概要
このページでは、Edge Gateway 同士を IPsec で接続するための設定例を紹介します。
前提条件
次の項目に関する知識があることが推奨されます。
- Edge Gateway の CLI に関する基本的な知識
- 基本的なネットワーク知識
目次
構成
Edge Gateway 間のパケットデータを IPsec で暗号化します。
Edge Gateway 1 はグローバル IP アドレスを持たず、ブロードバンドルーターを経由してインターネットに接続しています。一方、Edge Gateway 2 はグローバル IP アドレスを持ちます。
ブロードバンドルーター
- WAN側 IP アドレス:aa.aa.aa.aa (※)
- LAN側 IP アドレス:192.168.1.1
※ ISP などから払い出された IP アドレスに置き換えてください。
Edge Gateway 1
- Firmware: Ver 1.2.3
- WAN側 IP アドレス:192.168.1.197(eth0)
- LAN側 IP アドレス:192.168.0.254(br0)
疎通確認用PC 1
- OS: Windows 10
- IP アドレス:192.168.0.4
Edge Gateway 2
- Firmware: Ver 1.2.3
- WAN側 IP アドレス:bb.bb.bb.bb (PPPoE) (※)
- LAN側 IP アドレス:192.168.2.1(br0)
※ ISP などから払い出された IP アドレスに置き換えてください。
疎通確認用PC 2
- IP アドレス:192.168.2.50
- OS: Windows 10
認証方式
- IKE Version2 を使用
- AES-CBC 256bits
- SHA1 HMAC
暗号化方式
- 事前共有鍵: password123
STEP1:機器の設定
Edge Gateway 1 の設定
インターフェイスを設定する
設定モードで、eth0 の IP アドレスを設定します。
amnimo(cfg)# interface eth0
amnimo(cfg-interface-eth0)#
amnimo(cfg-interface-eth0)# address 192.168.1.197/24 ← Edge Gateway 1 の WAN 側 IP アドレス
amnimo(cfg-interface-eth0)# exit
amnimo(cfg)#
br0 の IP アドレスは、デフォルトで 192.168.0.254 に設定されているため、特別な設定は不要です。
IP アドレスを変更する場合は、『エッジゲートウェイシリーズ CLIユーザーズマニュアル (amnimo.com)』を参照してください。
デフォルトルートの設定を行う
amnimo(cfg)# routing static default
amnimo(cfg-rts-default)# to 0.0.0.0/24
amnimo(cfg-rts-default)# via 192.168.1.1 ← ブロードバンドルータ LAN 側 IP アドレス
amnimo(cfg-rts-default)# interface eth0 ← eth0 に設定する
amnimo(cfg-rts-default)# exit
IKE の設定をする
設定モードに移行し、以下のように設定を行います。
amnimo(cfg)# ipsec ike ike01 ← 設定名を指定する(例では ike01 という名前を指定)
amnimo(cfg-ips-ike-{ike01})# local address 192.168.1.197 ← Edge Gateway 1 の WAN側 IP アドレス
amnimo(cfg-ips-ike-{ike01})# remote address bb.bb.bb.bb ← Edge Gateway 2 WAN 側 IP アドレス
amnimo(cfg-ips-ike-{ike01})# authentication pre-shared-key ← ※ FW 1.6.1 以前をお使いの場合は「shared」を「shard」に置き換えてください
Enter new password: password123 ← 事前共有鍵
Retype new password: password123 ← 確認のため再度入力
amnimo(cfg-ips-ike-{ike01})# exit
IKE モード上で設定を確認します。
amnimo(cfg-ips-ike-{ike01})# show c
local address 192.168.1.197
remote address bb.bb.bb.bb
version 2
mobike
authentication pre-shared-key secret cGFzc3dvcmQxMjM= ← ※ FW 1.6.1 以前をお使いの場合は「shared」が「shard」と表示されます
mode main
fragmentation
retry 3
lifetime 3h
dpd interval 30s
dpd timeout 150s
SA の設定をする
同様に、設定モードで以下のように設定を行います。
amnimo(cfg)# ipsec sa sa01 ← 設定名を指定する(例では sa01 という名前を指定)
amnimo(cfg-ips-sa-{sa01})# enable
amnimo(cfg-ips-sa-{sa01})# key-exchange ike ike01 ← 鍵交換で使用する IKE 名を指定する
amnimo(cfg-ips-sa-{sa01})# transform encryption aes256 integrity sha1 ← 認証方式を指定する
amnimo(cfg-ips-sa-{sa01})# negotiation-mode initiate ← こちらから接続を行う
amnimo(cfg-ips-sa-{sa01})# local subnet 192.168.0.0/24 ← Edge Gateway 1 の br0 サブネット
amnimo(cfg-ips-sa-{sa01})# remote subnet 192.168.2.0/24 ← Edge Gateway 2 の br0 サブネット
amnimo(cfg-ips-sa-{sa01})# exit
SA モード上で設定を確認します。
amnimo(cfg)#ipsec sa sa01
amnimo(cfg-ips-sa-{sa01})# show c
enable
key-exchange ike ike01
negotiation-mode initiate
rekey
type esp
mode tunnel
anti-replay
transform encryption aes256 integrity sha1 pfs 2
lifetime 1h
