リモートアクセス型L2TP+IPsec VPN

Transcription

1 リモートアクセス型 L2TP+IPsec VPN ( 既設 FW あり 既設 NW 変更あり Global IP 未使用 ) 本資料は 弊社での検証に基づき Firewall AR シリーズ VPN クライアント の操作方法を記載したものです すべての環境での動作を保証するものではありません iphone ipad は Apple Inc. の商標です iphone の商標は アイホン株式会社のライセンスに基づき使用されています Android は Google Inc. の商標または登録商標です Copyright 2011 Allied Telesis K.K. All Rights Reserved.

2 目次 構成概要 構成図 AR ルーターのパラメータ VPN クライアントの設定 Copyright 2011 Allied Telesis K.K. All Rights Reserved. 1

3 構成概要 本資料では Firewall の Trust 側に接続された AR ルーターに VPN 接続を行う設定方法をご紹介します Firewall の設定方法については ご使用の Firewall 製品のマニュアルをご参照ください 本構成について Firewallでポートフォワーディングを使用し IKEパケット (UDP 500 番 ) とNAT-Tパケット (UDP 4500 番 ) をAR ルーター宛に転送します ARルーターではFirewall 機能は使用しません Copyright 2011 Allied Telesis K.K. All Rights Reserved. 2

4 構成図 3G 3G ネットワークネットワーク インターネットインターネット VPN VPNトンネル IP: /24 zone: Untrust Firewall ポートフォワーディングを使用し 宛の IKE(UDP 500 番 )) NAT-T(UDP 4500 番 )) パケットを 宛に転送 IP: /24 zone: Trust VPNクライアント iphone, ipad, Android, PC (L2TP 経由でIP Poolより払い出し ) 宛に VPN 接続 AR ルーター L2SW Interface: eth0 IP: /24 Interface: vlan1 IP: /24 Firewall 無効 DHCP サーバ 赤色表記の IP IPアドレス : グローバル IP IPアドレス黒色表記の IP IPアドレス : プライベート IP IPアドレス DNS サーバー IP: /24 GW: Copyright 2011 Allied Telesis K.K. All Rights Reserved. 3 Intranet IP: /24 GW:

5 AR ルーターのパラメータ 本資料では以下のパラメータでの設定例をご紹介します ルーターの基本設定 WAN 側物理インターフェース WAN 側 IP アドレス LAN 側 IP アドレス IKE フェーズ 1 の認証方式 eth /24(eth0) /24(vlan1) 事前共有鍵 (pre-shared key) 事前共有鍵 (pre-shared key) secret( 文字列 ) DPD による死活監視行う ( 対向機器が DPD をサポートしている場合 ) NAT-Traversal のネゴシエーション 行う 接続してきた VPN クライアントには IP アドレスプール VPNC ( ~ ) から空きアドレスを動的に割り当てます また クライアントの PPP ユーザー名とパスワードは次の通りとします ユーザー名 パスワード 登録ユーザー ( その1) AAA PasswordA 登録ユーザー ( その2) BBB PasswordB 登録ユーザー ( その3) CCC PasswordC 登録ユーザー ( その4) DDD PasswordD Copyright 2011 Allied Telesis K.K. All Rights Reserved. 4

6 工場出荷時設定の CLI のログイン ID/PW は下記の通りです ID : manager PW : friend 本資料は AR415S/AR550S/AR560S/AR570S のファームウェアバージョン 以上に適応可能です AR260S V2 はスマートフォンからのリモートアクセスに対応しておりません 各設定画面のパラメータ詳細については ユーザーマニュアルや設定例をご参照ください Copyright 2011 Allied Telesis K.K. All Rights Reserved. 5

7 IP アドレスおよび Security Officer レベルユーザーの作成 1. IP モジュールを有効にします ENABLE IP 2. LAN 側 (vlan1) インターフェースに IP アドレスを設定します ADD IP INT=vlan1 IP= MASK= セキュリティーモードで各種設定を行うことのできる Security Officer レベルのユーザー secoff を作成します PW は secoff とします ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER Note セキュリティモードを使用しないと IPsec 機能で用いる鍵情報がルーターの再起動時に消去されます Copyright 2011 Allied Telesis K.K. All Rights Reserved. 6

8 WAN 側インターフェースおよびスタティックルートの設定 1. WAN 側 (eth0) インターフェースに IP アドレス を設定します ADD IP INT=eth0 IP= MASK= デフォルトルートを設定します ADD IP ROUTE= INT=eth0 NEXTHOP= Copyright 2011 Allied Telesis K.K. All Rights Reserved. 7

