概要
このページでは、Edge Gateway 同士を IPsec で接続するための設定例を紹介します。
前提条件
次の項目に関する知識があることが推奨されます。
- Edge Gateway の CLI に関する基本的な知識
- 基本的なネットワーク知識
目次
構成
Edge Gateway 間のパケットデータを IPsec で暗号化します。
Edge Gateway 1 はグローバル IP アドレスを持たず、ブロードバンドルーターを経由してインターネットに接続しています。一方、Edge Gateway 2 はグローバル IP アドレスを持ちます。
ブロードバンドルーター
- WAN側 IP アドレス:aa.aa.aa.aa (※)
- LAN側 IP アドレス:192.168.1.1
※ ISP などから払い出された IP アドレスに置き換えてください。
Edge Gateway 1
- Firmware: Ver 1.2.3
- WAN側 IP アドレス:192.168.1.197(eth0)
- LAN側 IP アドレス:192.168.0.254(br0)
疎通確認用PC 1
- OS: Windows 10
- IP アドレス:192.168.0.4
Edge Gateway 2
- Firmware: Ver 1.2.3
- WAN側 IP アドレス:bb.bb.bb.bb (PPPoE) (※)
- LAN側 IP アドレス:192.168.2.1(br0)
※ ISP などから払い出された IP アドレスに置き換えてください。
疎通確認用PC 2
- IP アドレス:192.168.2.50
- OS: Windows 10
認証方式
- IKE Version2 を使用
- AES-CBC 256bits
- SHA1 HMAC
暗号化方式
- 事前共有鍵: password123
STEP1:機器の設定
Edge Gateway 1 の設定
インターフェイスを設定する
設定モードで、eth0 の IP アドレスを設定します。
amnimo(cfg)# interface eth0
amnimo(cfg-interface-eth0)#
amnimo(cfg-interface-eth0)# address 192.168.1.197/24 ← Edge Gateway 1 の WAN 側 IP アドレス
amnimo(cfg-interface-eth0)# exit
amnimo(cfg)#
br0 の IP アドレスは、デフォルトで 192.168.0.254 に設定されているため、特別な設定は不要です。
IP アドレスを変更する場合は、『エッジゲートウェイシリーズ CLIユーザーズマニュアル (amnimo.com)』を参照してください。
デフォルトルートの設定を行う
amnimo(cfg)# routing static default
amnimo(cfg-rts-default)# to 0.0.0.0/24
amnimo(cfg-rts-default)# via 192.168.1.1 ← ブロードバンドルータ LAN 側 IP アドレス
amnimo(cfg-rts-default)# interface eth0 ← eth0 に設定する
amnimo(cfg-rts-default)# exit
IKE の設定をする
設定モードに移行し、以下のように設定を行います。
amnimo(cfg)# ipsec ike ike01 ← 設定名を指定する(例では ike01 という名前を指定)
amnimo(cfg-ips-ike-{ike01})# local address 192.168.1.197 ← Edge Gateway 1 の WAN側 IP アドレス
amnimo(cfg-ips-ike-{ike01})# remote address bb.bb.bb.bb ← Edge Gateway 2 WAN 側 IP アドレス
amnimo(cfg-ips-ike-{ike01})# authentication pre-shared-key ← ※ FW 1.6.1 以前をお使いの場合は「shared」を「shard」に置き換えてください
Enter new password: password123 ← 事前共有鍵
Retype new password: password123 ← 確認のため再度入力
amnimo(cfg-ips-ike-{ike01})# exit
IKE モード上で設定を確認します。
amnimo(cfg-ips-ike-{ike01})# show c
local address 192.168.1.197
remote address bb.bb.bb.bb
version 2
mobike
authentication pre-shared-key secret cGFzc3dvcmQxMjM= ← ※ FW 1.6.1 以前をお使いの場合は「shared」が「shard」と表示されます
mode main
fragmentation
retry 3
lifetime 3h
dpd interval 30s
dpd timeout 150s
SA の設定をする
同様に、設定モードで以下のように設定を行います。
amnimo(cfg)# ipsec sa sa01 ← 設定名を指定する(例では sa01 という名前を指定)
amnimo(cfg-ips-sa-{sa01})# enable
amnimo(cfg-ips-sa-{sa01})# key-exchange ike ike01 ← 鍵交換で使用する IKE 名を指定する
amnimo(cfg-ips-sa-{sa01})# transform encryption aes256 integrity sha1 ← 認証方式を指定する
amnimo(cfg-ips-sa-{sa01})# negotiation-mode initiate ← こちらから接続を行う
amnimo(cfg-ips-sa-{sa01})# local subnet 192.168.0.0/24 ← Edge Gateway 1 の br0 サブネット