local subnet 192.168.0.0/24
remote subnet 192.168.2.0/24
設定を保存します。(設定を保存しないと、再起動時に設定が消去されるのでご注意ください。)
amnimo(cfg)# config file save
startup-config file already exists. Do you want to overwrite? (y/N): y
疎通確認用PC 1 設定
IP アドレスを設定する
- IPアドレス:192.168.0.4
デフォルトゲートウェイを設定をする
- デフォルトゲートウェイ :192.168.0.254
※ Windows 10 の場合、 [コントロールパネル] - [ネットワークとインターネット] - [ネットワーク接続] から、Edge Gateway に接続しているインターフェイスの状態を確認できます。
Edge Gateway 2 の設定
インターフェイスの設定をする
設定モードで、br0 の IP アドレスを設定します。
amnimo(cfg)# interface br0
amnimo(cfg-interface-br0)#
amnimo(cfg-interface-br0)# address 192.168.2.1/24 ← Edge Gateway 2 の LAN 側 IP アドレス
amnimo(cfg-interface-br0)# exit
amnimo(cfg)#
PPPoE 接続の設定をする
設定モードで、PPPoE 接続の設定をします。
amnimo(cfg)# ppp peer amnimo-ppp
amnimo(cfg-pp-amnimo-ppp)# username pppoeuser ←認証ユーザー名を設定
amnimo(cfg-pp-amnimo-ppp)# password <Enter>
Enter new password: ←認証パスワードを入力
Retype new password: ←認証パスワードを再度入力
amnimo(cfg-pp-amnimo-ppp)# exit
amnimo(cfg)#
PPP 接続をする
管理者モードまたは設定モードで、PPP 接続を実行します。
amnimo# pppoe connect ppp0
※ PPP接続の詳細については、『CLI ユーザーズマニュアル -6.1 PPP の設定をする』を参照してください。
IKE の設定をする
設定モードに移行し、以下のように設定を行います。
amnimo(cfg)# ipsec ike ike01 ← 設定名を指定する(例では ike01 という名前を指定)
amnimo(cfg-ips-ike-{ike01})# local address bb.bb.bb.bb ← Edge Gateway 2 の WAN側 IP アドレス
amnimo(cfg-ips-ike-{ike01})# remote address any ← アクセス元を特定しない
amnimo(cfg-ips-ike-{ike01})# authentication pre-shared-key ← ※ FW 1.6.1 以前をお使いの場合は「shared」を「shard」に置き換えてください
Enter new password: password123 ← 事前共有鍵
Retype new password: password123 ← 確認のため再度入力
amnimo(cfg-ips-ike-{ike01})# exit
IKE モード上で設定を確認します
amnimo(cfg-ips-ike-{ike01})# show c
local address bb.bb.bb.bb
remote address any
version 2
mobike
authentication pre-shared-key secret cGFzc3dvcmQxMjM= ← ※ FW 1.6.1 以前をお使いの場合は「shared」が「shard」と表示されます
mode main
fragmentation
retry 3
lifetime 3h
dpd interval 30s
dpd timeout 150s
SA の設定をする
同様に、設定モードで以下のように設定を行います。
amnimo(cfg)# ipsec sa sa01 ← 設定名を指定する(例では sa01 という名前を指定)
amnimo(cfg-ips-sa-{sa01})# enable
amnimo(cfg-ips-sa-{sa01})# key-exchange ike ike01 ← 鍵交換で使用する IKE 名を指定する
amnimo(cfg-ips-sa-{sa01})# transform encryption aes256 integrity sha1 ← 認証方式を指定する
amnimo(cfg-ips-sa-{sa01})# negotiation-mode hold ← こちらから接続を行わない
amnimo(cfg-ips-sa-{sa01})# local subnet 192.168.2.0/24 ← Edge Gateway 2 の br0 サブネット
amnimo(cfg-ips-sa-{sa01})# remote subnet 192.168.0.0/24 ← Edge Gateway 1 の br0 サブネット
amnimo(cfg-ips-sa-{sa01})# exit
SA モード上で設定を確認します。
amnimo(cfg-ips-sa-{sa01})# show c
enable
key-exchange ike ike01
negotiation-mode hold
rekey
type esp
mode tunnel
anti-replay
transform encryption aes256 integrity sha1 pfs 2
lifetime 1h
local subnet 192.168.2.0/24
remote subnet 192.168.0.0/24
設定を保存します。(設定を保存しないと、再起動時に設定が消去されるのでご注意ください。)
amnimo(cfg)# config file save
startup-config file already exists. Do you want to overwrite? (y/N): y
疎通確認用PC 2 設定
IP アドレスを設定する
- IPアドレス:192.168.2.50
デフォルトゲートウェイを設定をする
- デフォルトゲートウェイ :192.168.2.1
※ Windows 10 の場合、 [コントロールパネル] - [ネットワークとインターネット] - [ネットワーク接続] から、Edge Gateway に接続しているインターフェイスの状態を確認できます。
STEP2:接続
IPsec 接続を開始する
Edge Gateway 1 でIPsec のステータスを確認します。以下のように ESTABLISHED と表示されていれば、Edge Gateway 間の接続が確立しています。
