概要
このページでは、amnimo ルーター と YAMAHA ルーター間を IPsec で接続するための設定例を紹介します。
前提条件
次の項目に関する知識があることが推奨されます。
- amnimo ルーターの CLI 操作に関する基本的な知識
- YAMAHA ルーターの CLI に関する基本的な知識
目次
構成
amnimo ルーターと YAMAHA ルーター間のパケットデータを IPsec で暗号化します。
YAMAHA ルーター
- モデル:NVR700W
- WAN側 IP アドレス:aa.aa.aa.aa(グローバル IP アドレスを使用)
- LAN側 IP アドレス:192.168.100.1/24
確認用 PC-A
- OS:Windows10
- IP アドレス:192.168.100.10/24
amnimo ルーター
- モデル:AC10
- WAN側 IP アドレス:bb.bb.bb.bb(グローバル IP アドレスを使用)
- LAN側 IP アドレス:192.168.0.254/24
- FW バージョン:amnimo C series AC10 version 1.13.0 build 54492
確認用 PC-B
- OS:Windows10
- IP アドレス:192.168.0.10/24
認証方式
- IKE Version2 を使用
- AES-CBC 128bits
- SHA1 HMAC
暗号化方式
- 事前共有鍵 : password123
STEP1:各機器の設定
YAMAHA ルーターの設定
YAMAHA 側で、以下のように設定を行います。
ip route 192.168.0.0/24 gateway tunnel 1
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike version 1 2
ipsec ike always-on 1 on
ipsec ike encryption 1 aes-cbc
ipsec ike esp-encapsulation 1 off
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike local address 1 aa.aa.aa.aa
ipsec ike local name 1 aa.aa.aa.aa ipv4-addr
ipsec ike pre-shared-key 1 text password123
ipsec ike remote address 1 bb.bb.bb.bb
ipsec ike remote name 1 bb.bb.bb.bb ipv4-addr
ipsec ike duration isakmp-sa 1 300
ipsec auto refresh 1 on
tunnel enable 1
amnimo ルーターの設定
IKE 設定
設定モードに移行し、以下のように設定を行います。
amnimo(cfg)# ipsec ike ike01
amnimo(cfg-ips-ike-{ike01})# local address bb.bb.bb.bb
amnimo(cfg-ips-ike-{ike01})# remote address aa.aa.aa.aa
amnimo(cfg-ips-ike-{ike01})# authentication pre-shared-key
Enter new password: password123 ← 事前共有鍵
Retype new password: password123 ← 確認のため再度入力
amnimo(cfg-ips-ike-{ike01})# no mobike
amnimo(cfg-ips-ike-{ike01})# transform encryption aes128 integrity sha1 prf sha1 dh-group 2
IKE モード上で設定を確認します。
amnimo(cfg-ips-ike-{ike01})# show config
local address bb.bb.bb.bb
remote address aa.aa.aa.aa
version 2
no mobike
authentication pre-shared-key secret cGFzc3dvcmQxMjM=
mode main
fragmentation
retry 3
transform encryption aes128 integrity sha1 prf sha1 dh-group 2
lifetime 3h
dpd interval 30s
dpd timeout 150s
amnimo(cfg-ips-ike-{ike01})# exit
SA 設定
同様に、設定モードで以下のように設定を行います。
amnimo(cfg)# ipsec sa sa01
amnimo(cfg-ips-sa-{sa01})# negotiation-mode hold
amnimo(cfg-ips-sa-{sa01})# transform encryption aes128 integrity sha1
amnimo(cfg-ips-sa-{sa01})# local subnet 192.168.0.0/24
amnimo(cfg-ips-sa-{sa01})# remote subnet 192.168.100.0/24
amnimo(cfg-ips-sa-{sa01})# key-exchange ike ike01
amnimo(cfg-ips-sa-{sa01})# enable
SA モード上で設定を確認します。
amnimo(cfg-ips-sa-{sa01})# show config
enable
key-exchange ike ike01
negotiation-mode hold