9 認証ユーザーの登録 1. 暗号化された L2TP トンネル経由で PPP 接続してくる VPN クライアントを認証するためのユーザー (PPP ユーザー ) を登録します ADD USER=AAA PASSWORD=PasswordA LOGIN=NO ADD USER=BBB PASSWORD=PasswordB LOGIN=NO ADD USER=CCC PASSWORD=PasswordC LOGIN=NO ADD USER=DDD PASSWORD=PasswordD LOGIN=NO 2. IP アドレスプール VPNC を作成し 接続してきた VPN クライアントに割り当てるアドレスの範囲を指定します ここでは 100 台分のアドレスプールを用意しています CREATE IP POOL=VPNC IP= Copyright 2011 Allied Telesis K.K. All Rights Reserved. 8

10 L2TP プロトコルならびに PPP TEMPLATE の設定 1. L2TP 経由で VPN クライアントが PPP 接続してきたときに動的に作成する PPP インターフェースのテンプレート 1 を作成します 接続時の認証には CHAP を使い CHAP の再認証は OFF にし VJ 圧縮を有効にします また アドレス割り当てには IP アドレスプール VPNC を使うようにします CREATE PPP TEMPLATE=1 IPPOOL=VPNC AUTHENTICATION=CHAP BAP=OFF ECHO=30 RECHALLENGE=OFF VJC=ON 2. L2TP モジュールを有効にします ENABLE L2TP 3. L2TP サーバーを BOTH モードで起動します ENABLE L2TP SERVER=BOTH 4. VPN クライアントに DNS サーバーアドレス を通知します SET PPP DNSPRIMARY= Note VPN クライアントに DNS サーバーを通知する場合に必要な設定です 本コマンドを使用せず ADD IP DNS PRIMARY= コマンドでルーター本体に DNS サーバーを手動登録すれば同様に通知可能です 5. L2TP 経由で VPN クライアントが接続してきたときに使用する PPP テンプレートを指定します ここではクライアントのアドレスが不定なので どのアドレスからでも接続を受け入れるように設定します ADD L2TP IP= PPPTEMPLATE=1 Copyright 2011 Allied Telesis K.K. All Rights Reserved. 9

11 DHCP Server の設定 1. DHCP サーバー機能を有効にします ENABLE DHCP 2. DHCP ポリシー DHCP を作成します IP アドレスの使用期限は 3,600 秒 (1 時間 ) とします CREATE DHCP POLI="DHCP" LEASE= クライアントに提供する情報を設定します ここでは DNS サーバーアドレスとして ルーターの LAN 側インターフェースの IP アドレスを指定しています ここへ送られた DNS リクエストは DNS リレー機能により ISP の DNS サーバーに転送されます ADD DHCP POLICY="DHCP" SUBNET= ROUTER= DNSSERVER= クライアントに提供する IP アドレスの範囲を設定します ここでは ~ の 16 個を指定しています CREATE DHCP RAN="CLIENT" POLI="DHCP" IP= NUM=16 Note この設定はルーターの LAN 側に PC を設置したときに自動的に IP を取得するための設定です リモートアクセスするにあたって必須ではありません Copyright 2011 Allied Telesis K.K. All Rights Reserved. 10

12 ISAKMP の設定 1. ISAKMP 用の事前共有鍵 (pre-shared key) を作成します ここでは鍵番号を 1 番とし 鍵の値は secret という文字列で指定します (VPN クライアントにも同じ値を設定 ) CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" Note CREATE ENCO KEY コマンドは コンソール上でログインしている場合のみ有効なコマンドです そのため EDIT コマンド ( 内蔵スクリーンエディター ) などで設定スクリプトファイル (.CFG) にこのコマンドを記述しても無効になりますのでご注意ください 2. VPNクライアントからのIKEネゴシエーション要求を受け入れるISAKMPポリシー i を作成します ISAKMPメッセージの暗号化には 3DES 認証には SHA アルゴリズム Oakleyグループは 2 を使用し VPNクライアントとの認証には前の手順で作成した事前共有鍵 ( 鍵番号 1 ) を使います さらに クライアントのIPアドレスが不定なためPEERにANYを指定し NAT-Traversalを有効にしています CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE NATTRAVERSAL=TRUE SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA GROUP=2 3. DPD を有効にします SET ISAKMP POLICY="i" DPDMODE=both Copyright 2011 Allied Telesis K.K. All Rights Reserved. 11

