたところ、認証が通ったところで応答がなくなり、そのままタイムアウト …

[nagios]nrpe.cfgのパラメーター一覧

RPM版nrpeでインストールされるnrpe.cfgのパラメーター一覧と説明書き。デフォルトの設定値つき。 結構適当な解釈をしちゃってるかもなので、ご指摘、ツッコミお待ちしておりますw log_fac …

PREV
今日のラーメン:なんつっ亭 弐(品達)
NEXT
YAMAHA RTX1200でIPsec VPN設定(クライアント接続)ドキュメント2.クライアント編

サイト内検索

スポンサーリンク

カテゴリー

タグ

apache AWS DB GNU/Linux HAProxy HP ProLiant MicroServer infra Juniper lenovo LIVE mysql nagios network nginx postfix ssl thinkpad Web つけ麺 サーバー監視 ランチ ラーメン 五反田・大崎 伊勢佐木町・黄金町 六本木・麻布 品川・大井町 坦々麺 家系 川崎 弘明寺・井土ヶ谷 新橋・虎ノ門 東神奈川・白楽 横浜 横須賀 沖縄 油そば 渋谷 目黒 磯子・杉田 自由が丘 蒲田・大森 蕎麦 藤沢 金沢八景・文庫 銀座

アーカイブ

メタ情報