概要
このページでは、Edge Gateway と Cisco のルーター間を IPsec で接続するための設定例を紹介します。
前提条件
次の項目に関する知識があることが推奨されます。
- Cisco の CLI 操作に関する基本的な知識
- Cisco IOS での VPN 設定に関する知識
- Edge Gateway の CLI に関する基本的な知識
目次
構成
エッジゲートウェイと Cisco ルーター間のパケットデータを IPsec で暗号化します。
Cisco ルーター
- モデル:Cisco 841J
- IOS : Ver 15.5
- WAN側 IP アドレス:172.16.10.1 (GigabitEtherner0/4)
- LAN側 IP アドレス:192.168.10.1/24 (Vlan1)
疎通確認用 Gateway(本手順では Edge Gateway を使用)
- IP アドレス:192.168.10.2/24
Edge Gateway
- Firmware:Ver 1.2.3
- WAN側 IP アドレス:172.16.10.2/24 (eth0)
- LAN側 IP アドレス:192.168.0.254/24 (br0)
疎通確認用 PC
- OS:Windows 10
- IP アドレス:192.168.0.10/24
認証方式
- IKE Version2 を使用
- AES-CBC 128bits
- SHA1 HMAC
暗号化方式
- 事前共有鍵 : password123
STEP1:各機器の設定
Cisco ルーター設定
Cisco 側で、以下のように設定を行います。
crypto ikev2 proposal ikev2proposal
encryption aes-cbc-128
integrity sha1
group 5
crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
crypto ikev2 keyring keys
peer strongswan
address 172.16.10.2 ← Edge Gateway の WAN 側 IP アドレス
pre-shared-key local password123 ← 事前共有鍵
pre-shared-key remote password123 ← 事前共有鍵
crypto ikev2 profile ikev2profile
match identity remote address 172.16.10.2 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local keys
crypto ipsec transform-set TS esp-aes esp-sha-hmac
mode tunnel
crypto map cmap 10 ipsec-isakmp
set peer 172.16.10.2 ← Edge Gateway の WAN 側 IP アドレス
set transform-set TS
set ikev2-profile ikev2profile
match address cryptoacl
interface Vlan1
ip address 192.168.10.1 255.255.255.0
interface GigabitEthernet0/4
ip address 172.16.10.1 255.255.255.0 ← Cisco の WAN 側 IP アドレス
crypto map cmap
ip access-list extended cryptoacl
permit ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.0.255
ip route 192.168.0.0 255.255.255.0 172.16.10.2 ← Edge Gateway (br0側)に向けルーティング設定を行う
Edge Gateway の設定
インターフェイスを設定する
設定モードで、eth0 の IP アドレスを設定します。
amnimo(cfg)# interface eth0
amnimo(cfg-interface-br0)#
amnimo(cfg-interface-br0)# address 172.16.10.2/24 ← Edge Gateway の WAN 側 IP アドレス
amnimo(cfg-interface-br0)# exit
amnimo(cfg)#
br0 の IP アドレスは、デフォルトで 192.168.0.254 に設定されているため、特別な設定は不要です。
IP アドレスを変更する詳しい手順については、『エッジゲートウェイシリーズ CLIユーザーズマニュアル (amnimo.com)』を参照してください。
スタティックルートの設定をする
Cisco のルーター下の環境と疎通をするため、スタティックルートの設定をします。
amnimo(cfg)# routing static cisco
amnimo(cfg-rts-default)# to 192.168.10.0/24 ← Cisco LAN 側 ネットワークアドレス
amnimo(cfg-rts-default)# via 172.16.10.1 ← Cisco WAN 側 IP アドレス
amnimo(cfg-rts-default)# interface eth0 ← eth0 に設定する
amnimo(cfg-rts-default)# exit
IKE 設定
設定モードに移行し、以下のように設定を行います。
amnimo(cfg)# ipsec ike ike01 ← 設定名を指定する(例では ike01 という名前を指定)
amnimo(cfg-ips-ike-{ike01})# local address 172.16.10.2 ← Edge Gateway の WAN 側 IP アドレス
amnimo(cfg-ips-ike-{ike01})# local id ipv4 172.16.10.2 ← ローカル ID
amnimo(cfg-ips-ike-{ike01})# remote address 172.16.10.1 ← Cisco WAN 側 IP アドレス
amnimo(cfg-ips-ike-{ike01})# remote id ipv4 172.16.10.1 ← リモート ID
amnimo(cfg-ips-ike-{ike01})# authentication pre-shard-key
