リモートアクセス型L2TP+IPsec VPN 設定例

リモートアクセス型 L2TP+IPsec VPN 設定例 ( 既設 FW あり既設 NW 変更なし Global IP 未使用 ) 本資料は弊社での検証に基づき Firewall AR シリーズ RADIUS サーバー VPN クライアントの操作方法を記載したものですすべての環境での動作を保証するものではありません iphone ipad は Apple Inc. の商標です iphone の商標はアイホン株式会社のライセンスに基づき使用されています Android は Google Inc. の商標または登録商標です Copyright 2011 Allied Telesis K.K. All Rights Reserved.

構成概要本資料では Firewall の DMZ 側に接続された AR ルーターに VPN 接続を行う設定方法をご紹介します Firewall の設定方法についてはご使用の Firewall 製品のマニュアルをご参照ください本構成について Firewall の DMZ 側に AR ルーターを接続します Global IP アドレスは Firewall の Untrust 側インターフェースに割り当てられておりポートフォワーディングを使用して VPN 接続を行います AR ルーターでは Firewall 機能は使用しません VPN 接続時 Trust 側に接続された RADIUS サーバーを用いて認証を行います VPN クライアントは Trust 側に接続された DNS サーバーを使用して名前解決を行います VPN 接続後 Intranet 内の端末にリモートデスクトップ接続を行います Copyright 2011 Allied Telesis K.K. All Rights Reserved. 2

構成図ポートフォワーディングを使用し 10.100.10.1 宛の IKE(UDP 500 番 )) NAT-T(UDP 4500 番 )) パケットを 172.16.1.100 宛に転送 192.168.2.1-100 宛のパケットを 172.16.1.100 に転送するスタティックルートを追加以下の Firewall ポリシーを設定用途動作送信元送信先 ZONE IP アドレス ZONE IP アドレスポート番号 RADIUS 認証許可 DMZ 172.16.1.100 Trust 192.168.1.100 UDP 1812-1813 DNS 許可 DMZ 192.168.2.1-100 Trust 192.168.1.100 TCP 53 UDP 53 3G 3G ネットワークネットワーク VPN VPNトンネルインターネットインターネットリモートデスクトップ許可 DMZ 192.168.2.1-100 Trust 192.168.1.0 TCP3389 本資料ではVPN 接続時 VPNクライアントからIntranet 内の端末にリモートデスクトップ接続を行うものとしてご説明します他のサービスを使用する場合は送信元 IPアドレス :192.168.2.1-100のパケットを許可してください IP: 10.100.10.1/24 zone: Untrust IP: 192.168.1.1/24 zone: Trust Firewall IP: 172.16.1.1/24 zone: DMZ Interface: eth0 IP: 172.16.1.100/24 AR ルーター Firewall 無効 10.100.10.1 宛に VPN 接続 VPNクライアント iphone, ipad, Android, PC 192.168.2.1-100 (L2TP 経由でIP Poolより払い出し ) L2SW 赤色表記の IP IPアドレス : グローバル IP IPアドレス黒色表記の IP IPアドレス : プライベート IP IPアドレス DNS サーバー &RADIUS サーバー IP: 192.168.1.100/24 GW: 192.168.1.1 Intranet IP: 192.168.1.0/24 GW: 192.168.1.1 Copyright 2011 Allied Telesis K.K. All Rights Reserved. 3

AR ルーターのパラメータ本資料では以下のパラメータでの設定例をご紹介しますルーターの基本設定 WAN 側物理インターフェース WAN 側 IP アドレス IKE フェーズ 1 の認証方式 eth0 172.16.1.100/24(eth0) 事前共有鍵 (pre-shared key) 事前共有鍵 (pre-shared key) secret( 文字列 ) DPD による死活監視行う ( 対向機器が DPD をサポートしている場合 ) NAT-Traversal のネゴシエーション RADIUS サーバーの共有パスワード行う secret 接続してきた VPN クライアントには IP アドレスプール VPNC (192.168.2.1~192.168.2.100) から空きアドレスを動的に割り当てますまたクライアントの認証には RADIUS サーバーを使用します Copyright 2011 Allied Telesis K.K. All Rights Reserved. 4

RADIUS サーバーのパラメータ本資料では以下のパラメータでの設定例をご紹介します RADIUS サーバーの設定 RADIUS サーバーの IP アドレス 192.168.1.100 RADIUS クライアント 172.16.1.100 共有パスワード secret RADIUS サーバーに登録するユーザーのユーザー名とパスワードと認証方式ユーザー名パスワード認証方式登録ユーザー ( その1) AAA PasswordA CHAP 登録ユーザー ( その2) BBB PasswordB CHAP 登録ユーザー ( その3) CCC PasswordC CHAP 登録ユーザー ( その4) DDD PasswordD CHAP Copyright 2011 Allied Telesis K.K. All Rights Reserved. 5

