SGX808 IPsec機能

Similar documents
クラウド接続 「Windows Azure」との接続

設定例集_Rev.8.03, Rev.9.00, Rev.10.01対応

インターネットVPN_IPoE_IPv6_fqdn

Si-R/Si-R brin シリーズ設定例

技術情報:Si-R/Si-R brinシリーズ設定例 「Oracle Cloud Infrastructure Classic」との接続

IPSEC(Si-RGX)

帯域を測ってみよう (適応型QoS/QoS連携/帯域検出機能)

xr-set_IPsec_v1.3.0

IPSEC(Si-RG)

SRT/RTX/RT設定例集

Microsoft PowerPoint - Amazon VPCとのVPN接続.pptx

dovpn-set-v100

IPCOMとWindows AzureのIPsec接続について

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

Managed Firewall NATユースケース

IPSEC-VPN IPsec(Security Architecture for Internet Protocol) IP SA(Security Association, ) SA IKE IKE 1 1 ISAKMP SA( ) IKE 2 2 IPSec SA( 1 ) IPs

FW Migration Guide(ipsec2)

設定例集

Microsoft Azure AR4050S, AR3050S, AR2050V 接続設定例

FW Migration Guide(ipsec1)

MR1000 コマンド設定事例集

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 iphone を利用した L2TP over IPSec VPN 接続 について 構成例 iphone を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 USG 回線

株式会社スタッフ アンド ブレーン Rev 1.0 ZyWALL USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 回線終端装置 (ONU) WA

目次 1. はじめに 接続設定例 ~ 基本的な設定 ~ ネットワーク構成 接続条件 XR の設定... 5 パケットフィルタ設定 VPN Client の設定 仮共有鍵の設定... 7

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 USG 回線終端装置

Configuring VPN from Proventia M Series Appliance to Cisco PIX 515E

なって削除されるが invalid-route-reactivateオプションをonで指定している場合 優先度が高い経路が消滅したときに無効になっていたRIP 由来の経路を再有効化する [ ノート ] スタティック経路の優先度は10000で固定である invalid-route-reactivate

conf_example_260V2_inet_snat.pdf

橡sirahasi.PDF

Microsoft Word - VPN設定例集(第1.0版)表紙.doc

p_network-management_old-access_ras_faq_radius2.xlsx

目次 1. はじめに 想定接続例 IPsec 接続確認機器 必要な情報と構成図 ( 例 ) 通信不可の場合のご注意点 IDCF クラウドコンソールでの作業手順 VyOS マシン

IPIP(Si-RGX)

Win XP SP3 Japanese Ed. NCP IPSec client Hub L3 SW SRX100 Policy base VPN fe-0/0/0 vlan.0 Win 2003 SVR /

Dynamic VPN Dynamic VPN IPSec VPN PC SRX IPSec VPN SRX PC IPSec 2 Copyright 2010 Juniper Networks, Inc.

IPsec徹底入門

Microsoft PowerPoint - IPsec徹底入門.ppt

2. 機能 ( 標準サポートプロトコル ) NTT ドコモの Android スマートフォン / タブレットでは標準で対応している VPN プロトコルがあります 本章では 動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-to-

改訂履歴 版番号改訂日改訂者改訂内容 年 3 月 3 日ネットワールド 新規 I

2. 機能 ( 標準サポートプロトコル ) SECURITY for Biz 対応スマートフォンでは標準で対応している VPN プロトコルがあります 本章では NTT ドコモで動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-t

FutureNet NXR,WXR設定例集

VyOSでのIPsecサイト間VPN接続ガイド

L2TP_IPSec-VPN設定手順書_

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 12 日ネットワールド 新規 I

eo 光ベーシックルータ (BAR1G01) 取扱説明書 (Ver1.0) 1 目次 1. 設定画面を開く ステータス画面で接続状態を確認する 基本設定 インターネット接続設定 DHCPサーバー機能設定 IPアドレ

R80.10_FireWall_Config_Guide_Rev1

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 3 日ネットワールド 新規 I

AP-700/AP-4000 eazy setup

対応するospf configure refreshコマンドまたはbgp configure refreshコマンドが実行されるようにした - 置き換え先のコマンド群にshow status ospfコマンドまたはshow status bgpコマンドが含まれていても ospf configure

SRT100 コマンド設定運用説明書

Microsoft Word - VPNConnectionInstruction-rev1.3.docx

マークについて 本文中では マークについて 次のように表記しています メモ 知っていると便利なことや 補足を記載しています 商標について Brother ロゴはブラザー工業株式会社の登録商標です ブラザー製品および関連資料等に記載されている社名及び商品名はそれぞれ各社の商標または登録商標です 01

FutureNet NXR,WXR 設定例集

リモートアクセス型L2TP+IPsec VPN 設定例

リモートアクセス型L2TP+IPsec VPN

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

Real4Dumps Real4dumps - Real Exam Dumps for IT Certification Exams

シナリオ:サイトツーサイト VPN の設定

サザンクロスルータシステム AR415S ファームウェアリリースノート Ver Ver から Ver の変更点 以下のとおり機能追加 機能改善が行われました 1. 本バージョンで追加された追加された機能 IPv6 o

リモートアクセス型L2TP+IPsec VPN 設定例

eo光ベーシックルーター(BAR100M01)_1904

はじめに はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と ELECOM 社製 L2 スイッチ EHB-SG2B シリーズおよび EHB-SG2B-PL シリーズの IEEE802.1X EAP-TLS/EAP-TLS+ ダイナミック VLAN 環境での接

iPhone/iPad/Android(TM) とベリサイン アイデンティティプロテクション(VIP)エンタープライズゲートウェイとの組み合わせによるL2TP+IPsecのワンタイムパスワード設定例

LAN

パススルー IPSecトンネル インターフェイスに AVC トラフィックを有効に する 回避策

<4D F736F F F696E74202D20836C F815B834E D A838B83672E B8CDD8AB B83685D>

VPN 接続の設定

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

3. ルータと各種機器の 2 点間接続 Web ブラウザで閲覧できる管理画面から 個々のルータに対して設定を行った後 最も基本的な 2 点間 VPN 接続について検証した 暗号化する通信路の端点にある機器によって接続方法が異なるので 3 つに分けて検証結果を述べる 1) ルータとルータの接続構築した

OS5.2_SSLVPN設定手順書

SRX License

Cisco Start Firewall Cisco ASA 5506-X PAT(Port Address Translation) の設定 2016 年 3 月 23 日 第 1.1 版 株式会社ネットワールド