amnimo(cfg)# show ipsec status
Status of IKE charon daemon (strongSwan 5.6.2, Linux 4.19.145-00788-g94f928acd636, aarch64):
uptime: 29 minutes, since Aug 31 10:53:54 2021
malloc: sbrk 3207168, mmap 532480, used 1314384, free 1892784
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 7
loaded plugins: charon test-vectors unbound ldap pkcs11 tpm aes rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey dnscert ipseckey pem gcrypt af-alg fips-prf gmp curve25519 chapoly xcbc cmac hmac ctr ccm ntru bliss curl soup mysql sqlite attr kernel-netlink resolve socket-default farp stroke updown eap-identity eap-sim eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-eap xauth-pam xauth-noauth tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp whitelist lookip error-notify certexpire led radattr addrblock unity counters
Listening IP addresses:
192.168.1.197
192.168.0.254
Connections:
sa01: 192.168.1.197...bb.bb.bb.bb IKEv2
sa01: local: [192.168.1.197] uses pre-shared key authentication
sa01: remote: [182.168.26.239] uses pre-shared key authentication
sa01: child: 192.168.0.0/24 === 192.168.2.0/24 TUNNEL
Security Associations (1 up, 0 connecting):
sa01[2]: ESTABLISHED 28 minutes ago, 192.168.1.197[192.168.1.197]...bb.bb.bb.bb[bb.bb.bb.bb]
sa01[2]: IKEv2 SPIs: 3f1e0315e64b746a_i* 0350b080b91cbf5f_r, pre-shared key reauthentication in 2 hours
sa01[2]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA2_256/MODP_2048
sa01{2}: INSTALLED, TUNNEL, reqid 2, ESP in UDP SPIs: c1e343cd_i cc86f0dc_o
sa01{2}: AES_CBC_256/HMAC_SHA1_96, 19452 bytes_i (369 pkts, 9s ago), 29068 bytes_o (372 pkts, 9s ago), rekeying in 14 minutes
sa01{2}: 192.168.0.0/24 === 192.168.2.0/24
補足
接続が開始されていない場合、以下のコマンドで接続を開始します。
amnimo(cfg)# ipsec connect sa01
STEP3:疎通確認
注意事項
Ping 疎通が行えない場合、各機器のネットワーク設定が影響していることがあります。疎通確認用機器について、あらかじめ以下の点を確認してください。
- Firewall を無効にしているか。
- ルーティング設定が正しく設定されているか。
- デフォルトゲートウェイが正しく設定されているか。
- ICMP は許可されているか。
※ 上記を試しても疎通ができない場合、WiFi など他のインターフェイスなども無効にしてお試しください。
Ping 疎通確認
疎通確認用 PC 1 (192.168.0.4) から、疎通確認用 PC 2 (IP:192.168.2.50) に向け、Ping を実施します。
C:\Users\test>ping 192.168.2.50
192.168.2.50 に ping を送信しています 32 バイトのデータ:
192.168.2.50 からの応答: バイト数 =32 時間 =98ms TTL=126
192.168.2.50 からの応答: バイト数 =32 時間 =70ms TTL=126
192.168.2.50 からの応答: バイト数 =32 時間 =128ms TTL=126
192.168.2.50 からの応答: バイト数 =32 時間 =119ms TTL=126
192.168.2.50 の ping 統計:
パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 70ms、最大 = 128ms、平均 = 103ms
同様に、疎通確認用 PC 2 (IP:192.168.2.50) から疎通確認用 PC 1 (192.168.0.4) に向け、Ping を実施し、通信ができていることを確認します。
Edge Gateway での確認
それぞれの Edge Gateway で、show ipsec status コマンドを実行し、Ping の前後でパケットカウントが上がっている事を確認します。
Ping 前
amnimo(cfg)# show ipsec status
Status of IKE charon daemon (strongSwan 5.6.2, Linux 4.19.145-00788-g94f928acd636, aarch64):
uptime: 29 minutes, since Aug 31 10:53:54 2021
malloc: sbrk 3207168, mmap 532480, used 1314384, free 1892784
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 7