amnimo(cfg-ips-sa-{sa01})# remote subnet 192.168.2.0/24 ← Edge Gateway 2 の br0 サブネット
amnimo(cfg-ips-sa-{sa01})# exit
SA モード上で設定を確認します。
amnimo(cfg)#ipsec sa sa01
amnimo(cfg-ips-sa-{sa01})# show c
enable
key-exchange ike ike01
negotiation-mode initiate
rekey
type esp
mode tunnel
anti-replay
transform encryption aes256 integrity sha1 pfs 2
lifetime 1h
local subnet 192.168.0.0/24
remote subnet 192.168.2.0/24
動的 SNAT 設定
モバイルインターフェイス ecm0 に動的 SNAT が設定されている場合は、無効にします。
|
簡易設定等で初期設定を進めた場合は、有効になっている可能性があるためこの操作を実施します。 なお、もし有効になっていない状態でこの操作を実施してしまっても、その後の設定に特に影響はありませんのでご安心ください。 |
amnimo(cfg)# interface ecm0
amnimo(cfg-interface-ecm0)# no dynamic-snat4
amnimo(cfg-interface-ecm0)# exit
動的 SNAT を利用する場合は、対向側の LAN 側ネットワークを除いた動的 SNAT 設定を行います。動的 SNAT を利用しない場合、この設定は不要です。
amnimo(cfg)# nat dynamic-snat 100
amnimo(cfg-dsnat-100)# out-interface ecm0
amnimo(cfg-dsnat-100)# match dst-ip not 192.168.2.0/24
amnimo(cfg-dsnat-100)# enable
amnimo(cfg-dsnat-100)# exit
フィルター設定
IKE/NAT-T/ESP のパケットと、対向側 LAN ネットワークからの通信を受信出来るよう、フィルター設定を行います。
|
簡易設定で初期設定を進めた場合は、自動的に設定されるポリシーによって該当のパケットが破棄される設定になります。 工場出荷時の状態(簡易設定を実施する前の状態)ではデフォルトポリシーは許可になっています。そのような場合は該当のパケットが破棄されることが無いため、このフィルター設定は不要です。 また、本設定例では対向側 LAN ネットワークからの通信を全て許可する設定を実施していますが、ICMP や GUI 等、各プロトコルに応じて設定されたい場合は下記マニュアルを参考に各自実施ください。 |
amnimo(cfg)# filter input 500
amnimo(cfg-fin-500)# match in-interface ecm0
amnimo(cfg-fin-500)# match protocol udp dst-port 500
amnimo(cfg-fin-500)# policy accept
amnimo(cfg-fin-500)# enable
amnimo(cfg-fin-500)# exit
amnimo(cfg)#
amnimo(cfg)# filter input 510
amnimo(cfg-fin-510)# match in-interface ecm0
amnimo(cfg-fin-510)# match protocol udp dst-port 4500
amnimo(cfg-fin-510)# policy accept
amnimo(cfg-fin-510)# enable
amnimo(cfg-fin-510)# exit
amnimo(cfg)#
amnimo(cfg)# filter input 520
amnimo(cfg-fin-520)# match in-interface ecm0
amnimo(cfg-fin-520)# match protocol esp
amnimo(cfg-fin-520)# policy accept
amnimo(cfg-fin-520)# enable
eamnimo(cfg-fin-520)# exit
amnimo(cfg)#
amnimo(cfg)# filter input 560
amnimo(cfg-fin-560)# match in-interface ecm0
amnimo(cfg-fin-560)# match src-ip 192.168.2.0/24
amnimo(cfg-fin-560)# policy accept
amnimo(cfg-fin-560)# enable
amnimo(cfg-fin-560)# exit
設定を保存します。(設定を保存しないと、再起動時に設定が消去されるのでご注意ください。)
amnimo(cfg)# config file save
startup-config file already exists. Do you want to overwrite? (y/N): y
疎通確認用PC 1 設定
IP アドレスを設定する
- IPアドレス:192.168.0.4
デフォルトゲートウェイを設定をする
- デフォルトゲートウェイ :192.168.0.254
※ Windows 10 の場合、 [コントロールパネル] - [ネットワークとインターネット] - [ネットワーク接続] から、Edge Gateway に接続しているインターフェイスの状態を確認できます。
Edge Gateway 2 の設定
インターフェイスの設定をする
設定モードで、br0 の IP アドレスを設定します。
amnimo(cfg)# interface br0
amnimo(cfg-interface-br0)#