Enter new password: password123 ← Cisco で設定された事前共有鍵
Retype new password: password123 ← 確認のため再度入力
amnimo(cfg-ips-ike-{ike01})# transform encryption aes128 integrity sha1 prf sha1 dh-group 5
amnimo(cfg-ips-ike-{ike01})# exit
IKE モード上で設定を確認します。
SA 設定
同様に、設定モードで以下のように設定を行います。
amnimo(cfg)# ipsec sa sa01 ← 設定名を指定する(例では sa01 という名前を指定)
amnimo(cfg-ips-sa-{sa01})# enable
amnimo(cfg-ips-sa-{sa01})# key-exchange ike ike01 ← 鍵交換で使用する IKE 名を指定する
amnimo(cfg-ips-sa-{sa01})# transform encryption aes128 integrity sha1 ← 認証方式を指定する
amnimo(cfg-ips-sa-{sa01})# negotiation-mode initiate ← 自動で IPsec を確立する
amnimo(cfg-ips-sa-{sa01})# local subnet 192.168.0.0/24 ← br0 ローカルサブネット
amnimo(cfg-ips-sa-{sa01})# remote subnet 192.168.10.0/24 ← Cisco Vlan1 サブネット
amnimo(cfg-ips-sa-{sa01})# exit
SA モード上で設定を確認します。
amnimo(cfg-ips-sa-{sa01})# show config
enable
key-exchange ike ike01
negotiation-mode initiate
rekey
type esp
mode tunnel
anti-replay
transform encryption aes128 integrity sha1
lifetime 1h
local subnet 192.168.0.0/24
remote subnet 192.168.10.0/24
設定を保存します。(設定を保存しないと、再起動時に設定が消去されるのでご注意ください。)
amnimo(cfg)# config file save
startup-config file already exists. Do you want to overwrite? (y/N): y
疎通確認用 PC の設定
IP アドレスを設定する
- IPアドレス:192.168.0.10
デフォルトゲートウェイを設定をする
-
- デフォルトゲートウェイ (192.168.0.254) の設定がされていることを確認します。
※ Windows 10 の場合、 [コントロールパネル] - [ネットワークとインターネット] - [ネットワーク接続] から、Edge Gateway に接続しているインターフェイスの状態を確認できます。
- デフォルトゲートウェイ (192.168.0.254) の設定がされていることを確認します。
疎通確認用 Gateway の設定
- デフォルトゲートウェイ (192.168.10.1) が設定されていることを確認します。
STEP2 接続
IPsec 接続を開始する
IPsec のステータスを確認します。以下のように ESTABLISHED と表示されていれば、Edge Gateway と Cisco ルーター間の接続が確立しています。
amnimo(cfg)# show ipsec status
Status of IKE charon daemon (strongSwan 5.6.2, Linux 4.19.145-00788-g94f928acd636, aarch64):
uptime: 97 minutes, since Sep 02 13:51:37 2021
malloc: sbrk 3211264, mmap 532480, used 1421008, free 1790256
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 14
loaded plugins: charon test-vectors unbound ldap pkcs11 tpm aes rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey dnscert ipseckey pem gcrypt af-alg fips-prf gmp curve25519 chapoly xcbc cmac hmac ctr ccm ntru bliss curl soup mysql sqlite attr kernel-netlink resolve socket-default farp stroke updown eap-identity eap-sim eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-eap xauth-pam xauth-noauth tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp whitelist lookip error-notify certexpire led radattr addrblock unity counters
Listening IP addresses:
172.16.10.2
192.168.0.254
Connections:
sa01: 172.16.10.2...172.16.10.1 IKEv2
sa01: local: [172.16.10.2] uses pre-shared key authentication
sa01: remote: [172.16.10.1] uses pre-shared key authentication
sa01: child: 192.168.0.0/24 === 192.168.10.0/24 TUNNEL
Security Associations (1 up, 0 connecting):
sa01[7]: ESTABLISHED 4 seconds ago, 172.16.10.2[172.16.10.2]...172.16.10.1[172.16.10.1]