13 IPsec の設定 1. IPsec 通信の仕様を定義する SA スペック 1 を作成します 鍵管理方式 ISAKMP プロトコル ESP 暗号化方式 AES256bit 認証方式 SHA に設定します この例では L2TP によってトンネリングを行うため デフォルトのトンネルモードは使用せずに トランスポートモードを使用します UDP1701 番ポートを使って送受信される L2TP パケットだけを暗号化する形になります CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES256 HASHALG=SHA MODE=TRANSPORT 2. 同様に IPsec 通信の仕様を定義する SA スペック 2 を作成します 鍵管理方式 ISAKMP プロトコル ESP 暗号化方式 AES128bit 認証方式 SHA に設定します CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES128 HASHALG=SHA MODE=TRANSPORT 3. 同様に IPsec 通信の仕様を定義する SA スペック 3 を作成します 鍵管理方式 ISAKMP プロトコル ESP 暗号化方式 3DES 認証方式 SHA に設定します CREATE IPSEC SASPEC=3 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA MODE=TRANSPORT 4. SA スペック からなる SA バンドルスペック 1 を作成します 鍵管理方式は ISAKMP を指定します CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1 or 2 or 3" Note VPN クライアントにより対応する暗号化方式が異なるため SA スペックを複数設定しています Copyright 2011 Allied Telesis K.K. All Rights Reserved. 12

14 5. IKE パケット (UDP500 番 ) と NAT-T パケット (UDP4500 番 ) を素通しさせる IPsec ポリシー isa nat を作成します CREATE IPSEC POLICY=isa INT=eth0 ACTION=PERMIT LPORT=500 TRANSPORT=UDP CREATE IPSEC POLICY=nat INT=eth0 ACTION=PERMIT LPORT=4500 TRANSPORT=UDP Note NAT Traversal を使用する場合は 必ず IKE と NAT T のパケットが通過できるような設定を行ってください Note IPsec ポリシー は設定順に検索され 最初にマッチしたものが適用されるため 設定順序には注意が必要です 検索順は SHOW IPSEC POLICY コマンドで確認できます また 検索順を変更するには SET IPSEC POLICY コマンドの POSITION パラメータを使用します 6. L2TP パケットを暗号化する IPsec ポリシー L2 を eth0 インターフェースに対して作成します 鍵管理方式には ISAKMP を指定します VPN クライアントの IP アドレスが不定なため PEER には ISAKMP の認証をパスした相手という意味の DYNAMIC を BUNDLE には前の手順で作成した SA バンドルスペック 1 を指定します また LPORT と TRANSPORT で対象となるパケットの条件 ( ここでは L2TP パケット ) を指定します CREATE IPSEC POLICY=L2 INT=eth0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC SET IPSEC POLICY=L2 LPORT=1701 TRANSPORT=UDP 7. インターネットへの平文通信を許可する IPsec ポリシー inet を eth0 インターフェースに対して作成します CREATE IPSEC POLICY="inet" INT=eth0 ACTION=PERMIT Note インターネットにもアクセスしたい場合は 必ず最後の IPsec ポリシーですべてのパケットを通過させる設定を行ってください いずれの IPsec ポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため 上記の設定がないと VPN 以外との通信ができなくなります Copyright 2011 Allied Telesis K.K. All Rights Reserved. 13

15 8. IPsecモジュールを有効にします ENABLE IPSEC 9. ISAKMPモジュールを有効にします ENABLE ISAKMP 10. Security Officerレベルのユーザーでログインしなおします LOGIN secoff 11. 動作モードをセキュリティーモードに切り替えます ENABLE SYSTEM SECURITY_MODE Note セキュリティーモードでは Security Officer レベルでの Telnet ログインが原則として禁止されています セキュリティーモードにおいて Security Officer レベルで Telnet ログインしたい場合は あらかじめ RSO(Remote Security Officer) の設定を行っておいてください 12. 設定は以上です 設定内容をファイルに保存し SET CONFIG コマンドで起動時設定ファイルに指定します CREATE CONFIG=router.cfg SET CONFIG=router.cfg Copyright 2011 Allied Telesis K.K. All Rights Reserved. 14

16 VPN クライアントの設定 VPN クライアントの設定手順は 以下を参照下さい VPN 接続先の IP アドレスやパスワード等 各種パラメータがそのまま流用できます 参照先 CentreCOM AR560S 設定例集 2.9 #197 リモートアクセス型 L2TP+IPsec VPN と Responder Rekey Extension による死活監視 ( クライアントは Windows XP/Vista/7 iphone/ipad および Android(TM) 端末 ) Windows 接続検証は以下を参照し実施しております ( 当社独自調査であり 接続を保証するものではございません ) WindowsXP (Service Pack 3) : Microsoft サポート文書番号 : Windows7 : Microsoft サポート文書番号 : Copyright 2011 Allied Telesis K.K. All Rights Reserved. 15

17 Copyright 2011 Allied Telesis K.K. All Rights Reserved.