YAMAHA RTX1200でIPsec VPN設定(クライアント接続)ドキュメント1.ルーター編

わりと久々にRTX1200でIPsec VPNを設定したのでメモしました。

今回はPPPoEするルーターとVPNのプロファイルを設定するルーターが別のマシン、
対向側がルーターではなくVPNクライアントソフトを入れたノートPCなので
設定例集と比べて変更箇所が複数あるため、個人的な備忘録の要素が強いですｗ

参考

お世話になっております！

RTシリーズコマンドリファレンス(下記はhtmlですが、PDF版もあります)
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/index.html

設定例集(PDFです)
http://www.rtpro.yamaha.co.jp/RT/manual/Rev.10.01.01/Configs.pdf

YMS-VPN7を使ったVPNトンネリング
http://jp.yamaha.com/products/network/solution/vpn/vpn_client/software/

RFC 5737
http://tools.ietf.org/html/rfc5737

↑

１）なんとなくポイント

PPPoE接続をするルーターとVPN設定ルーターが別になる。
→なのでVPNルーター側のデフォルトGWにはPPPoEルーターを指定。
PPPoEはunnumbered接続
今回設定するルーターには全然関係ないけど、一応備忘録として。
ISPから割り当てを受けるグローバルIPは/28、16個、うち14個使用可
PPPoE側はunnumberedなので割り当てIPは設定されず
GWルーターのLAN1側に割り当てグローバルIPのセグメントを持つ。
拠点間VPNではなく、VPNクライアントソフトを使ってPCから直接アクセス
→イメージとしては、外出先からVPNを使用する。
客先とか、くつろぎモードでル○アールとかコ○ダ珈琲店とかで作業をするなどｗ
→なのでクライアント側の接続IPが変動するので、許可IPを設定しない
→接続元IPをanyにする代わりに、ネームベースで接続元を識別する。
→クライアントソフトにはYAMAHA YMS-VPN7を使用
→クライアントがVPN接続した後で使う内部IPの定義が必要
→VPNクライアントは2台、トンネル数も2つなので内部IPも2セグメント用意する。

↑

２）環境

※本ドキュメント内のIPアドレスはグローバル、プライベートともに架空のアドレスに置換しています。
グローバルIPは、RFC5737に沿って"テストネットワーク"で定義されているIPレンジ"203.0.113.0/24"を
255.255.240.0のサブネットで使用しました。

↑

1.セグメント

グローバルセグメント
203.0.113.16/28(アドレスレンジは203.0.113.17～30)
- ネットワークアドレス
  203.0.113.16
- ブロードキャストアドレス
  203.0.113.31

LANセグメント
192.168.64.0/24
VPNクライアント用内部アドレスレンジ
192.168.129.0/24
192.168.130.0/24

↑

2.各ルーターインターフェースへの割り当てIP、およびホスト

ゲートウェイルーター
- LAN1
  PPPoE/unnumbered
- LAN2
  203.0.113.17/28
VPNルーター
- LAN1
  未使用(DMZとしてVLANで使う予定なので、今回は使わない)
- LAN2
  203.0.113.30/28(実IP)
  203.0.113.18/28(仮想IP/セカンダリーIP)
- LAN3
  192.168.64.254
汎用サーバー
192.168.64.201
- ※汎用サーバーは主に以下のサービスを行う。
  telnet、ssh接続(実際にはどちらか片方)
  - syslog
  - SNMPサーバー(ルーターのMIB取得用)
  - tftpサーバー(コンフィグのバックアップ用)

　
ショボいNW図ですが、せっかくなので載せてみました。Visioの使い方はヘタです…

３）各種設定

↑

フィルタリングの設定一覧

ここは最低限の設定しかしていないので、環境にあわせて
都度調整する必要があります。

番号	ルール	プロトコル	送信元アドレス	ポート番号
			受信先アドレス	ポート番号
21	reject		192.168.64.0/24
			*
31	pass	ICMP	*
			192.168.64.0/24
41	pass	AH,ESP	*
			*
42	pass	UDP	*	500
			*	*
43	pass	UDP	*	*
			*	500
50	reject		*
			*