インターネット お客様環境 回線終端装置 () 61.xxx.yyy.9 (PPPoE) 61.xxx.yyy.10 (Ethernet) 61.xxx.yyy.11 Master 61.xxx.yyy.12 Backup

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

ヤマハルーターのCLI:Command Line Interface

novas HOME+CA WEB 設定画面アクセス方法 novas HOME+CA の WEB 設定画面接続方法 本製品の設定は WEB 設定画面から変更できます WEB 設定画面のアクセス方法は以下のとおりです 1 本製品と有線または無線 LAN で接続した端末で WEB ブラウザを起動します

wdr7_dial_man01_jpn.indd

拠点間 VPN オプション設定手手順書 お客客様環境お客様様宅環境のネットワーク構成を下図図に記入しておきます 接続方法 ( )PPPoE ( )Static ( )DHCP IP アドレス ( グローバル )... 接続の詳細情情報ユーーザ ID パスワード 接続の詳細情情報 IP アドレスネット

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 5 日ネットワールド 新規 I

FutureNet NXR,WXR シリーズ設定例集

Si-R180 ご利用にあたって

VPN の IP アドレス

YMS-VPN1_User_Manual

2. Save をクリックします 3. System Options - Network - TCP/IP - Advanced を開き Primary DNS server と Secondary DNS Server に AXIS ネットワークカメラ / ビデオエンコーダが参照できる DNS サ

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

FUJITSU Network Si-R Si-R Gシリーズ トラブルシューティング

PowerPoint Presentation

Soliton Net’Attest EPS + AR router series L2TP+IPsec RADIUS 設定例

conf_example_260V2_260V2_550S_inet+cug_IPsec.pdf

IP.dvi

9.pdf

UnifiedGate CLI設定マニュアル

User's Manual補足:遠隔監視

オートビュー

オートビュー

CS-SEIL-510/C コマンドリファレンス

任意の間隔での FTP 画像送信イベントの設定方法 はじめに 本ドキュメントでは AXIS ネットワークカメラ / ビデオエンコーダにおいて任意の間隔で画像を FTP サー バーへ送信するイベントの設定手順を説明します 設定手順手順 1:AXIS ネットワークカメラ / ビデオエンコーダの設定ページ

口やかましい女ソフト VPN Client を RV130 および RV130W の IPSec VPN サーバと接続するのに使用して下さい

Web 認証拡張機能簡易ドキュメント

Transcription:

SGX808 IPsec 機能 ヤマハ株式会社 2016 年 1 月第 2.01 版 Copyright 2014-2016 Yamaha Corporation 1

更新履歴更新日付 バージョン 内容 2014.05.29 1.00 初版発行 2015.02.04 2.00 2つのセッションを張れるようにしました 相手先情報としてホストネームも指定できるようにしました デフォルト経路として IPsec を設定できるようにしました 2016.01.15 2.01 Responder 機能を追加しました 設定例を追加しました Copyright 2014-2016 Yamaha Corporation 2

目次 1 概要... 5 2 制約条件... 5 3 対応機種とファームウェアリビジョン... 5 4 詳細... 5 4.1 IPsec の有効と無効... 6 4.1.1 Edit IPsec connection settings... 6 4.1.2 Default Gateway... 6 4.1.3 Edit ボタン... 6 4.1.4 Delete ボタン... 7 4.1.5 Apply ボタン... 7 4.2 接続情報設定... 8 4.2.1 Name... 8 4.2.2 Pre-Shared-Key... 8 4.2.3 Destination... 8 4.2.4 Destination ID... 9 4.2.5 Destination Local IP Address... 9 4.2.6 Destination Local Network... 9 4.2.7 Source... 9 4.2.8 Source IP Address... 9 4.2.9 Source ID... 9 4.2.10 Authentication Algorithm... 9 4.2.11 Encryption Algorithm... 9 4.2.12 Information Mode... 10 4.2.13 Apply ボタン... 10 4.2.14 Delete ボタン... 10 4.2.15 Reset ボタン... 10 4.2.16 Return ボタン... 10 4.3 状態参照... 11 5 設定例... 12 5.1 Initiator... 12 5.1.1 Main mode... 12 5.1.2 Aggressive mode... 15 5.1.3 Aggressive mode(on PPPoE)... 19 5.1.4 NAT Traversal... 23 5.2 Responder... 28 5.2.1 Main mode... 28 5.2.2 Aggressive mode... 32 Copyright 2014-2016 Yamaha Corporation 3

5.2.3 Aggressive mode(on PPPoE)... 36 5.3 SGX808 同士の接続... 41 5.3.1 Aggressive mode... 41 5.3.2 Aggressive mode(on PPPoE)... 43 6 補足... 45 6.1 Rekey... 45 6.2 Keepalive... 45 Copyright 2014-2016 Yamaha Corporation 4

1 概要本ドキュメントは SGX808 の IPsec 機能について記述したものです 本機能の有効無効 および IPsec 機能に必要な情報を設定することができます 機能として同時に 2 つのセッションを張ることができ それぞれに対して Aggressive mode か Main mode 動作を Initiator か Responder 動作を設定することができます 2 制約条件 本機能において 以下の制約条件を設けています 1. IKE(Internet Key Exchange) は Version 1 のみ対応します 2. IKE が用いるグループは modp1024 のみ対応します フェーズ 1 とフェーズ 2 の両方で modp1024 を提案する形式をとります 3. トンネルモードのみ対応します 4. Responder を設定した場合 - 設定した 1 つの相手先を Initiator として動作します 不特定の相手先を Initiator として動作させることはできません - Responder を設定した IPsec トンネルは Default Gateway として動作しません - 暗号アルゴリズム及び認証アルゴリズムは Initiator 側に従います - 認証アルゴリズムに sha256 を使用できません 3 対応機種とファームウェアリビジョン SGX808 では 以下のファームウェアで IPsec 機能を利用できます 表 3.1 対応機種とファームウェアリビジョン機種ファームウェア変更点 SGX808 Rev.1.00.03 以降新規 Rev.1.00.08 以降 2つのセッションを張れるようにしました 相手先情報としてホストネームも指定できるようにしました デフォルト経路として IPsec を設定できるようにしました Rev.1.00.15 以降 Responder 機能を追加しました 4 詳細 IPsec 機能は Web 設定画面の [Network] タブ内の [Internet Settings]-[IPsec] のページで設定します NAT Traversal に対応しており NAT の有無は自動検出して動作します NAT の keepalive の送信間隔は 20 秒です この値は変更できません Copyright 2014-2016 Yamaha Corporation 5