工場出荷時設定の CLI のログイン ID/PW は下記の通りです ID : manager PW : friend 本資料は AR415S/AR550S/AR560S/AR570S のファームウェアバージョン 2.9.2-00 以上に適応可能です AR260S V2 はスマートフォンからのリモートアクセスに対応しておりません各設定画面のパラメータ詳細についてはユーザーマニュアルや設定例をご参照ください http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/index.html http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-93.html http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-195.html Copyright 2011 Allied Telesis K.K. All Rights Reserved. 6

IP アドレスおよび Security Officer レベルユーザーの作成 1. IP モジュールを有効にします ENABLE IP 2. セキュリティーモードで各種設定を行うことのできる Security Officer レベルのユーザー secoff を作成します PW は secoff とします ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER Note セキュリティモードを使用しないと IPsec 機能で用いる鍵情報がルーターの再起動時に消去されます Copyright 2011 Allied Telesis K.K. All Rights Reserved. 7

WAN 側インターフェースおよびスタティックルートの設定 1. WAN 側 (eth0) インターフェースに IP アドレス 172.16.1.100 を設定します ADD IP INT=eth0 IP=172.16.1.100 MASK=255.255.255.0 2. デフォルトルートを設定します ADD IP ROUTE=0.0.0.0 INT=eth0 NEXTHOP=172.16.1.1 Copyright 2011 Allied Telesis K.K. All Rights Reserved. 8

認証ユーザーの登録 1. VPN クライアントのユーザーを認証する際に使用する RADIUS サーバーを登録します ADD RADIUS SERVER=192.168.1.100 SECRET=secret PORT=1812 2. IP アドレスプール VPNC を作成し接続してきた VPN クライアントに割り当てるアドレスの範囲を指定しますここでは 100 台分のアドレスプールを用意しています CREATE IP POOL=VPNC IP=192.168.2.1-192.168.2.100 Copyright 2011 Allied Telesis K.K. All Rights Reserved. 9

L2TP プロトコルならびに PPP TEMPLATE の設定 1. L2TP 経由で VPN クライアントが PPP 接続してきたときに動的に作成する PPP インターフェースのテンプレート 1 を作成します接続時の認証には CHAP を使い CHAP の再認証は OFF にし VJ 圧縮を有効にしますまたアドレス割り当てには IP アドレスプール VPNC を使うようにします CREATE PPP TEMPLATE=1 IPPOOL=VPNC AUTHENTICATION=CHAP BAP=OFF ECHO=30 RECHALLENGE=OFF VJC=ON 2. L2TP モジュールを有効にします ENABLE L2TP 3. L2TP サーバーを BOTH モードで起動します ENABLE L2TP SERVER=BOTH 4. VPN クライアントに DNS サーバーアドレス 192.168.1.100 を通知します SET PPP DNSPRIMARY=192.168.1.100 Note VPN クライアントに DNS サーバーを通知する場合に必要な設定です本コマンドを使用せず ADD IP DNS PRIMARY=192.168.1.100 コマンドでルーター本体に DNS サーバーを手動登録すれば同様に通知可能です 5. L2TP 経由で VPN クライアントが接続してきたときに使用する PPP テンプレートを指定しますここではクライアントのアドレスが不定なのでどのアドレスからでも接続を受け入れるように設定します ADD L2TP IP=0.0.0.0-255.255.255.255 PPPTEMPLATE=1 Copyright 2011 Allied Telesis K.K. All Rights Reserved. 10

ISAKMP の設定 1. ISAKMP 用の事前共有鍵 (pre-shared key) を作成しますここでは鍵番号を 1 番とし鍵の値は secret という文字列で指定します (VPN クライアントにも同じ値を設定 ) CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" Note CREATE ENCO KEY コマンドはコンソール上でログインしている場合のみ有効なコマンドですそのため EDIT コマンド ( 内蔵スクリーンエディター ) などで設定スクリプトファイル (.CFG) にこのコマンドを記述しても無効になりますのでご注意ください 2. VPNクライアントからのIKEネゴシエーション要求を受け入れるISAKMPポリシー i を作成します ISAKMPメッセージの暗号化には 3DES 認証には SHA アルゴリズム Oakleyグループは 2 を使用し VPNクライアントとの認証には前の手順で作成した事前共有鍵 ( 鍵番号 1 ) を使いますさらにクライアントのIPアドレスが不定なためPEERにANYを指定し NAT-Traversalを有効にしています CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE NATTRAVERSAL=TRUE SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA GROUP=2 3. DPD を有効にします SET ISAKMP POLICY="i" DPDMODE=both Copyright 2011 Allied Telesis K.K. All Rights Reserved. 11