sa01[7]: IKEv2 SPIs: 7e360231d40de635_i* 7c54a1e881a9972f_r, pre-shared key reauthentication in 2 hours
sa01[7]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536
sa01{9}: INSTALLED, TUNNEL, reqid 7, ESP SPIs: ca251b76_i 477efee0_o
sa01{9}: AES_CBC_128/HMAC_SHA1_96, 540 bytes_i (7 pkts, 0s ago), 540 bytes_o (7 pkts, 0s ago), rekeying in 42 minutes
sa01{9}: 192.168.0.0/24 === 192.168.10.0/24
補足
接続が開始されていない場合、以下のコマンドで接続を開始します。
amnimo(cfg)# ipsec connect sa01
STEP3 疎通確認する
注意事項
Ping 疎通が行えない場合、各機器のネットワーク設定が影響していることがあります。疎通確認用機器について、あらかじめ以下の点を確認してください。
- Firewall を無効にしているか。
- ルーティング設定が正しく設定されているか。
- デフォルトゲートウェイが正しく設定されているか。
- ICMP は許可されているか。
※ 上記を試しても疎通ができない場合、WiFi など他のインターフェイスを無効にしてお試しください。
PC から Gateway までの Ping 疎通
疎通確認用 PC (192.168.0.10) から、疎通確認用 Gateway (192.168.10.2) に向け、Ping を実施します。
C:¥WINDOWS¥system32>ping -t 192.168.10.2
192.168.10.2 に ping を送信しています 32 バイトのデータ:
192.168.10.2 からの応答: バイト数 =32 時間 =3ms TTL=62
192.168.10.2 からの応答: バイト数 =32 時間 =4ms TTL=62
192.168.10.2 からの応答: バイト数 =32 時間 =4ms TTL=62
192.168.10.2 の ping 統計:
パケット数: 送信 = 11、受信 = 11、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 3ms、最大 = 8ms、平均 = 4ms
Ctrl+C
^C
C:¥WINDOWS¥system32>
Gateway から PC までの Ping 疎通
同様に、疎通確認用 Gateway (192.168.10.2) から、PC (192.168.0.10) へ Ping を実施します。
admin@amnimo:~$ ping 192.168.0.10
PING 192.168.0.10 (192.168.0.10) 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=2 ttl=126 time=4.38 ms
64 bytes from 192.168.0.10: icmp_seq=3 ttl=126 time=5.31 ms
64 bytes from 192.168.0.10: icmp_seq=4 ttl=126 time=4.07 ms
64 bytes from 192.168.0.10: icmp_seq=5 ttl=126 time=3.79 ms
64 bytes from 192.168.0.10: icmp_seq=6 ttl=126 time=3.75 ms
^C
--- 192.168.0.10 ping statistics ---
6 packets transmitted, 5 received, 16% packet loss, time 5029ms
rtt min/avg/max/mdev = 3.750/4.262/5.311/0.572 ms
admin@amnimo:~$
Edge Gateway での確認
Edge Gateway で、show ipsec status コマンドを実行し、Ping の前後でパケットカウントが上がっている事を確認します。
↓↓↓ Ping 疎通前 ↓↓↓
amnimo(cfg)# show ipsec status
Status of IKE charon daemon (strongSwan 5.6.2, Linux 4.19.145-00788-g94f928acd636, aarch64):
uptime: 5 hours, since Sep 01 11:15:35 2021
malloc: sbrk 3211264, mmap 532480, used 1414256, free 1797008
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 4
loaded plugins: charon test-vectors unbound ldap pkcs11 tpm aes rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey dnscert ipseckey pem gcrypt af-alg fips-prf gmp curve25519 chapoly xcbc cmac hmac ctr ccm ntru bliss curl soup mysql sqlite attr kernel-netlink resolve socket-default farp stroke updown eap-identity eap-sim eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-eap xauth-pam xauth-noauth tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp whitelist lookip error-notify certexpire led radattr addrblock unity counters
Listening IP addresses:
172.16.10.2
192.168.0.254
Connections:
sa01: 172.16.10.2...172.16.10.1 IKEv2
sa01: local: [172.16.10.2] uses pre-shared key authentication
