今回は、ヤマハルータでインターネットVPNを用いてLAN間接続を行う場合に、どういった設定が必要になるのかを、かいつまんで紹介しよう。NetVolanteシリーズでPPTPを利用する場合と、RTXシリーズでIPsecを利用する場合について取り上げることにする。
共通する設定項目
PPTPを用いる場合でもIPsecを用いる場合でも、以下の項目については事前に決定して、双方の拠点に設置したルータに設定を行う必要がある。いずれも、接続するすべての拠点で重複がないようにしなければならない。
・LANで使用するネットワークアドレスとサブネットマスク
・インターネット側のグローバルIPアドレス
その他の項目についてはVPNプロトコルに依存するので、個別に取り上げていく。
PPTPの場合
PPTPでLAN間接続を行う場合、ヤマハルータでいうところのpp接続を使用する。前述した項目以外に指定する必要があるのは、以下の項目だ。
・認証用のユーザーID
・認証用のパスワード
・PPTPサーバ/PPTPクライアントの区別
最初の2項目については、対向する双方のルータで同じ内容を設定する。これらの情報と、さらに対向する相手側ルータのIPアドレスを指定することで、正しい相手と接続していることを保障する。サーバ/クライアントの区別については後述する。
NetVolanteシリーズでは、Webブラウザで操作する「かんたん設定ページ」という仕組みがあるので、これを使って設定すればよい。
「かんたん設定ページ」のトップ画面で、[詳細設定と情報]をクリックする。続いて表示する「詳細設定と情報」画面で、上から2番目にある[VPN接続の設定]の横にある[設定]をクリックすると、ppインタフェースの一覧画面が現れる。その中から、空いているインタフェースを選択して[追加]をクリックする。
次の画面で、[PPTPを使用したネットワーク型LAN間接続VPN]を選択してから[次へ]をクリックする。すると、PPTP接続に必要な項目を設定するための画面が現れる仕組みだ。設定する項目は以下の通りとなる。
・設定名 : 任意の内容。
・PPTPサーバ/クライアント : 対向する2台のルータのうち、片方をPPTPサーバ、他方をPPTPクライアントに指定する。
・ユーザーID、接続パスワード : 認証に使用するもので、先に決めておいたものを指定する。
・接続先のホスト名またはIPアドレス : 対向するルータのインターネット側で使用している、固定グローバルIPアドレスを指定する。
・キープアライブ機能 : PPTPクライアントに設定した場合に限り、このチェックボックスをオンにすると自動切断を行わない。
・経路のアドレス情報、経路のネットマスク情報 : 対向する相手側LANのネットワークアドレスとサブネットマスクを指定する。相手のLANにルーティングを行うための設定。
最後に、画面下方にある[設定の確定]をクリックすると、設定を登録する。
この操作により、[詳細設定と情報]画面に[登録されているVPN設定の一覧]が現れる。そこで[設定]をクリックすると設定変更が、[削除]をクリックすると設定削除が可能だ。
こうして設定したVPNの動作状況は、「かんたん設定ページ」のトップ画面で確認できる。
IPsecの場合(メインモード)
次に、RTXシリーズでIPsec(メインモード)を使用する場合について解説する。RTXシリーズでは一般的にコマンド操作によって設定を行うため、IPsecに関連するコマンドとしてどういったものがあるかについて解説しよう。
対向する2台のルータに設定するコマンドのうち、IPsecに関連する部分だけを抜粋して以下に示す。
ルータ #1
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 off
ip tunnel tcp mss limit auto
ipsec ike local address 1 172.16.0.2
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 172.16.0.3
tunnel enable 1
ipsec auto refresh on
ip route 192.168.101.0/24 gateway tunnel 1
ルータ #2
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 off
ip tunnel tcp mss limit auto
ipsec ike local address 1 172.16.0.3
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 172.16.0.2
tunnel enable 1
ipsec auto refresh on
ip route 192.168.100.0/24 gateway tunnel 1
コマンドごとの意味は以下のようになる。
tunnel select 1 :
使用するtunnelインタフェースの番号(セキュリティ・ゲートウェイ識別子)。
ipsec tunnel 101 :
選択したtunnelインタフェースで使用する、IPsec設定の番号(ポリシーID)。
psec sa policy 101 1 esp aes-cbc sha-hmac :