IPsec の設定 1. IPsec 通信の仕様を定義する SA スペック 1 を作成します鍵管理方式 ISAKMP プロトコル ESP 暗号化方式 AES256bit 認証方式 SHA に設定しますこの例では L2TP によってトンネリングを行うためデフォルトのトンネルモードは使用せずにトランスポートモードを使用します UDP1701 番ポートを使って送受信される L2TP パケットだけを暗号化する形になります CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES256 HASHALG=SHA MODE=TRANSPORT 2. 同様に IPsec 通信の仕様を定義する SA スペック 2 を作成します鍵管理方式 ISAKMP プロトコル ESP 暗号化方式 AES128bit 認証方式 SHA に設定します CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES128 HASHALG=SHA MODE=TRANSPORT 3. 同様に IPsec 通信の仕様を定義する SA スペック 3 を作成します鍵管理方式 ISAKMP プロトコル ESP 暗号化方式 3DES 認証方式 SHA に設定します CREATE IPSEC SASPEC=3 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA MODE=TRANSPORT 4. SA スペック 1 2 3 からなる SA バンドルスペック 1 を作成します鍵管理方式は ISAKMP を指定します CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1 or 2 or 3" Note VPN クライアントにより対応する暗号化方式が異なるため SA スペックを複数設定しています Copyright 2011 Allied Telesis K.K. All Rights Reserved. 12

5. IKE パケット (UDP500 番 ) と NAT-T パケット (UDP4500 番 ) を素通しさせる IPsec ポリシー isa nat を作成します CREATE IPSEC POLICY=isa INT=eth0 ACTION=PERMIT LPORT=500 TRANSPORT=UDP CREATE IPSEC POLICY=nat INT=eth0 ACTION=PERMIT LPORT=4500 TRANSPORT=UDP Note NAT Traversal を使用する場合は必ず IKE と NAT T のパケットが通過できるような設定を行ってください Note IPsec ポリシーは設定順に検索され最初にマッチしたものが適用されるため設定順序には注意が必要です検索順は SHOW IPSEC POLICY コマンドで確認できますまた検索順を変更するには SET IPSEC POLICY コマンドの POSITION パラメータを使用します 6. L2TP パケットを暗号化する IPsec ポリシー L2 を eth0 インターフェースに対して作成します鍵管理方式には ISAKMP を指定します VPN クライアントの IP アドレスが不定なため PEER には ISAKMP の認証をパスした相手という意味の DYNAMIC を BUNDLE には前の手順で作成した SA バンドルスペック 1 を指定しますまた LPORT と TRANSPORT で対象となるパケットの条件 ( ここでは L2TP パケット ) を指定します CREATE IPSEC POLICY=L2 INT=eth0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC SET IPSEC POLICY=L2 LPORT=1701 TRANSPORT=UDP 7. インターネットへの平文通信を許可する IPsec ポリシー inet を eth0 インターフェースに対して作成します CREATE IPSEC POLICY="inet" INT=eth0 ACTION=PERMIT Note インターネットにもアクセスしたい場合は必ず最後の IPsec ポリシーですべてのパケットを通過させる設定を行ってくださいいずれの IPsec ポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため上記の設定がないと VPN 以外との通信ができなくなります Copyright 2011 Allied Telesis K.K. All Rights Reserved. 13

8. IPsecモジュールを有効にします ENABLE IPSEC 9. ISAKMPモジュールを有効にします ENABLE ISAKMP 10. Security Officerレベルのユーザーでログインしなおします LOGIN secoff 11. 動作モードをセキュリティーモードに切り替えます ENABLE SYSTEM SECURITY_MODE Note セキュリティーモードでは Security Officer レベルでの Telnet ログインが原則として禁止されていますセキュリティーモードにおいて Security Officer レベルで Telnet ログインしたい場合はあらかじめ RSO(Remote Security Officer) の設定を行っておいてください 12. 設定は以上です設定内容をファイルに保存し SET CONFIG コマンドで起動時設定ファイルに指定します CREATE CONFIG=router.cfg SET CONFIG=router.cfg Copyright 2011 Allied Telesis K.K. All Rights Reserved. 14

VPN クライアントの設定 VPN クライアントの設定手順は以下を参照下さい VPN 接続先の IP アドレスやパスワード等各種パラメータがそのまま流用できます参照先 CentreCOM AR560S 設定例集 2.9 #197 リモートアクセス型 L2TP+IPsec VPN と Responder Rekey Extension による死活監視 ( クライアントは Windows XP/Vista/7 iphone/ipad および Android(TM) 端末 ) http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-197.html Windows 接続検証は以下を参照し実施しております ( 当社独自調査であり接続を保証するものではございません ) WindowsXP (Service Pack 3) : Microsoft サポート文書番号 : 885407 Windows7 : Microsoft サポート文書番号 : 926179 Copyright 2011 Allied Telesis K.K. All Rights Reserved. 15