4.1 IPsec の有効と無効 図 4.1 IPsec の有効と無効 4.1.1 Edit IPsec connection settings 個々の接続情報について "Enable"/"Disable" を設定することができます 接続情報が設定されていない 場合は選択できません ( デフォルト :"Disable") 4.1.2 Default Gateway プルダウンメニューからトンネル名を選択することで デフォルト経路となるトンネルを設定します ( デフォルト :"Disable") 注意すべき点として この設定を "Disable" 以外にすると WAN 側への送出されるパケットは全て設定されたトンネルへ流れるので 例外とするルーティングは [Internet Settings]-[Advanced Routing] にて設定しておく必要があります また 2 つのトンネルを設定し 片方をデフォルト経路に設定した場合には それぞれにトンネルが確立した後 全てのパケットはデフォルト経路に設定したトンネルに送出されます もう片方のトンネルの先にあるネットワークセグメント宛のパケットは 暗黙にルーティング設定されているので デフォルト経路には送信されず もう片方のトンネルに送出されます 4.1.3 Edit ボタン個々の接続情報設定画面に遷移します Copyright 2014-2016 Yamaha Corporation 6

4.1.4 Delete ボタン 個々の接続情報を削除します 接続情報が設定されていない状態の場合は実行できません 4.1.5 Apply ボタン設定した情報を動作に反映します 2 つのトンネルを設定し 片方が接続状態にあり もう片方の Enable/Disable を変更した場合 接続状態にある側は再接続せず 接続を維持します デフォルト経路を変更した場合 接続状態であるトンネルを一旦切断し再接続します Copyright 2014-2016 Yamaha Corporation 7

4.2 接続情報設定 2 箇所の接続先に対して それぞれ以下の情報を設定することができます 図 4.2 接続状態設定 4.2.1 Name IPsec セッションの名称を設定します 省略不可です 2 つのセッションに同じ名称を設定することは できません ASCII 文字 32bytes( デフォルト : なし ) 以下の文字は使用禁止です '"'( ダブルクォーテーション ) '='( イコール ) '#'( シャープ ) ' '( 空白 ) ';'( セミコロン ) '(',')'( 括弧 ) '`'( バッククォーテーション ) '\'( バックスラッシュ ) '*'( アスタリスク ) '''( シングルクォーテーション ) ' '( 縦線 ) '~'( チルダ ) 4.2.2 Pre-Shared-Key IPsec では 鍵交換プロトコル IKE(Internet Key Exchange) を使用します 省略不可です 必要な鍵は IKE により自動生成されますが その鍵の種となる事前共有鍵 (PSK:Pre-Shared-Key) をここで設定します ASCII 文字 128bytes( デフォルト : なし ) '"'( ダブルクォーテーション ) は使用禁止です 4.2.3 Destination 相手先の情報 (IP アドレスまたは FQDN) を設定します 省略不可です ASCII 文字 256bytes( デフ ォルト : なし ) 以下の文字は使用禁止です '"'( ダブルクォーテーション ) '='( イコール ) '#'( シャープ ) ' '( 空白 ) Copyright 2014-2016 Yamaha Corporation 8

4.2.4 Destination ID 相手先に設定されている ID を設定します 省略不可です ASCII 文字 256bytes( デフォルト : なし ) 以下の文字は使用禁止です '"'( ダブルクォーテーション ) '='( イコール ) '#'( シャープ ) ' '( 空白 ) 4.2.5 Destination Local IP Address 相手先に設定されているローカル側の IP アドレスを設定します 省略不可です ( デフォルト : なし ) 4.2.6 Destination Local Network 相手先に設定されているローカル側のネットワークアドレスとサブネットマスクアドレスを設定します 省略不可です ( デフォルト : なし ) 4.2.7 Source 接続モードを以下の 2 つから選択します "Aggressive mode", "Main mode"( デフォルト ) 4.2.8 Source IP Address 本機の WAN 側の IP アドレスを設定します 省略不可です "Aggressive mode" の場合は入力不可となります 4.2.9 Source ID IKE のフェーズ 2 で使用する自分側の ID を設定します 省略不可です "Aggressive mode" の場合は必須の項目となります ASCII 文字 256bytes( デフォルト : なし ) 以下の文字は使用禁止です '"'( ダブルクォーテーション ) '='( イコール ) '#'( シャープ ) ' '( 空白 ) 4.2.10 Authentication Algorithm 認証アルゴリズムを以下の 3 つから選択します "HMAC-MD5", "HMAC-SHA"( デフォルト ), "HMAC-SHA256" 4.2.11 Encryption Algorithm 暗号アルゴリズムを以下の 3 つから選択します "3DES-CBC", "AES-CBC"( デフォルト ), "AES256-CBC" Copyright 2014-2016 Yamaha Corporation 9

4.2.12 Information Mode 応答方法を以下の 2 つから選択します "Initiator"( デフォルト ), "Responder" 4.2.13 Apply ボタン設定した情報を記憶し 前の画面に戻ります 基本設定 (4.1 IPsec の有効と無効 ) が "Enable" であった場合には設定内容に従い動作を開始します "Disable" と設定していた場合には 設定内容を記憶しますが 動作を開始しません 4.2.14 Delete ボタン 設定した情報を削除し 前の画面に戻ります 既に実行 ( 接続 ) 状態にあった場合には終了 ( 切断 ) します 4.2.15 Reset ボタン 入力途中の設定情報を " 确定 " ボタンを押す前の状態に戻します 4.2.16 Return ボタン 前の画面に戻ります 入力途中の情報は破棄します Copyright 2014-2016 Yamaha Corporation 10

4.3 状態参照 Web 設定画面の [Administration]-[Status] のページで 接続状態を確認することができます 図 4.3 状態参照 Copyright 2014-2016 Yamaha Corporation 11