rekey
type esp
mode tunnel
anti-replay
transform encryption aes128 integrity sha1
lifetime 1h
local subnet 192.168.0.0/24
remote subnet 192.168.100.0/24
動的 SNAT 設定
モバイルインターフェイス rmnet_data0 に動的 SNAT が設定されている場合は、無効にします。
簡易設定等で初期設定を進めた場合は、有効になっている可能性があるためこの操作を実施します。 なお、もし有効になっていない状態でこの操作を実施してしまっても、その後の設定に特に影響はありませんのでご安心ください。 |
amnimo(cfg)# interface rmnet_data0
amnimo(cfg-interface-ecm0)# no dynamic-snat4
amnimo(cfg-interface-ecm0)# exit
動的 SNAT を利用する場合は、対向側の LAN 側ネットワークを除いた動的 SNAT 設定を行います。動的 SNAT を利用しない場合、この設定は不要です。
amnimo(cfg)# nat dynamic-snat 100
amnimo(cfg-dsnat-100)# out-interface rmnet_data0
amnimo(cfg-dsnat-100)# match dst-ip not 192.168.100.0/24
amnimo(cfg-dsnat-100)# enable
amnimo(cfg-dsnat-100)# exit
フィルター設定
IKE/NAT-T/ESP のパケットと、対向側 LAN ネットワークからの通信を受信出来るよう、フィルター設定を行います。
簡易設定で初期設定を進めた場合は、自動的に設定されるポリシーによって該当のパケットが破棄される設定になります。 工場出荷時の状態(簡易設定を実施する前の状態)ではデフォルトポリシーは許可になっています。そのような場合は該当のパケットが破棄されることが無いため、このフィルター設定は不要です。 また、本設定例では対向側 LAN ネットワークからの通信を全て許可する設定を実施していますが、ICMP や GUI 等、各プロトコルに応じて設定されたい場合は下記マニュアルを参考に各自実施ください。 |
amnimo(cfg)# filter input 500
amnimo(cfg-fin-500)# match in-interface rmnet_data0
amnimo(cfg-fin-500)# match protocol udp dst-port 500
amnimo(cfg-fin-500)# policy accept
amnimo(cfg-fin-500)# enable
amnimo(cfg-fin-500)# exit
amnimo(cfg)#
amnimo(cfg)# filter input 510
amnimo(cfg-fin-510)# match in-interface rmnet_data0
amnimo(cfg-fin-510)# match protocol udp dst-port 4500
amnimo(cfg-fin-510)# policy accept
amnimo(cfg-fin-510)# enable
amnimo(cfg-fin-510)# exit
amnimo(cfg)#
amnimo(cfg)# filter input 520
amnimo(cfg-fin-520)# match in-interface rmnet_data0
amnimo(cfg-fin-520)# match protocol esp
amnimo(cfg-fin-520)# policy accept
amnimo(cfg-fin-520)# enable
eamnimo(cfg-fin-520)# exit
amnimo(cfg)#
amnimo(cfg)# filter input 560
amnimo(cfg-fin-560)# match in-interface rmnet_data0
amnimo(cfg-fin-560)# match src-ip 192.168.100.0/24
amnimo(cfg-fin-560)# policy accept
amnimo(cfg-fin-560)# enable
amnimo(cfg-fin-560)# exit
設定を保存します。(設定を保存しないと、再起動時に設定が消去されるのでご注意ください。)
amnimo(cfg)# config file save
startup-config file already exists. Do you want to overwrite? (y/N): y
確認用 PC-A の設定
IP アドレスとデフォルトゲートウェイの設定
- IPアドレス:192.168.100.10
- デフォルトゲートウェイ:192.168.100.1
※ Windows 10 の場合、 [コントロールパネル] - [ネットワークとインターネット] - [ネットワーク接続] から、Edge Gateway に接続しているインターフェイスの状態を確認できます。
確認用 PC-B の設定
IP アドレスとデフォルトゲートウェイの設定
- IPアドレス:192.168.0.10
- デフォルトゲートウェイ:192.168.0.254
※ Windows 10 の場合、 [コントロールパネル] - [ネットワークとインターネット] - [ネットワーク接続] から、Edge Gateway に接続しているインターフェイスの状態を確認できます。
STEP2 接続
IPsec 接続を開始する
IPsec のステータスを確認します。
