- 締切済み
RTX1100でのVPN設定
こんにちは。 当方5拠点をNTTフレッツグループで接続していましたが、VPN用の改変が出来ないとの事で新たにRTX1100を使用してVPNを構築したいと考えています。 ルーター設定担当者が不在になり、私はGUIベースのルーターしか触ったことがないので、試行錯誤しているのですが、やはり繋がらない現状になりましたので、ご教授ください。 A地点は、gateway(RTX1100):192.168.33.254 B地点は、gateway(RTX1100):192.168.44.254 A地点のConfigは、 ip route default gateway pp 1 ip route 192.168.44.0/24 gateway tunnel 1 ip lan1 address 192.168.33.254/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname ID PASS ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 netvolante-dns hostname host pp server=1 TEST01.aa1.netvolante.jp pp enable 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike pre-shared-key 1 text TEST ipsec ike remote address 1 any ipsec ike remote name 1 kyoten1 tunnel enable 1 nat descriptor type 1 masquerade ipsec auto refresh on dhcp service server dhcp scope 1 192.168.33.101-192.168.33.149/24 dns server pp 1 dns private address spoof on B地点のConfigは、 ip route default gateway pp 1 ip route 192.168.33.0/24 gateway tunnel 1 ip lan1 address 192.168.44.254/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname ID PASS ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike local address 1 192.168.44.254 ipsec ike local name 1 kyoten1 key-id ipsec ike pre-shared-key 1 text TEST ipsec ike remote address 1 TEST01.aa1.netvolante.jp tunnel enable 1 nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.44.254 udp 500 nat descriptor masquerade static 1 2 192.168.44.254 esp ipsec auto refresh on dhcp service server dhcp scope 1 192.168.44.101-192.168.44 dns server pp 1 dns private address spoof on 必要であればログもとってあります。 よろしくお願いいたします。
- みんなの回答 (5)
- 専門家の回答
みんなの回答
- 100ban
- ベストアンサー率0% (0/4)
たぶんですが ネットボランチをしようしているのに、アグレッシブモードになってます。 どちらを使うのでしょうか? ネットボランチするのであれば トンネルの方のポイントはここでしょうか ipsec ike remote address 1 xxx.aa0.netvolante.jp ネットボランチに一行追加してみてください netvolante-dns use pp server=1 auto a/bでネットボランチ取得してみては? それとAの方に nat設定ないような気がします udp 500 と esp の設定追加してみては? 間違っていたらごめんなさい、自分も昔同じような間違いしてましたので゜ 試すときはsaveファイルを複製してから試してくださいね
- apple_from_a
- ベストアンサー率0% (0/0)
すでに解決済とは思いますが、他にもはまっている人がいましたら参考にしてください。細かいチェックはしていませんのでつっこみどころがあったら、頭の中で整理してください。 ポイント RTX1100でのVPN設定で 「両拠点をDDNSで設定可能です。」 基本的にはグローバルipをDDNSに置き換えるだけです。 今回は投稿設定にあわせて片方をanyにしていますが、両方DDNS指定でもOKです。yamahaのDDNSは安定 しているので困ることは無いと思います。10分でもとまると困るというのであれば本店をグローバ ルIPにするしかないと思います。 A地点は、gateway(RTX1100):192.168.33.254 B地点は、gateway(RTX1100):192.168.44.254 1100同士ならaes+shaがいいでしょう 1000はaesをソフト処理しますのでその場合は3des+shaを。 A地点のConfigは、 ip route default gateway pp 1 ip route 192.168.44.0/24 gateway tunnel 1 ip lan1 address 192.168.33.254/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname ID PASS ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp secure filter in 100 101 102 1000 1001 フィルタ群適用(番号は各自ご勝手に) ip pp secure filter out 100 101 102 .....