amnimo(cfg-interface-br0)# address 192.168.2.1/24 ← Edge Gateway 2 の LAN 側 IP アドレス
amnimo(cfg-interface-br0)# exit
amnimo(cfg)#
PPPoE 接続の設定をする
設定モードで、PPPoE 接続の設定をします。
amnimo(cfg)# ppp peer amnimo-ppp
amnimo(cfg-pp-amnimo-ppp)# username pppoeuser ←認証ユーザー名を設定
amnimo(cfg-pp-amnimo-ppp)# password <Enter>
Enter new password: ←認証パスワードを入力
Retype new password: ←認証パスワードを再度入力
amnimo(cfg-pp-amnimo-ppp)# exit
amnimo(cfg)#
PPP 接続をする
管理者モードまたは設定モードで、PPP 接続を実行します。
amnimo# pppoe connect ppp0
※ PPP接続の詳細については、『CLI ユーザーズマニュアル -6.1 PPP の設定をする』を参照してください。
IKE の設定をする
設定モードに移行し、以下のように設定を行います。
amnimo(cfg)# ipsec ike ike01 ← 設定名を指定する(例では ike01 という名前を指定)
amnimo(cfg-ips-ike-{ike01})# local address bb.bb.bb.bb ← Edge Gateway 2 の WAN側 IP アドレス
amnimo(cfg-ips-ike-{ike01})# remote address any ← アクセス元を特定しない
amnimo(cfg-ips-ike-{ike01})# authentication pre-shared-key ← ※ FW 1.6.1 以前をお使いの場合は「shared」を「shard」に置き換えてください
Enter new password: password123 ← 事前共有鍵
Retype new password: password123 ← 確認のため再度入力
amnimo(cfg-ips-ike-{ike01})# exit
IKE モード上で設定を確認します
amnimo(cfg-ips-ike-{ike01})# show c
local address bb.bb.bb.bb
remote address any
version 2
mobike
authentication pre-shared-key secret cGFzc3dvcmQxMjM= ← ※ FW 1.6.1 以前をお使いの場合は「shared」が「shard」と表示されます
mode main
fragmentation
retry 3
lifetime 3h
dpd interval 30s
dpd timeout 150s
SA の設定をする
同様に、設定モードで以下のように設定を行います。
amnimo(cfg)# ipsec sa sa01 ← 設定名を指定する(例では sa01 という名前を指定)
amnimo(cfg-ips-sa-{sa01})# enable
amnimo(cfg-ips-sa-{sa01})# key-exchange ike ike01 ← 鍵交換で使用する IKE 名を指定する
amnimo(cfg-ips-sa-{sa01})# transform encryption aes256 integrity sha1 ← 認証方式を指定する
amnimo(cfg-ips-sa-{sa01})# negotiation-mode hold ← こちらから接続を行わない
amnimo(cfg-ips-sa-{sa01})# local subnet 192.168.2.0/24 ← Edge Gateway 2 の br0 サブネット
amnimo(cfg-ips-sa-{sa01})# remote subnet 192.168.0.0/24 ← Edge Gateway 1 の br0 サブネット
amnimo(cfg-ips-sa-{sa01})# exit
SA モード上で設定を確認します。
amnimo(cfg-ips-sa-{sa01})# show c
enable
key-exchange ike ike01
negotiation-mode hold
rekey
type esp
mode tunnel
anti-replay
transform encryption aes256 integrity sha1 pfs 2
lifetime 1h
local subnet 192.168.2.0/24
remote subnet 192.168.0.0/24
動的 SNAT 設定
モバイルインターフェイス ecm0 に動的 SNAT が設定されている場合は、無効にします。
|
簡易設定等で初期設定を進めた場合は、有効になっている可能性があるためこの操作を実施します。 なお、もし有効になっていない状態でこの操作を実施してしまっても、その後の設定に特に影響はありませんのでご安心ください。 |
amnimo(cfg)# interface ecm0
amnimo(cfg-interface-ecm0)# no dynamic-snat4
amnimo(cfg-interface-ecm0)# exit
動的 SNAT を利用する場合は、対向側の LAN 側ネットワークを除いた動的 SNAT 設定を行います。動的 SNAT を利用しない場合、この設定は不要です。
amnimo(cfg)# nat dynamic-snat 100
amnimo(cfg-dsnat-100)# out-interface rmnet_data0
amnimo(cfg-dsnat-100)# match dst-ip not 192.168.0.0/24
amnimo(cfg-dsnat-100)# enable
amnimo(cfg-dsnat-100)# exit
フィルター設定