5 設定例 5.1 Initiator SGX808 が Initiator 接続する相手先の RTX1200 が Responder として動作する例を説明します 5.1.1 Main mode 接続モードが Main mode の場合の例を説明します - 構成例 10.0.0.0/24.100.200 SGX808 Initiator RTX1200 Responder.1.1 192.168.100.0/24 192.168.200.0/24 PC1 PC2 図 5.1.1-1 構成例 SGX808 LAN 側アドレス :192.168.100.1 WAN 側アドレス :10.0.0.100 RTX1200 LAN 側アドレス :192.168.200.1 WAN 側アドレス :10.0.0.200 - RTX1200 の設定例 ip route 192.168.100.0/24 gateway tunnel 1 ip lan1 address 192.168.200.1/24...(*4) ip lan2 address 10.0.0.200/24...(*2) ip lan2 nat descriptor 1 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac...(*5) ipsec ike local address 1 192.168.200.1 ipsec ike local id 1 192.168.200.1...(*3) ipsec ike backward-compatibility 1 2 ipsec ike pre-shared-key 1 text test...(*1) Copyright 2014-2016 Yamaha Corporation 12

ipsec ike remote address 1 10.0.0.100 ipsec ike send info 1 off tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.200.1 udp 500 nat descriptor masquerade static 1 2 192.168.200.1 esp 図 5.2.1-2 RTX1200 の設定例 ip route 192.168.100.0/24 gateway tunnel 1 相手側 LAN への経路をトンネルに設定します ip lan1 address 192.168.200.1/24 ip lan2 address 10.0.0.200/24 LAN1,LAN2 に固定アドレスを設定します ip lan2 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.200.1 udp 500 nat descriptor masquerade static 1 2 192.168.200.1 esp LAN2 インタフェースに NAT マスカレードを設定します ipsec tunnel 1 tunnel enable 1 IPsec 定義の適用と自動鍵交換を行うように設定します ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike pre-shared-key 1 text test 相手側のセキュリティ ゲートウェイに対する SA のポリシーを設定します Pre-Shared-Key は相手側と同じものを設定します ipsec ike local address 1 192.168.200.1 ipsec ike local id 1 192.168.200.1 ipsec ike remote address 1 10.0.0.100 Copyright 2014-2016 Yamaha Corporation 13

local address と id には LAN1 側のアドレスを設定します remote address には相手側の WAN 側のアドレスを設定します ipsec ike backward-compatibility 1 2 IKEv1 鍵交換タイプを 2 に設定します 認証アルゴリズムに HMAC-SHA256 暗号アルゴリズムに SDES-CBC を設定した場合には 必須となります 本コマンドはファームウェアバージョン Rev.10.01.55 以降に追加されています ipsec ike send info 1 off IKE の情報ペイロードを送信しない設定にします SGX808 は ISAKMP SA の delete の informational パケットを受信すると IPsec のセッションを切断するように動作してしまうため この設定をしておく必要があります - SGX808 の設定例 表 5.1.1 SGX808 の設定例 項目 内容 設定例 Name 適当な名称を設定します example Pre-Shared-Key 相手先の設定と同じ Pre-Shared-Key を設定します test (RTX1200 の設定例 (*1)) Destination 相手先のアドレスを設定します 10.0.0.200 (RTX1200 の設定例 (*2)) Destination ID 相手先の ID を設定します (RTX1200 の設定例 (*3)) 192.168.200.1 Destination Local IP 相手先のローカル側の IP アドレスを設定します 192.168.200.1 Address (RTX1200 の設定例 (*4)) Destination Local 相手先のローカル側のネットワークアドレスとサブネ 192.168.200.0 / Network ットマスクアドレスを設定します 255.255.255.0 Source "Main mode" を選択します "Main mode" Source IP Address WAN 側の IP アドレスを設定します 10.0.0.100 Source ID 設定の必要はありません ( 空白 ) Authentication 相手先で設定されたアルゴリズムに従います HMAC-SHA Algorithm (RTX1200 の設定例 (*5)) Encryption Algorithm 相手先で設定されたアルゴリズムに従う AES-CBC (RTX1200 の設定例 (*5)) Information Mode "Initiator" を選択します "Initiator" Copyright 2014-2016 Yamaha Corporation 14

5.1.2 Aggressive mode 接続モードが Aggressive mode の場合の例を説明します - 構成例 10.0.0.0/24.200 SGX808 Initiator RTX1200 Responder.1.1 192.168.100.0/24 192.168.200.0/24 PC1 PC2 図 5.3.2-1 構成例 SGX808 LAN 側アドレス :192.168.100.1 WAN 側アドレス : 不定 RTX1200 LAN 側アドレス :192.168.200.1 WAN 側アドレス :10.0.0.200 - RTX1200 の設定例 ip route 192.168.100.0/24 gateway tunnel 1 ip lan1 address 192.168.200.1/24...(*4) ip lan2 address 10.0.0.200/24...(*2) ip lan2 nat descriptor 1 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac...(*5) ipsec ike local address 1 192.168.200.1 ipsec ike local id 1 192.168.200.1...(*3) ipsec ike backward-compatibility 1 2 ipsec ike payload type 1 3 ipsec ike pre-shared-key 1 text test...(*1) ipsec ike remote address 1 any ipsec ike remote name 1 XXXXXX key-id...(*6) ipsec ike send info 1 off Copyright 2014-2016 Yamaha Corporation 15

tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.200.1 udp 500 nat descriptor masquerade static 1 2 192.168.200.1 esp 図 5.4.2-2 RTX1200 の設定例 ip route 192.168.100.0/24 gateway tunnel 1 相手側 LAN への経路をトンネルに設定します ip lan1 address 192.168.200.1/24 ip lan2 address 10.0.0.200/24 LAN1,LAN2 に固定アドレスを設定します ip lan2 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.200.1 udp 500 nat descriptor masquerade static 1 2 192.168.200.1 esp LAN2 インタフェースに NAT マスカレードを設定します ipsec tunnel 1 tunnel enable 1 IPsec 定義の適用と自動鍵交換を行うように設定します ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike pre-shared-key 1 text test 相手側のセキュリティ ゲートウェイに対する SA のポリシーを設定します Pre-Shared-Key は相手側と同じものを設定します ipsec ike backward-compatibility 1 2 IKEv1 鍵交換タイプを 2 に設定します 認証アルゴリズムに HMAC-SHA256 暗号アルゴリズムに SDES-CBC を設定した場合には 必須となります 本コマンドはファームウェアバージョン Rev.10.01.55 以降に追加されています Copyright 2014-2016 Yamaha Corporation 16