同じく ip pp nat descriptor 1 netvolante-dns hostname host pp server=1 TEST01.aa1.netvolante.jp pp enable 1 tunnel select 1 tunnel name B-point ここは好みで ipsec tunnel 1 わかり易い番号 ipsec sa policy 1 1 esp 3des-cbc sha-hmac shaの方がいいでしょう ipsec ike keepalive log 1 off ipsec ike keepalive use 1 auto 本店はautoでいいでしょう ipsec ike remote address 1 any ipsec ike pre-shared-key 1 text TEST ipsec ike remote name 1 kyoten1 ip tunnel tcp mss limit auto yamaha同士なら必要ないかもしれません tunnel enable 1 ip filter 100 番あたりからでもいいです。フィルタ群を記述 pp用のフィルタだけでok ip filter 101 内容 ip filter 102 適当 ip filter 1000 pass * 192.168.33.254 udp * 500 必要 ip filter 1001 pass * 192.168.33.254 esp 必要 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp 通常はこれで nat descriptor address inner 1 192.168.33.1-192.168.33.254 ルータを含めて nat descriptor masquerade static 1 1 192.168.33.1 udp 500 ルータ向け 必要 nat descriptor masquerade static 1 2 192.168.33.1 esp 必要 ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.33.101-192.168.33.149/24 dns server pp 1 dns private address spoof on B地点のConfigは、 ip route default gateway pp 1 ip route 192.168.33.0/24 gateway tunnel 1 ip lan1 address 192.168.44.254/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname ID PASS ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp secure filter in 100 102 103.....1000 1001フィルタ適用番(号は各自) ip pp secure filter out 100 102 103 .....同じく ip pp nat descriptor 1 pp enable 1 tunnel select 1 tunnel name A-point ここは好みで ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc sha-hmac ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on 支店はonでいいでしょう ipsec ike local address 1 192.168.44.254 ipsec ike local name 1 kyoten1 key-id ipsec ike pre-shared-key 1 text TEST ipsec ike remote address 1 TEST01.aa1.netvolante.jp ip tunnel tcp mss limit auto tunnel enable 1 ip filter 1000 pass * 192.168.44.254 udp * 500 ip filter 1001 pass * 192.168.44.254 esp nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 192.168.44.1-192.168.44.254 nat descriptor masquerade static 1 1 192.168.44.254 udp 500 nat descriptor masquerade static 1 2 192.168.44.254 esp ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.44.101-192.168.44 dns server pp 1 dns private address spoof on
- hirasaku
- ベストアンサー率65% (106/163)
こんにちは。 hirasaku です。 できると思うんですけどね。 まず、インターネットVPNで ということでよろしいでしょうか? フレッツワイドだと若干Config違くなりますけど。 ちなみにNetvolanteDNSで拾ったFQDNには疎通ができるんですよね? 上記Configで足りないところ A拠点でESPとUDP500のNAT越えをさせていないですね。 nat descriptor masquerade static 1 1 192.168.33.254 udp 500 と nat descriptor masquerade static 1 2 192.168.33.254 esp をA拠点にのConfigに追加。 とりあえずこれだけでつながると思うんですけど・・・ まぁできれば動的IP同士ということでKeepaliveしておいたほうがいいですね。 双方のルータに ipsec ike keepalive use 1 on を追加。 KeepaliveのLogを残したくないたら ipsec ike keepalive log 1 off も追加。 B拠点にLocal Address指定しているので、 A拠点に ipsec ike local address 1 192.168.33.254 を追加。 あとはFilterを適用させてください。 ※Filterのかけ方を間違えるとつながらなくなるので注意 では。