OUT

番号	ルール	プロトコル	送信元アドレス	ポート番号
			受信先アドレス	ポート番号
11	reject	UDP,TCP	*	135
			*	*
12	reject	UDP,TCP	*	*
			*	135
13	reject	UDP,TCP	*	netbios_ns-netbios_ssn
			*	*
14	reject	UDP,TCP	*	*
			*	netbios_ns-netbios_ssn
15	reject	UDP,TCP	*	445
			*	*
16	reject	UDP,TCP	*	*
			*	445
60	pass		*
			*

↑

４）個別設定

※大抵の場合はNATトラバーサルが必要になることが多いですが、今回は使わないので省略しています。

システム設定

login password <PASSWORD>
administrator password <ADMINPASSWORD>
security class 1 off off
timezone +09:00

IP、経路情報の設定

ip routing on
ip route default gateway 203.0.113.17		←GWルーターのアドレスをデフォルトゲートウェイに指定
ip route 192.168.24.0/24 gateway tunnel 1	←VPNクライアント側で設定するIPセグメントその1
ip route 192.168.25.0/24 gateway tunnel 2	←VPNクライアント側で設定するIPセグメントその2
ip filter source-route on
ip filter directed-broadcast on

LAN2のインターフェース設定

ip lan2 address 203.0.113.30/28				←LAN2にグローバルIPを設定。RTX107eとおなじセグメントのIP
ip lan2 secondary address 203.0.113.18/28		←グローバルIPのセカンダリを設定(VPN用だけど、なくても可)
ip lan2 secure filter in 21 31 41 42 43 50		←フィルタ設定(IN)
ip lan2 secure filter out 11 12 13 14 15 16 60 		←フィルタ設定(OUT)
ip lan2 intrusion detection out on
ip lan2 intrusion detection out winny on reject=on
ip lan2 intrusion detection out share on reject=on
ip lan2 intrusion detection out default off
ip lan2 nat descriptor 1				←NATディスクリプタの割り当て

LAN3のインターフェース設定

ip lan3 address 192.168.64.254/24			←L2回線側ゲートウェイ、LAN3
ip lan3 intrusion detection out on
ip lan3 intrusion detection out winny on reject=on
ip lan3 intrusion detection out share on reject=on
ip lan3 intrusion detection out default off

PP configuration
```
pp disable all
```
このルーターではプロバイダ接続を行わないのでdisable allのままで。
　
TUNNEL configuration
```
no tunnel enable all
```
トンネルインターフェースの無効化
ここはとんねるインターフェースごとにenableにする。
"tunnel disable all"でもいいような気が…

VPN/トンネル設定1

tunnel select 1						←VPN用トンネル設定。
 description tunnel vpn_client_A
 ipsec tunnel 1
  ipsec sa policy 1 1 esp aes-cbc sha-hmac
  ipsec ike always-on 1 off
  ipsec ike encryption 1 aes-cbc
  ipsec ike group 1 modp768
  ipsec ike hash 1 sha
  ipsec ike keepalive log 1 on
  ipsec ike keepalive use 1 auto heartbeat
  ipsec ike local address 1 192.168.64.254		←LAN3側IPアドレス(LAN側のゲートウェイ)
  ipsec ike pfs 1 off
  ipsec ike pre-shared-key 1 text hogehoge12345		←事前共有キー
  ipsec ike remote address 1 any			←接続元のIPを非固定に。
  ipsec ike remote name 1 client_A key-id		←IPでなくクライアント名で識別するのでマスト。
  ipsec auto refresh 1 on
 ip tunnel tcp mss limit auto
 tunnel enable 1