sa01: remote: [172.16.10.1] uses pre-shared key authentication
sa01: child: 192.168.0.0/24 === 192.168.10.0/24 TUNNEL
Security Associations (1 up, 0 connecting):
sa01[4]: ESTABLISHED 38 minutes ago, 172.16.10.2[172.16.10.2]...172.16.10.1[172.16.10.1]
sa01[4]: IKEv2 SPIs: 1ac4fe925dbb594c_i 9ebabf6f5bb47ea1_r*, pre-shared key reauthentication in 2 hours
sa01[4]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536
sa01{9}: INSTALLED, TUNNEL, reqid 4, ESP SPIs: ce761180_i c356d5ca_o
sa01{9}: AES_CBC_128/HMAC_SHA1_96, 52 bytes_i (1 pkt, 2292s ago), 80 bytes_o (1 pkt, 2289s ago), rekeying in 6 minutes
sa01{9}: 192.168.0.0/24 === 192.168.10.0/24
sa01{10}: INSTALLED, TUNNEL, reqid 4, ESP SPIs: caedd284_i c07dc0e8_o
sa01{10}: AES_CBC_128/HMAC_SHA1_96, 124512 bytes_i (1676 pkts, 0s ago), 107580 bytes_o (1503 pkts, 0s ago), rekeying in 7 minutes
sa01{10}: 192.168.0.0/24 === 192.168.10.0/24
amnimo(cfg)# show date
2021-09-01 17:13:24+09:00
↓↓↓ Ping 疎通後 ↓↓↓
amnimo(cfg)# show ipsec status
Status of IKE charon daemon (strongSwan 5.6.2, Linux 4.19.145-00788-g94f928acd636, aarch64):
uptime: 5 hours, since Sep 01 11:15:35 2021
malloc: sbrk 3211264, mmap 532480, used 1417440, free 1793824
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 4
loaded plugins: charon test-vectors unbound ldap pkcs11 tpm aes rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey dnscert ipseckey pem gcrypt af-alg fips-prf gmp curve25519 chapoly xcbc cmac hmac ctr ccm ntru bliss curl soup mysql sqlite attr kernel-netlink resolve socket-default farp stroke updown eap-identity eap-sim eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-eap xauth-pam xauth-noauth tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp whitelist lookip error-notify certexpire led radattr addrblock unity counters
Listening IP addresses:
172.16.10.2
192.168.0.254
Connections:
sa01: 172.16.10.2...172.16.10.1 IKEv2
sa01: local: [172.16.10.2] uses pre-shared key authentication
sa01: remote: [172.16.10.1] uses pre-shared key authentication
sa01: child: 192.168.0.0/24 === 192.168.10.0/24 TUNNEL
Security Associations (1 up, 0 connecting):
sa01[4]: ESTABLISHED 38 minutes ago, 172.16.10.2[172.16.10.2]...172.16.10.1[172.16.10.1]
sa01[4]: IKEv2 SPIs: 1ac4fe925dbb594c_i 9ebabf6f5bb47ea1_r*, pre-shared key reauthentication in 2 hours
sa01[4]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536
sa01{9}: INSTALLED, TUNNEL, reqid 4, ESP SPIs: ce761180_i c356d5ca_o
sa01{9}: AES_CBC_128/HMAC_SHA1_96, 52 bytes_i (1 pkt, 2312s ago), 80 bytes_o (1 pkt, 2309s ago), rekeying in 5 minutes
sa01{9}: 192.168.0.0/24 === 192.168.10.0/24
sa01{10}: INSTALLED, TUNNEL, reqid 4, ESP SPIs: caedd284_i c07dc0e8_o
sa01{10}: AES_CBC_128/HMAC_SHA1_96, 127392 bytes_i (1716 pkts, 0s ago), 110623 bytes_o (1546 pkts, 0s ago), rekeying in 6 minutes
sa01{10}: 192.168.0.0/24 === 192.168.10.0/24
amnimo(cfg)#
コメント
0件のコメント
サインインしてコメントを残してください。