ipsec ike payload type 1 3 ipsec ike remote address 1 any ipsec ike remote name 1 XXXXXX key-id payload のタイプを 3 に設定します remote address には相手側のグローバルアドレスが不定なので any を設定します 相手側のセキュリティ ゲートウェイの名前 (XXXXXX) を設定します これらの設定により Aggressive mode の responder として動作します ipsec ike local address 1 192.168.200.1 ipsec ike local id 1 192.168.200.1 local address と id には LAN1 側のアドレスを設定します ipsec ike send info 1 off IKE の情報ペイロードを送信しないように設定します SGX808 は ISAKMP SA の delete の informational パケットを受信すると IPsec のセッションを切断するように動作してしまうため この設定をしておく必要があります - SGX808 の設定例 表 5.1.2 SGX808 の設定例 項目 内容 設定例 Name 適当な名称を設定します example Pre-Shared-Key 相手先の設定と同じ Pre-Shared-Key を設定します test (RTX1200 の設定例 (*1)) Destination 相手先のアドレスを設定します 10.0.0.200 (RTX1200 の設定例 (*2)) Destination ID 相手先の ID を設定します (RTX1200 の設定例 (*3)) 192.168.200.1 Destination Local IP 相手先のローカル側の IP アドレスを設定します 192.168.200.1 Address (RTX1200 の設定例 (*4)) Destination Local 相手先のローカル側のネットワークアドレスとサブ 192.168.200.0 / Network ネットマスクアドレスを設定します 255.255.255.0 Source "Aggressive mode" を選択します "Aggressive mode" Source IP Address "Aggressive mode" なので 設定できません Source ID 相手先と同じ key-id を設定します XXXXXX (RTX1200 の設定例 (*6)) Authentication Algorithm 相手先で設定されたアルゴリズムに従います (RTX1200 の設定例 (*5)) HMAC-SHA Copyright 2014-2016 Yamaha Corporation 17

Encryption Algorithm 相手先で設定されたアルゴリズムに従う AES-CBC (RTX1200 の設定例 (*5)) Information Mode "Initiator" を選択します "Initiator" Copyright 2014-2016 Yamaha Corporation 18

5.1.3 Aggressive mode(on PPPoE) PPPoE の設定を必要とした場合の例を説明します - 構成例 <Internet> SGX808 Initiator RTX1200 Responder.1.1 192.168.100.0/24 192.168.200.0/24 PC1 PC2 図 5.5.3-1 構成例 SGX808 LAN 側アドレス :192.168.100.1 WAN 側アドレス : 不定 RTX1200 LAN 側アドレス :192.168.200.1 WAN 側アドレス : 不定 WAN 側ホスト名 :xxx.yyy.netvolante.jp 予めネットボランチ DNS サービスで割り当てられた名称 - RTX1200 の設定例 ip route default gateway pp 1 ip route 192.168.100.0/24 gateway tunnel 1 ip lan1 address 192.168.200.1/24...(*4) pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname [userid] [PASS] ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp nat descriptor 1 netvolante-dns hostname host pp 1 xxx.yyy.netvolante.jp...(*2) Copyright 2014-2016 Yamaha Corporation 19

pp enable 1 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac...(*5) ipsec ike local address 1 192.168.200.1 ipsec ike local id 1 192.168.200.1...(*3) ipsec ike backward-compatibility 1 2 ipsec ike payload type 1 3 ipsec ike pre-shared-key 1 text test...(*1) ipsec ike remote address 1 any ipsec ike remote name 1 XXXXXX key-id...(*6) ipsec ike send info 1 off tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.200.1 udp 500 nat descriptor masquerade static 1 2 192.168.200.1 esp 図 5.6.3-2 RTX1200 の設定例 ip route default gateway pp 1 ip route 192.168.100.0/24 gateway tunnel 1 デフォルト経路を pp に設定します 相手側 LAN への経路をトンネルに設定します ip lan1 address 192.168.200.1/24 LAN1 に固定アドレスを設定します pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname [userid] [PASS] ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none netvolante-dns hostname host pp 1 xxx.yyy.netvolante.jp pp enable 1 Copyright 2014-2016 Yamaha Corporation 20

PPPoE を設定します ホスト名も登録します ip pp nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.200.1 udp 500 nat descriptor masquerade static 1 2 192.168.200.1 esp pp インタフェースに NAT マスカレードを設定します WAN 側の IP アドレスとして PPP の接続先から通知される IP アドレスを起用するようにします ipsec tunnel 1 tunnel enable 1 IPsec 定義の適用と自動鍵交換を行うように設定します ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike pre-shared-key 1 text test 相手側のセキュリティ ゲートウェイに対する SA のポリシーを設定します Pre-Shared-Key は相手側と同じものを設定します ipsec ike backward-compatibility 1 2 IKEv1 鍵交換タイプを 2 に設定します 認証アルゴリズムに HMAC-SHA256 暗号アルゴリズムに SDES-CBC を設定した場合には 必須となります 本コマンドはファームウェアバージョン Rev.10.01.55 以降に追加されています ipsec ike payload type 1 3 ipsec ike remote address 1 any ipsec ike remote name 1 XXXXXX key-id payload のタイプを 3 に設定します remote address には相手側のグローバルアドレスが不定なので any を設定します 相手側のセキュリティ ゲートウェイの名前 (XXXXXX) を設定します これらの設定により Aggressive mode の responder として動作します ipsec ike local address 1 192.168.200.1 ipsec ike local id 1 192.168.200.1 local address と id には LAN1 側のアドレスを設定します Copyright 2014-2016 Yamaha Corporation 21

ipsec ike send info 1 off IKE の情報ペイロードを送信しないように設定します SGX808 は ISAKMP SA の delete の informational パケットを受信すると IPsec のセッションを切断するように動作してしまうため この設定をしておく必要があります - SGX808 の設定例 PPPoE の設定は省略します IPsec の設定は Aggressive mode の場合の設定とほぼ同じです 相手 先として 相手先に割り当てられているホストネームを指定します 表 5.1.3 SGX808 の設定例 項目 内容 設定例 Name 適当な名称を設定します example Pre-Shared-Key 相手先の設定と同じ Pre-Shared-Keyを設定します test (RTX1200 の設定例 (*1)) Destination 相手先のアドレスを設定します xxx.yyy.netvolante.jp (RTX1200 の設定例 (*2)) Destination ID 相手先の ID を設定します (RTX1200 の設定例 (*3)) 192.168.200.1 Destination Local IP 相手先のローカル側の IP アドレスを設定します 192.168.200.1 Address (RTX1200 の設定例 (*4)) Destination Local 相手先のローカル側のネットワークアドレスとサ 192.168.200.0 / Network ブネットマスクアドレスを設定します 255.255.255.0 Source "Aggressive mode" を選択します "Aggressive mode" Source IP Address "Aggressive mode" なので 設定できません Source ID 相手先と同じ key-id を設定します XXXXXX (RTX1200 の設定例 (*6)) Authentication 相手先で設定されたアルゴリズムに従います HMAC-SHA Algorithm (RTX1200 の設定例 (*5)) Encryption Algorithm 相手先で設定されたアルゴリズムに従う AES-CBC (RTX1200 の設定例 (*5)) Information Mode "Initiator" を選択します "Initiator" Copyright 2014-2016 Yamaha Corporation 22