IKE/NAT-T/ESP のパケットと、対向側 LAN ネットワークからの通信を受信出来るよう、フィルター設定を行います。
|
簡易設定で初期設定を進めた場合は、自動的に設定されるポリシーによって該当のパケットが破棄される設定になります。 工場出荷時の状態(簡易設定を実施する前の状態)ではデフォルトポリシーは許可になっています。そのような場合は該当のパケットが破棄されることが無いため、このフィルター設定は不要です。 また、本設定例では対向側 LAN ネットワークからの通信を全て許可する設定を実施していますが、ICMP や GUI 等、各プロトコルに応じて設定されたい場合は下記マニュアルを参考に各自実施ください。 |
amnimo(cfg)# filter input 500
amnimo(cfg-fin-500)# match in-interface ecm0
amnimo(cfg-fin-500)# match protocol udp dst-port 500
amnimo(cfg-fin-500)# policy accept
amnimo(cfg-fin-500)# enable
amnimo(cfg-fin-500)# exit
amnimo(cfg)#
amnimo(cfg)# filter input 510
amnimo(cfg-fin-510)# match in-interface ecm0
amnimo(cfg-fin-510)# match protocol udp dst-port 4500
amnimo(cfg-fin-510)# policy accept
amnimo(cfg-fin-510)# enable
amnimo(cfg-fin-510)# exit
amnimo(cfg)#
amnimo(cfg)# filter input 520
amnimo(cfg-fin-520)# match in-interface ecm0
amnimo(cfg-fin-520)# match protocol esp
amnimo(cfg-fin-520)# policy accept
amnimo(cfg-fin-520)# enable
eamnimo(cfg-fin-520)# exit
amnimo(cfg)#
amnimo(cfg)# filter input 560
amnimo(cfg-fin-560)# match in-interface ecm0
amnimo(cfg-fin-560)# match src-ip 192.168.0.0/24
amnimo(cfg-fin-560)# policy accept
amnimo(cfg-fin-560)# enable
amnimo(cfg-fin-560)# exit
設定を保存します。(設定を保存しないと、再起動時に設定が消去されるのでご注意ください。)
amnimo(cfg)# config file save
startup-config file already exists. Do you want to overwrite? (y/N): y
疎通確認用PC 2 設定
IP アドレスを設定する
- IPアドレス:192.168.2.50
デフォルトゲートウェイを設定をする
- デフォルトゲートウェイ :192.168.2.1
※ Windows 10 の場合、 [コントロールパネル] - [ネットワークとインターネット] - [ネットワーク接続] から、Edge Gateway に接続しているインターフェイスの状態を確認できます。
STEP2:接続
IPsec 接続を開始する
Edge Gateway 1 でIPsec のステータスを確認します。以下のように ESTABLISHED と表示されていれば、Edge Gateway 間の接続が確立しています。
amnimo(cfg)# show ipsec status
Status of IKE charon daemon (strongSwan 5.6.2, Linux 4.19.145-00788-g94f928acd636, aarch64):
uptime: 29 minutes, since Aug 31 10:53:54 2021
malloc: sbrk 3207168, mmap 532480, used 1314384, free 1892784
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 7
loaded plugins: charon test-vectors unbound ldap pkcs11 tpm aes rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey dnscert ipseckey pem gcrypt af-alg fips-prf gmp curve25519 chapoly xcbc cmac hmac ctr ccm ntru bliss curl soup mysql sqlite attr kernel-netlink resolve socket-default farp stroke updown eap-identity eap-sim eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-eap xauth-pam xauth-noauth tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp whitelist lookip error-notify certexpire led radattr addrblock unity counters
Listening IP addresses:
192.168.1.197
192.168.0.254
Connections:
sa01: 192.168.1.197...bb.bb.bb.bb IKEv2
sa01: local: [192.168.1.197] uses pre-shared key authentication
sa01: remote: [182.168.26.239] uses pre-shared key authentication