- maesen
- ベストアンサー率81% (646/790)
>AB双方で独自にプロバイダ契約しており、インターネット接続も必要なのでNAT設定は必須です。 >が、「適切な」が私にとっては問題なので、もう少し勉強しなければなりませんね(汗) 申し訳ありませんが、「適切な」と書いたのはこのケースでNATの設定が出来ないと思いましたので、このように書きました。 今回やりたい動的IPでA地点の設定で、「自分側セキュリティ・ゲートウェイのIP アドレス」が動的なグローバルIPになります。 (こうしないとB地点での相手側のセキュリティ・ゲートウェイ設定と合わなくなるため) NAT環境下でIPSecを行うためには、ルータ自身がIPSecの通信を占有するため、この「自分側セキュリティ・ゲートウェイのIP アドレス」に対して静的IPマスカレードを設定する必要があります。 しかし、マニュアルを見る限り静的IPマスカレードにはIPアドレスを指定しますが動的IPなので設定が出来ません。 このようなことから、YAMAHAルータの公式Webサイトでは動的IP-動的IPは設定出来るとは書いていないのかなと思います。 私が知らない設定方法があるという可能性もありますけれど。 参考にされたWebサイトの例ではA地点はNATの設定が無かったと思いますので、A地点をNATを使用しない状態で通信が出来るかを確認するのも一つの手だと思います。 最終的にやりたいことが出来るかとは別ですが。 >認証方式と暗号化に関しては、おっしゃるとおりコピペです(汗) >どこか参考になるサイトがあれば紹介いただけますでしょうか? http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/faq_2_b.html 俗にいう暗号の2010年問題などにありますように、トリプルDES、MD5は望ましくないと思いますのでAES、SHAを使用したほうがいいのではと言いたかっただけです。 なおSHA1は既に脆弱性が報告されていますが、YAMAHAルータはSHA2が使えないのでより良い方を使うということで。 ipsec sa policy 101 1 esp aes-cbc sha-hmac >説明書とサイトを調べまくってまだこの状態です。 >どこかこの関係のフォーラムかメーリングリストなんかがあればいいのですが・・・ 基本的にはYAMAHAルータのWebサイトで解決出来ると思っています。 ただ、あくまでもルータの設定ということで、そこで使用している技術(IPSecやNAT)などについては理解しているのが前提になってしまいます。 IPSecなどの設定は業者に頼むと結構なお金を取られると思います。 なかなか、個別事情に合った回答を得るのは難しいですね。
- maesen
- ベストアンサー率81% (646/790)
いきなりPPTPがIPSecに変わったようですね。 状態がどこまで進んでいるのかを見るためにもログはほしいところですね。 間違っていたらごめんなさいです。 ぱっと見は、A地点で ip pp nat descriptor 1 および nat descriptor type 1 masquerade でNATを使用するとコマンドを入れているのに、その設定が無いということでしょうか。 NAT設定をやめるか、適切に設定をいれてあげる必要がありそうです。 NAT設定をやめるとVPN以外の通信は実質出来なくります。 YAMAHAルータのWebサイトによると動的IP-動的IPでのIPSecは出来ないような記述がありますので、一旦は接続出来ても運用に耐えられるかは不明ですね。 やりかたを紹介しているサイトはあるようですがね。 (YAMAHAからの正式な回答はわからないです) あと余談ですが、 ipsec sa policy 101 1 esp 3des-cbc md5-hmac どこからかのコピペだと思いますが、実際に運用するのであれば、せっかくもっと強力な方式が使えるのでこの認証方式と暗号化方式はやめましょう。
お礼
早速の回答ありがとうございます。 まずPPTPですが、現地に行かなくてもルーター設定が出来ないかと考えておりました。 あまり時間が無いので、まずはVPNを片付けてからPPTPに進むことにしました。 AB双方で独自にプロバイダ契約しており、インターネット接続も必要なのでNAT設定は必須です。 が、「適切な」が私にとっては問題なので、もう少し勉強しなければなりませんね(汗) 将来的には、センタ固定IPで接続の予定ですが、現状で早々に接続が必要で動的IP-動的IPに せざるを得ません。 認証方式と暗号化に関しては、おっしゃるとおりコピペです(汗) どこか参考になるサイトがあれば紹介いただけますでしょうか? 説明書とサイトを調べまくってまだこの状態です。 どこかこの関係のフォーラムかメーリングリストなんかがあればいいのですが・・・ 質問ばかりで申し訳ありません。 コメントありがとうございましたm(._.)m
お礼
ご教授ありがとうございます。 その後、勉強しまして ip filter や、natの設定を行いました。 また、やはりセンター動的でのVPNは出来ないのでしょうかね・・・ nat descriptor address outer 1 TEST.aa1.netvolante.jp と設定しようとすると、はねられてしまいました。 Configを書き直して、Filter設定などをすると、とてもこの記事欄には収まらなくなってしまいました。 Configを見ていただいて指摘を受けられるようなサイトを探していますが、なかなか見つからないものですね(汗) 現状は、センターだけでも固定IPにしていただけるよう交渉中です。 固定IPになればかなり参考になるConfigもありますので、がんばって見ます。 また、解らないことがあればご教授ください。 ありがとうございました。