5.1.4 NAT Traversal NAT Traversal による 2 台の SGX808 との IPsec 接続例を示します 相手先には PPPoE サーバーから 任意の IP アドレスが WAN 側に付与される場合を想定します - 構成例 <Internet> RTX1200(A) RTX1200(B) Responder.1.1 192.168.10.0/24 192.168.200.0/24 SGX808(B) Initiator.1 192.168.101.0/24 PC3 PC2 SGX808(A) Initiator.1 192.168.100.0/24 PC1 図 5.7.4-1 構成例 SGX808(A) LAN 側アドレス :192.168.100.1 WAN 側アドレス : 不定 (DHCP にて RTX1200(A) から付与 ) SGX808(B) LAN 側アドレス :192.168.101.1 WAN 側アドレス : 不定 (DHCP にて RTX1200(A) から付与 ) RTX1200(A) LAN 側アドレス :192.168.10.1 WAN 側アドレス : 不定 (PPPoE サーバーから付与 ) RTX1200(B) LAN 側アドレス :192.168.200.1 WAN 側アドレス : 不定 WAN 側ホスト名 :xxx.yyy.netvolante.jp 予めネットボランチ DNS サービスで割り当てられた名称 Copyright 2014-2016 Yamaha Corporation 23

- RTX1200 の設定例 5.1.3 Aggressive mode(on PPPoE) に対し NAT Traversal の設定を追加します ip route default gateway pp 1 ip route 192.168.100.0/24 gateway tunnel 1 ip route 192.168.101.0/24 gateway tunnel 2 ip lan1 address 192.168.1.1/24 pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname [userid] [PASS] ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp nat descriptor 1 netvolante-dns hostname host pp 1 xxx.yyy.netvolante.jp pp enable 1 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike local address 1 192.168.200.1 ipsec ike local id 1 192.168.200.1 ipsec ike backward-compatibility 1 2 ipsec ike nat-traversal 1 on ipsec ike payload type 1 3 ipsec ike pre-shared-key 1 text test ipsec ike remote address 1 any ipsec ike remote name 1 XXXXXX1 key-id ipsec ike send info 1 off tunnel enable 1 tunnel select 2 ipsec tunnel 2 ipsec sa policy 2 2 esp aes-cbc sha-hmac ipsec ike local address 2 192.168.200.1 Copyright 2014-2016 Yamaha Corporation 24

ipsec ike local id 2 192.168.200.1 ipsec ike backward-compatibility 2 2 ipsec ike nat-traversal 2 on ipsec ike payload type 2 3 ipsec ike pre-shared-key 2 text test2 ipsec ike remote address 2 any ipsec ike remote name 2 XXXXXX2 key-id ipsec ike send info 2 off tunnel enable 2 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.200.1 udp 500 nat descriptor masquerade static 1 2 192.168.200.1 esp nat descriptor masquerade static 1 3 192.168.200.1 udp 4500 図 5.8.4-2 RTX1200 の設定例 ip route default gateway pp 1 ip route 192.168.100.0/24 gateway tunnel 1 ip route 192.168.101.0/24 gateway tunnel 2 デフォルト経路を pp に設定します 相手側 LAN への経路をトンネルに設定します ip lan1 address 192.168.200.1/24 LAN1 に固定アドレスを設定します pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname [userid] [PASS] ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none netvolante-dns hostname host pp 1 xxx.yyy.netvolante.jp pp enable 1 PPPoE を設定します ホスト名も登録します ip pp nat descriptor 1 Copyright 2014-2016 Yamaha Corporation 25

nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.200.1 udp 500 nat descriptor masquerade static 1 2 192.168.200.1 esp nat descriptor masquerade static 1 3 192.168.200.1 udp 4500 pp インタフェースに NAT マスカレードを設定します 外側の IP アドレスとして PPP の接続先から通知される IP アドレスを起用するようにします IPsec の NAT Traversal を有効にするため 4500 の udp ポートを変換しないようにします ipsec tunnel 1 tunnel enable 1 ipsec tunnel 2 tunnel enable 2 2 箇所に対する IPsec 定義の適用と自動鍵交換を行うように設定します ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike pre-shared-key 1 text test ipsec sa policy 2 2 esp aes-cbc sha-hmac ipsec ike pre-shared-key 2 text test 相手側のセキュリティ ゲートウェイに対する SA のポリシーを設定します Pre-Shared-Key は相手側と同じものを設定します ipsec ike backward-compatibility 1 2 ipsec ike backward-compatibility 2 2 IKEv1 鍵交換タイプを 2 に設定します 認証アルゴリズムに HMAC-SHA256 暗号アルゴリズムに SDES-CBC を設定した場合には 必須となります 本コマンドはファームウェアバージョン Rev.10.01.55 以降に追加されています ipsec ike nat-traversal 1 on ipsec ike nat-traversal 2 on IPsec NAT Traversal を利用するために設定します ipsec ike payload type 1 3 ipsec ike remote address 1 any ipsec ike remote name 1 XXXXXX1 key-id ipsec ike payload type 2 3 Copyright 2014-2016 Yamaha Corporation 26

ipsec ike remote address 2 any ipsec ike remote name 2 XXXXXX2 key-id payload のタイプを 3 に設定します remote address には相手側のグローバルアドレスが不定なので any を設定します 相手側のセキュリティ ゲートウェイの名前 (XXXXXX1,XXXXXX2) を設定します これらの設定により Aggressive mode の responder として動作します ipsec ike local address 1 192.168.200.1 ipsec ike local id 1 192.168.200.1 ipsec ike local address 2 192.168.200.1 ipsec ike local id 2 192.168.200.1 local address と id には LAN1 側のアドレスを設定します ipsec ike send info 1 off ipsec ike send info 2 off IKE の情報ペイロードを送信しないように設定します SGX808 は ISAKMP SA の delete の informational パケットを受信すると IPsec のセッションを切断するように動作してしまうため この設定をしておく必要があります - RTX1200(A) の設定特別な設定をする必要はありません インターネットに接続するための PPPoE 設定と NAT の設定 LAN 側に対するネットワーク設定をすればよいです - SGX808(A)(B) の設定 NAT Traversal に対して特別な設定は必要ありません Aggressive mode の接続例と同様に 2 台とも相手先となる RTX1200(B) との接続設定をすればよいです Copyright 2014-2016 Yamaha Corporation 27