VPN/トンネル設定2

tunnel select 2						←VPN用トンネル設定。
 description tunnel vpn_client_B
 ipsec tunnel 2
  ipsec sa policy 2 2 esp aes-cbc sha-hmac
  ipsec ike always-on 2 off
  ipsec ike encryption 2 aes-cbc
  ipsec ike group 2 modp768
  ipsec ike hash 2 sha
  ipsec ike keepalive log 2 on
  ipsec ike keepalive use 2 auto heartbeat
  ipsec ike local address 2 192.168.64.254		←LAN3側IPアドレス(LAN側のゲートウェイ)
  ipsec ike pfs 2 off
  ipsec ike pre-shared-key 2 text foobar12345		←事前共有キー
  ipsec ike remote address 2 any			←接続元のIPを非固定に。
  ipsec ike remote name 2 client_B key-id		←IPでなくクライアント名で識別するのでマスト。
  ipsec auto refresh 2 on
 ip tunnel tcp mss limit auto
 tunnel enable 2

パケットフィルタリング設定
最低限の設定しかしていないので、都度調整する必要あり(備忘録的コメントｗ)

ip filter 11 reject * * udp,tcp 135 *
ip filter 12 reject * * udp,tcp * 135
ip filter 13 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 14 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 15 reject * * udp,tcp 445 *
ip filter 16 reject * * udp,tcp * 445
ip filter 21 reject 192.168.64.0/24 *
ip filter 31 pass * 192.168.64.0/24 icmp
ip filter 41 pass * * ah,esp			←VPN設定にはフィルタ番号41～43がマスト。
ip filter 42 pass * * udp 500 *			←IKE Phase 2にて、UDP500番を使ってESPを通す、とのこと。
ip filter 43 pass * * udp * 500			←これは番号42と対になります。
ip filter 50 reject * *
ip filter 60 pass * *

こちらはダイナミックフィルタ設定、ただしエントリだけで実機では有効にはしていない

ip filter dynamic 101 * * ftp
ip filter dynamic 102 * * www
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 107 * * udp

NATディスクリプタの設定

nat descriptor log on						←LAN2に定義するNAT設定
nat descriptor type 1 masquerade
nat descriptor address outer 1 203.0.113.30
nat descriptor address inner 1 192.168.64.0-192.168.64.255
nat descriptor masquerade static 1 1 192.168.64.254 udp 500
nat descriptor masquerade static 1 2 192.168.64.254 esp

IPSEC IKE の鍵交換開始の有無
"鍵交換開始"に設定。
```
ipsec auto refresh on				
```

SYSLOG configuration
syslogサーバーの指定。
```
syslog host 192.168.64.201
syslog facility local*
```

TFTP サーバーの指定
```
tftp host 192.168.64.201
```

TELNETD configuration
汎用サーバーからのみtelnetを許可。そのうちssh接続に切り替える予定。
```
telnetd host 192.168.64.201			
```

DNS configuration
プロバイダのIPを指定。

dns server 198.51.100.***		
dns private address spoof on

SNMP configuration
```
snmp host 192.168.64.201 public
```

Schedule configuration
毎朝04:30にntpdateを実行、問い合わせ先はmfeed。
```
schedule at 1 */* 04:30:00 * ntpdate ntp.jst.mfeed.ad.jp syslog	
```

SSHD configuration

sshd service on
sshd host 192.168.64.201
sshd host key generate 22173 	Fg/q6erA5B5LjrIivMoOKrOqPm1t*****************************
******************************************************************************
******************************************************************************

Statistics configuration

statistics cpu on
statistics memory on
statistics traffic on
statistics flow on
statistics route on
statistics nat on
statistics filter on
statistics qos on

と、いった感じです。
しかしながら、事前共有キーの設定をしていて、おかしな挙動に気づいてしまった…
おそらく仕様だと思いますが、詳細はまとめて次回にUPまとめます。

またクライアント側の設定についてもまとめましたので、こちらをご参考ください。

ヤマハルーターでつくるインターネットVPN [第4版] -無線LAN構築対応-

posted with amazlet at 15.08.12

井上孝司
マイナビ (2015-07-24)
売り上げランキング: 25,867

Amazon.co.jpで詳細を見る