sa01: child: 192.168.0.0/24 === 192.168.2.0/24 TUNNEL
Security Associations (1 up, 0 connecting):
sa01[2]: ESTABLISHED 28 minutes ago, 192.168.1.197[192.168.1.197]...bb.bb.bb.bb[bb.bb.bb.bb]
sa01[2]: IKEv2 SPIs: 3f1e0315e64b746a_i* 0350b080b91cbf5f_r, pre-shared key reauthentication in 2 hours
sa01[2]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA2_256/MODP_2048
sa01{2}: INSTALLED, TUNNEL, reqid 2, ESP in UDP SPIs: c1e343cd_i cc86f0dc_o
sa01{2}: AES_CBC_256/HMAC_SHA1_96, 19452 bytes_i (369 pkts, 9s ago), 29068 bytes_o (372 pkts, 9s ago), rekeying in 14 minutes
sa01{2}: 192.168.0.0/24 === 192.168.2.0/24
補足
接続が開始されていない場合、以下のコマンドで接続を開始します。
amnimo(cfg)# ipsec connect sa01
STEP3:疎通確認
注意事項
Ping 疎通が行えない場合、各機器のネットワーク設定が影響していることがあります。疎通確認用機器について、あらかじめ以下の点を確認してください。
- Firewall を無効にしているか。
- ルーティング設定が正しく設定されているか。
- デフォルトゲートウェイが正しく設定されているか。
- ICMP は許可されているか。
※ 上記を試しても疎通ができない場合、WiFi など他のインターフェイスなども無効にしてお試しください。
Ping 疎通確認
疎通確認用 PC 1 (192.168.0.4) から、疎通確認用 PC 2 (IP:192.168.2.50) に向け、Ping を実施します。
C:\Users\test>ping 192.168.2.50
192.168.2.50 に ping を送信しています 32 バイトのデータ:
192.168.2.50 からの応答: バイト数 =32 時間 =98ms TTL=126
192.168.2.50 からの応答: バイト数 =32 時間 =70ms TTL=126
192.168.2.50 からの応答: バイト数 =32 時間 =128ms TTL=126
192.168.2.50 からの応答: バイト数 =32 時間 =119ms TTL=126
192.168.2.50 の ping 統計:
パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 70ms、最大 = 128ms、平均 = 103ms
同様に、疎通確認用 PC 2 (IP:192.168.2.50) から疎通確認用 PC 1 (192.168.0.4) に向け、Ping を実施し、通信ができていることを確認します。
Edge Gateway での確認
それぞれの Edge Gateway で、show ipsec status コマンドを実行し、Ping の前後でパケットカウントが上がっている事を確認します。
Ping 前
amnimo(cfg)# show ipsec status
Status of IKE charon daemon (strongSwan 5.6.2, Linux 4.19.145-00788-g94f928acd636, aarch64):
uptime: 29 minutes, since Aug 31 10:53:54 2021
malloc: sbrk 3207168, mmap 532480, used 1314384, free 1892784
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 7
loaded plugins: charon test-vectors unbound ldap pkcs11 tpm aes rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey dnscert ipseckey pem gcrypt af-alg fips-prf gmp curve25519 chapoly xcbc cmac hmac ctr ccm ntru bliss curl soup mysql sqlite attr kernel-netlink resolve socket-default farp stroke updown eap-identity eap-sim eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-eap xauth-pam xauth-noauth tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp whitelist lookip error-notify certexpire led radattr addrblock unity counters
Listening IP addresses:
192.168.1.197
192.168.0.254
Connections:
sa01: 192.168.1.197...182.168.26.239 IKEv2
sa01: local: [192.168.1.197] uses pre-shared key authentication
sa01: remote: [182.168.26.239] uses pre-shared key authentication