5.2 Responder SGX808 が Responder 接続する相手先の RTX1200 が Initiator として動作する例を説明します 5.2.1 Main mode 接続モードが Main mode の場合の例を説明します - 構成例 10.0.0.0/24.100.200 SGX808 Responder RTX1200 Initiator.1.1 192.168.100.0/24 192.168.200.0/24 PC1 PC2 図 5.2.1-1 構成例 SGX808 LAN 側アドレス :192.168.100.1 WAN 側アドレス :10.0.0.100 RTX1200 LAN 側アドレス :192.168.200.1 WAN 側アドレス :10.0.0.200 - RTX1200 の設定例 ip route 192.168.100.0/24 gateway tunnel 1 ip lan1 address 192.168.200.1/24...(*4) ip lan2 address 10.0.0.200/24...(*2) ip lan2 nat descriptor 1 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac...(*5) ipsec ike always-on 1 on ipsec ike local id 1 192.168.200.1/24...(*3) ipsec ike payload type 1 3 ipsec ike backward-compatibility 1 2 ipsec ike pre-shared-key 1 text test...(*1) Copyright 2014-2016 Yamaha Corporation 28

ipsec ike remote address 1 10.0.0.100 ipsec ike remote id 1 192.168.100.1/24...(*6) ipsec ike send info 1 off tunnel enable 1 ipsec auto refresh on nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.200.1 udp 500 nat descriptor masquerade static 1 2 192.168.200.1 esp 図 5.2.1-2 RTX1200 の設定例 ip route 192.168.100.0/24 gateway tunnel 1 相手側 LAN への経路をトンネルに設定します ip lan1 address 192.168.200.1/24 ip lan2 address 10.0.0.200/24 LAN1,LAN2 に固定アドレスを設定します ip lan2 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.200.1 udp 500 nat descriptor masquerade static 1 2 192.168.200.1 esp LAN2 インタフェースに NAT マスカレードを設定します ipsec tunnel 1 tunnel enable 1 IPsec 定義の適用と自動鍵交換を行うように設定します ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike pre-shared-key 1 text test 相手側のセキュリティ ゲートウェイに対する SA のポリシーを設定します Pre-Shared-Key は相手側と同じものを設定します ipsec ike always-on 1 on Copyright 2014-2016 Yamaha Corporation 29

ipsec auto refresh on IKE の鍵交換に失敗したときに鍵交換を休止せずに継続できるようにします 鍵交換を始動するようにします (Initiator として動作します ) ipsec ike backward-compatibility 1 2 IKEv1 鍵交換タイプを 2 に設定します 認証アルゴリズムに HMAC-SHA256 暗号アルゴリズムに SDES-CBC を設定した場合には 必須となります 本コマンドはファームウェアバージョン Rev.10.01.55 以降に追加されています ipsec ike local id 1 192.168.200.1/24 local id には LAN1 側のアドレスとサブネットマスクを設定します ipsec ike payload type 1 3 ipsec ike remote address 1 10.0.0.100 ipsec ike remote id 1 192.168.100.1/24 payload のタイプを 3 に設定します remote address には相手側のグローバルアドレスを設定します remote id には相手側の LAN 側のアドレスとサブネットマスクを設定します ipsec ike send info 1 off IKE の情報ペイロードを送信しない設定にします SGX808 は ISAKMP SA の delete の informational パケットを受信すると IPsec のセッションを切断するように動作してしまうため この設定をしておく必要があります - SGX808 の設定例 表 5.2.1 SGX808 の設定例 項目 内容 設定例 Name 適当な名称を設定します example Pre-Shared-Key 相手先の設定と同じ Pre-Shared-Key を設定します test (RTX1200 の設定例 (*1)) Destination 相手先のアドレスを設定します 10.0.0.200 (RTX1200 の設定例 (*2)) Destination ID 相手先の ID を設定します (RTX1200 の設定例 (*3)) 192.168.200.1 Destination Local IP 相手先のローカル側の IP アドレスを設定します 192.168.200.1 Address (RTX1200 の設定例 (*4)) Destination Local 相手先のローカル側のネットワークアドレスとサブネ 192.168.200.0 / Copyright 2014-2016 Yamaha Corporation 30

Network ットマスクアドレスを設定します 255.255.255.0 Source "Main mode" を選択します "Main mode" Source IP Address WAN 側の IP アドレスを設定します 10.0.0.100 Source ID 相手先の設定と同じになるように本体側の ID を設定し 192.168.100.1 ます (RTX1200 の設定例 (*6)) Authentication 相手先で設定されたアルゴリズムに従います HMAC-SHA Algorithm (RTX1200 の設定例 (*5)) Encryption Algorithm 相手先で設定されたアルゴリズムに従う AES-CBC (RTX1200 の設定例 (*5)) Information Mode "Initiator" を選択します "Responder" Copyright 2014-2016 Yamaha Corporation 31

5.2.2 Aggressive mode 接続モードが Aggressive mode の場合の例を説明します - 構成例 10.0.0.0/24.100.200 SGX808 Responder RTX1200 Initiator.1.1 192.168.100.0/24 192.168.200.0/24 PC1 PC2 図 5.2.2-1 構成例 SGX808 LAN 側アドレス :192.168.100.1 WAN 側アドレス :10.10.10.100 RTX1200 LAN 側アドレス :192.168.200.1 WAN 側アドレス :10.0.0.200 - RTX1200 の設定例 ip route 192.168.100.0/24 gateway tunnel 1 ip lan1 address 192.168.200.1/24...(*4) ip lan2 address 10.0.0.200/24...(*2) ip lan2 nat descriptor 1 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac local-id=192.168.200.1/24 remote-id=192.168.100.1/24...(*5) ipsec ike always-on 1 on ipsec ike local name 1 bob fqdn...(*3) ipsec ike payload type 1 2 ipsec ike backward-compatibility 1 2 ipsec ike pre-shared-key 1 text test...(*1) ipsec ike remote address 1 10.0.0.100 ipsec ike remote name 1 alice fqdn...(*6) Copyright 2014-2016 Yamaha Corporation 32

ipsec ike send info 1 off tunnel enable 1 ipsec auto refresh on nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.200.1 udp 500 nat descriptor masquerade static 1 2 192.168.200.1 esp 図 5.2.2-2 RTX1200 の設定例 ip route 192.168.100.0/24 gateway tunnel 1 相手側 LAN への経路をトンネルに設定します ip lan1 address 192.168.200.1/24 ip lan2 address 10.0.0.200/24 LAN1,LAN2 に固定アドレスを設定します ip lan2 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.200.1 udp 500 nat descriptor masquerade static 1 2 192.168.200.1 esp LAN2 インタフェースに NAT マスカレードを設定します ipsec tunnel 1 tunnel enable 1 IPsec 定義の適用と自動鍵交換を行うように設定します ipsec sa policy 1 1 esp aes-cbc sha-hmac local-id=192.168.200.1/24 remote-id=192.168.100.1/24 ipsec ike pre-shared-key 1 text test 相手側のセキュリティ ゲートウェイに対する SA のポリシーを設定します このときオプションとして local-id と remote-id も設定します Pre-Shared-Key は相手側と同じものを設定します ipsec ike backward-compatibility 1 2 IKEv1 鍵交換タイプを 2 に設定します Copyright 2014-2016 Yamaha Corporation 33