ポリシーIDとセキュリティ・ゲートウェイ識別子で使用する、IPsecプロトコル・暗号化アルゴリズム・ハッシュ関数の種類。この例ではESP(暗号化有効)、暗号化にAES、ハッシュ関数にSHA-1を使用する。
ipsec ike keepalive use 1 on :
IPsec接続を維持できているかどうかを監視する。tunnelインタフェースに対して指定する。
ipsec ike keepalive log 1 off :
IPsec接続の維持監視についてログをとらない。tunnelインタフェースに対して指定する。
ip tunnel tcp mss limit auto :
tunnelインタフェースを通過するTCPセッションについて、MSS(Maximum Segment Size)を指定。
ipsec ike local address 1 172.16.0.2 :
トンネル両端のIPアドレスのうち、設定対象になっているルータに割り当てたものを指定。
ipsec ike pre-shared-key 1 text password :
相手のルータが正しいかどうかを確認するための、事前共有鍵の指定。ここではASCIIテキストで「password」という文字列を指定している。
ipsec ike remote address 1 172.16.0.3 :
トンネル両端のIPアドレスのうち、対向する相手側ルータに割り当てたものを指定。
tunnel enable 1 :
ここまで設定してきた値を適用して、tunnelインタフェースを有効化。
ipsec auto refresh on :
IPsec SAの自動更新(re-key)の有効化。
ip route 192.168.101.0/24 gateway tunnel 1 :
ルーティングの設定。相手側LANに対して正しく通信を中継するための設定。
IPsecの場合(アグレッシブモード)
アグレッシブモードの場合、設定する内容はメインモードと異なる部分がある。また、固定IPアドレスを使用するレスポンダ側と、IPアドレスを固定しないイニシエータ側とで、使用するコマンドにも違いがある。
ルータ #1(固定IPアドレス側)
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ip tunnel tcp mss limit auto
ipsec ike local address 1 172.16.0.2
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 any
ipsec ike remote name 1 site1
tunnel enable 1
ipsec auto refresh on
ip route 192.168.101.0/24 gateway tunnel 1
ルータ #2(動的IPアドレス側)
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike keepalive log 1 off
ip tunnel tcp mss limit auto
ipsec ike local address 1 192.168.101.1
ipsec ike pre-shared-key 1 text password
ipsec ike local name 1 site1 key-id
ipsec ike remote address 1 172.16.0.2
tunnel enable 1
ipsec auto refresh on
ip route 192.168.100.0/24 gateway tunnel 1
アグレッシブモードに固有のコマンドとして以下のものがある。
・ipsec ike keepalive
IPアドレスを固定しないイニシエータ側からしか通信を要求できないので、キープアライブの指定もイニシエータ側でのみ行う。
・ipsec ike local address
固定IPアドレスを使用している側では自機のWAN側IPアドレスを、動的IPアドレスを使用している側では自機のLAN側IPアドレスを指定。ただし、NAT/IPマスカレードを使用しないときには、固定IPアドレス側でもLAN側IPアドレスを使う。
・ipsec ike remote address 1 any
固定IPアドレスを使用している側で、任意の相手側IPアドレスを受け入れるための指定。
・ipsec ike remote name 1 site1
固定IPアドレスを使用している側で、識別用の名前を指定(ここでは「site1」)。
・ipsec ike local name 1 site1 key-id
動的IPアドレスを使用している側で、同じ識別用の名前を指定(ここでは「site1」)。
ヤマハルータでつくるインターネットVPN [第3版]
著者:井上孝司 協力:ヤマハ 価格:4,515円
本書は、ヤマハ社のVPNルータ NetVolante/RT/RTXシリーズを対象に、セキュリティの高いVPN環境を構築する手法を解説。VPN、IPsec利用環境の基礎知識から実構築・有効活用まで、「ヤマハルータ」の機能を活用した、さまざまなVPNの有効活用がこの1冊でできるようになる。また、QoS、バックアップ機能からルータの管理・メンテナンスもわかりやすく解説する。