sa01: child: 192.168.0.0/24 === 192.168.2.0/24 TUNNEL
Security Associations (1 up, 0 connecting):
sa01[2]: ESTABLISHED 28 minutes ago, 192.168.1.197[192.168.1.197]...182.168.26.239[182.168.26.239]
sa01[2]: IKEv2 SPIs: 3f1e0315e64b746a_i* 0350b080b91cbf5f_r, pre-shared key reauthentication in 2 hours
sa01[2]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA2_256/MODP_2048
sa01{2}: INSTALLED, TUNNEL, reqid 2, ESP in UDP SPIs: c1e343cd_i cc86f0dc_o
sa01{2}: AES_CBC_256/HMAC_SHA1_96, 19452 bytes_i (369 pkts, 9s ago), 29068 bytes_o (372 pkts, 9s ago), rekeying in 14 minutes
sa01{2}: 192.168.0.0/24 === 192.168.2.0/24
Ping 後
amnimo(cfg)# show ipsec status
Status of IKE charon daemon (strongSwan 5.6.2, Linux 4.19.145-00788-g94f928acd636, aarch64):
uptime: 30 minutes, since Aug 31 10:53:54 2021
malloc: sbrk 3207168, mmap 532480, used 1316576, free 1890592
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 7
loaded plugins: charon test-vectors unbound ldap pkcs11 tpm aes rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey dnscert ipseckey pem gcrypt af-alg fips-prf gmp curve25519 chapoly xcbc cmac hmac ctr ccm ntru bliss curl soup mysql sqlite attr kernel-netlink resolve socket-default farp stroke updown eap-identity eap-sim eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-eap xauth-pam xauth-noauth tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp whitelist lookip error-notify certexpire led radattr addrblock unity counters
Listening IP addresses:
192.168.1.197
192.168.0.254
Connections:
sa01: 192.168.1.197...182.168.26.239 IKEv2
sa01: local: [192.168.1.197] uses pre-shared key authentication
sa01: remote: [182.168.26.239] uses pre-shared key authentication
sa01: child: 192.168.0.0/24 === 192.168.2.0/24 TUNNEL
Security Associations (1 up, 0 connecting):
sa01[2]: ESTABLISHED 30 minutes ago, 192.168.1.197[192.168.1.197]...182.168.26.239[182.168.26.239]
sa01[2]: IKEv2 SPIs: 3f1e0315e64b746a_i* 0350b080b91cbf5f_r, pre-shared key reauthentication in 2 hours
sa01[2]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA2_256/MODP_2048
sa01{2}: INSTALLED, TUNNEL, reqid 2, ESP in UDP SPIs: c1e343cd_i cc86f0dc_o
sa01{2}: AES_CBC_256/HMAC_SHA1_96, 20808 bytes_i (394 pkts, 4s ago), 30928 bytes_o (397 pkts, 4s ago), rekeying in 12 minutes
sa01{2}: 192.168.0.0/24 === 192.168.2.0/24
Appendix
IPsec 接続失敗に関するお問い合わせについて
IPsec に関するサポートが必要な場合は、お問い合わせの際に下記情報を添えてご連絡をお願いします。
<必要な情報>
① 事象ご確認日時の情報
② NW 構成図
③ IPsec を接続する両端のデバイスの設定ファイル
④ 下記コマンド出力結果
・ show ipsec status
・ show ipsec xfrm state
・ show ipsec xfrm policy
⑤ 通信確認
・ どの機器からどの機器宛に通信を試みたのか (ping で確認の場合実行した機器のアドレス / 宛先等)
・ 通信パケットはどこまで到達しているのか
⑥ Syslog
コメント
0件のコメント
サインインしてコメントを残してください。