loaded plugins: charon test-vectors unbound ldap pkcs11 tpm aes rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey dnscert ipseckey pem gcrypt af-alg fips-prf gmp curve25519 chapoly xcbc cmac hmac ctr ccm ntru bliss curl soup mysql sqlite attr kernel-netlink resolve socket-default farp stroke updown eap-identity eap-sim eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-eap xauth-pam xauth-noauth tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp whitelist lookip error-notify certexpire led radattr addrblock unity counters
Listening IP addresses:
192.168.1.197
192.168.0.254
Connections:
sa01: 192.168.1.197...182.168.26.239 IKEv2
sa01: local: [192.168.1.197] uses pre-shared key authentication
sa01: remote: [182.168.26.239] uses pre-shared key authentication
sa01: child: 192.168.0.0/24 === 192.168.2.0/24 TUNNEL
Security Associations (1 up, 0 connecting):
sa01[2]: ESTABLISHED 28 minutes ago, 192.168.1.197[192.168.1.197]...182.168.26.239[182.168.26.239]
sa01[2]: IKEv2 SPIs: 3f1e0315e64b746a_i* 0350b080b91cbf5f_r, pre-shared key reauthentication in 2 hours
sa01[2]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA2_256/MODP_2048
sa01{2}: INSTALLED, TUNNEL, reqid 2, ESP in UDP SPIs: c1e343cd_i cc86f0dc_o
sa01{2}: AES_CBC_256/HMAC_SHA1_96, 19452 bytes_i (369 pkts, 9s ago), 29068 bytes_o (372 pkts, 9s ago), rekeying in 14 minutes
sa01{2}: 192.168.0.0/24 === 192.168.2.0/24
Ping 後
amnimo(cfg)# show ipsec status
Status of IKE charon daemon (strongSwan 5.6.2, Linux 4.19.145-00788-g94f928acd636, aarch64):
uptime: 30 minutes, since Aug 31 10:53:54 2021
malloc: sbrk 3207168, mmap 532480, used 1316576, free 1890592
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 7
loaded plugins: charon test-vectors unbound ldap pkcs11 tpm aes rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey dnscert ipseckey pem gcrypt af-alg fips-prf gmp curve25519 chapoly xcbc cmac hmac ctr ccm ntru bliss curl soup mysql sqlite attr kernel-netlink resolve socket-default farp stroke updown eap-identity eap-sim eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-eap xauth-pam xauth-noauth tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp whitelist lookip error-notify certexpire led radattr addrblock unity counters
Listening IP addresses:
192.168.1.197
192.168.0.254
Connections:
sa01: 192.168.1.197...182.168.26.239 IKEv2
sa01: local: [192.168.1.197] uses pre-shared key authentication
sa01: remote: [182.168.26.239] uses pre-shared key authentication
sa01: child: 192.168.0.0/24 === 192.168.2.0/24 TUNNEL
Security Associations (1 up, 0 connecting):
sa01[2]: ESTABLISHED 30 minutes ago, 192.168.1.197[192.168.1.197]...182.168.26.239[182.168.26.239]
sa01[2]: IKEv2 SPIs: 3f1e0315e64b746a_i* 0350b080b91cbf5f_r, pre-shared key reauthentication in 2 hours
sa01[2]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA2_256/MODP_2048
sa01{2}: INSTALLED, TUNNEL, reqid 2, ESP in UDP SPIs: c1e343cd_i cc86f0dc_o
sa01{2}: AES_CBC_256/HMAC_SHA1_96, 20808 bytes_i (394 pkts, 4s ago), 30928 bytes_o (397 pkts, 4s ago), rekeying in 12 minutes
sa01{2}: 192.168.0.0/24 === 192.168.2.0/24
コメント
0件のコメント
サインインしてコメントを残してください。