以下の太字部分のように表示されていれば、amnimo ルーターと YAMAHA ルーター間の接続が確立しています。
amnimo# show ipsec status
Status of IKE charon daemon (strongSwan 5.9.2, Linux 3.18.44, armv7l):
uptime: 20 minutes, since Feb 22 13:35:36 2024
malloc: sbrk 516096, mmap 0, used 154552, free 361544
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 1
loaded plugins: charon aes des rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem fips-prf gmp curve25519 xcbc cmac hmac drbg attr kernel-netlink resolve socket-default stroke vici updown xauth-generic counters
Listening IP addresses:
192.168.0.254
bb.bb.bb.bb
Connections:
sa01: bb.bb.bb.bb...aa.aa.aa.aa IKEv2
sa01: local: [bb.bb.bb.bb] uses pre-shared key authentication
sa01: remote: [aa.aa.aa.aa] uses pre-shared key authentication
sa01: child: 192.168.0.0/24 === 192.168.100.0/24 TUNNEL
Security Associations (1 up, 0 connecting):
sa01[10]: ESTABLISHED 3 minutes ago, bb.bb.bb.bb[bb.bb.bb.bb]...aa.aa.aa.aa[aa.aa.aa.aa]
sa01[10]: IKEv2 SPIs: 7e360231d40de635_i* 7c54a1e881a9972f_r, pre-shared key reauthentication in 2 hours
sa01[10]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
sa01{9}: INSTALLED, TUNNEL, reqid 7, ESP SPIs: ca251b76_i 477efee0_o
sa01{9}: AES_CBC_128/HMAC_SHA1_96, 736 bytes_i (8 pkts, 254s ago), 736 bytes_o (8 pkts, 196s ago), rekeying in 38 minutes
sa01{9}: 192.168.0.0/24 === 192.168.100.0/24
補足
接続が開始されていない場合、以下のコマンドで接続を開始します。
amnimo(cfg)# ipsec connect sa01
STEP3:疎通確認
注意事項
Ping 疎通が行えない場合、各機器のネットワーク設定が影響していることがあります。疎通確認用機器について、あらかじめ以下の点を確認してください。
- Firewall を無効にしているか。
- ルーティング設定が正しく設定されているか。
- デフォルトゲートウェイが正しく設定されているか。
- ICMP は許可されているか。
※ 上記を試しても疎通ができない場合、WiFi など他のインターフェイスなども無効にしてお試しください。
Ping 疎通確認
疎通確認用 PC-A (192.168.100.10) から、疎通確認用 PC-B (192.168.0.10) に向け、Ping を実施します。
C:\Users\test>ping 192.168.0.10
192.168.0.10 に ping を送信しています 32 バイトのデータ:
192.168.0.10 からの応答: バイト数 =32 時間 =98ms TTL=126
192.168.0.10 からの応答: バイト数 =32 時間 =70ms TTL=126
192.168.0.10 からの応答: バイト数 =32 時間 =128ms TTL=126
192.168.0.10 からの応答: バイト数 =32 時間 =119ms TTL=126
192.168.0.10 の ping 統計:
パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 70ms、最大 = 128ms、平均 = 103ms
同様に、疎通確認用 PC 2 (IP:192.168.0.10) から疎通確認用 PC 1 (192.168.100.10) に向け、Ping を実施し、通信ができていることを確認します。
Appendix
IPsec 接続失敗に関するお問い合わせについて
IPsec に関するサポートが必要な場合は、お問い合わせの際に下記情報を添えてご連絡をお願いします。
<必要な情報>
① 事象ご確認日時の情報
② NW 構成図
③ IPsec を接続する両端のデバイスの設定ファイル
④ 下記コマンド出力結果
・ show ipsec status
・ show ipsec xfrm state
・ show ipsec xfrm policy
⑤ 通信確認
・ どの機器からどの機器宛に通信を試みたのか (ping で確認の場合実行した機器のアドレス / 宛先等)
・ 通信パケットはどこまで到達しているのか
⑥ Syslog
コメント
0件のコメント
サインインしてコメントを残してください。