認証アルゴリズムに HMAC-SHA256 暗号アルゴリズムに SDES-CBC を設定した場合には 必須となります 本コマンドはファームウェアバージョン Rev.10.01.55 以降に追加されています ipsec ike local name 1 bob fqdn local name には適当な名前を設定します ( 設定例 :bob) この設定により Aggressive mode で動作するようになります ipsec ike payload type 1 2 ipsec ike remote address 1 10.0.0.100 ipsec ike remote name 1 alice payload のタイプを 2 に設定します remote address には相手側のグローバルアドレスを設定します remote name には相手側の名前を設定します ( 設定例 :alice) ipsec ike send info 1 off IKE の情報ペイロードを送信しないように設定します SGX808 は ISAKMP SA の delete の informational パケットを受信すると IPsec のセッションを切断するように動作してしまうため この設定をしておく必要があります - SGX808 の設定例 表 5.2.2 SGX808 の設定例 項目 内容 設定例 Name 適当な名称を設定します example Pre-Shared-Key 相手先の設定と同じ Pre-Shared-Key を設定します test (RTX1200 の設定例 (*1)) Destination 相手先のアドレスを設定します 10.0.0.200 (RTX1200 の設定例 (*2)) Destination ID 相手先の ID を設定します (RTX1200 の設定例 (*3)) bob Destination Local IP 相手先のローカル側の IP アドレスを設定します 192.168.200.1 Address (RTX1200 の設定例 (*4)) Destination Local 相手先のローカル側のネットワークアドレスとサブ 192.168.200.0 / Network ネットマスクアドレスを設定します 255.255.255.0 Source "Aggressive mode" を選択します "Aggressive mode" Source IP Address "Aggressive mode" なので 設定できません Source ID 相手先と同じ key-id を設定します (RTX1200 の設定例 (*6)) alice Copyright 2014-2016 Yamaha Corporation 34

Authentication 相手先で設定されたアルゴリズムに従います HMAC-SHA Algorithm (RTX1200 の設定例 (*5)) Encryption Algorithm 相手先で設定されたアルゴリズムに従う AES-CBC (RTX1200 の設定例 (*5)) Information Mode "Responder" を選択します "Responder" Copyright 2014-2016 Yamaha Corporation 35

5.2.3 Aggressive mode(on PPPoE) PPPoE の設定を必要とした場合の例を説明します この場合 SGX808 を Responder として動作させるためには DDNS クライアント機能 を動作させておく必要があります SGX808 の PPPoE 設定 DDNS クライアント設定の説明は省略します - 構成例 <Internet> SGX808 Responder RTX1200 Initiator.1.1 192.168.100.0/24 192.168.200.0/24 PC1 PC2 図 5.2.3-1 構成例 SGX808 LAN 側アドレス :192.168.100.1 WAN 側アドレス :sgx808a.xxx.xxx 予め適当な DDNS サービスにて割り当てられた名称 RTX1200 LAN 側アドレス :192.168.200.1 WAN 側アドレス : 不定 WAN 側ホスト名 :xxx.yyy.netvolante.jp 予めネットボランチ DNS サービスで割り当てられた名称 - RTX1200 の設定例 ip route default gateway pp 1 ip route 192.168.100.0/24 gateway tunnel 1 ip lan1 address 192.168.200.1/24...(*4) pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname [userid] [PASS] ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on Copyright 2014-2016 Yamaha Corporation 36

ppp ccp type none ip pp nat descriptor 1 netvolante-dns hostname host pp 1 xxx.yyy.netvolante.jp...(*2) pp enable 1 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac local-id=192.168.200.1/24 remote-id=192.168.100.1/24...(*5) ipsec ike always-on 1 on ipsec ike local name 1 bob fqdn...(*3) ipsec ike payload type 1 2 ipsec ike backward-compatibility 1 2 ipsec ike pre-shared-key 1 text test...(*1) ipsec ike remote address 1 sgx808a.xxx.xxx ipsec ike remote name 1 alice fqdn...(*6) ipsec ike send info 1 off tunnel enable 1 ipsec auto refresh on nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.200.1 udp 500 nat descriptor masquerade static 1 2 192.168.200.1 esp 図 5.2.3-2 RTX1200 の設定例 ip route default gateway pp 1 ip route 192.168.100.0/24 gateway tunnel 1 デフォルト経路を pp に設定します 相手側 LAN への経路をトンネルに設定します ip lan1 address 192.168.200.1/24 LAN1 に固定アドレスを設定します pp select 1 pppoe use lan2 pp auth accept pap chap Copyright 2014-2016 Yamaha Corporation 37

pp auth myname [userid] [PASS] ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none netvolante-dns hostname host pp 1 xxx.yyy.netvolante.jp pp enable 1 PPPoE を設定します ホスト名も登録します ip pp nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.200.1 udp 500 nat descriptor masquerade static 1 2 192.168.200.1 esp pp インタフェースに NAT マスカレードを設定します WAN 側の IP アドレスとして PPP の接続先から通知される IP アドレスを起用するようにします ipsec tunnel 1 tunnel enable 1 IPsec 定義の適用と自動鍵交換を行うように設定します ipsec sa policy 1 1 esp aes-cbc sha-hmac local-id=192.168.200.1/24 remote-id=192.168.100.1/24 ipsec ike pre-shared-key 1 text test 相手側のセキュリティ ゲートウェイに対する SA のポリシーを設定します このときオプションとして local-id と remote-id も設定します Pre-Shared-Key は相手側と同じものを設定します ipsec ike always-on 1 on ipsec auto refresh on IKE の鍵交換に失敗したときに鍵交換を休止せずに継続できるようにします 鍵交換を始動するようにします (Initiator として動作します ) ipsec ike backward-compatibility 1 2 IKEv1 鍵交換タイプを 2 に設定します 認証アルゴリズムに HMAC-SHA256 暗号アルゴリズムに SDES-CBC を設定した場合には 必須となります 本コマンドはファームウェアバージョン Rev.10.01.55 以降に追加されています ipsec ike local name 1 bob fqdn Copyright 2014-2016 Yamaha Corporation 38

local name には適当な名前を設定します ( 設定例 :bob) この設定により Aggressive mode で動作するようになります ipsec ike payload type 1 2 ipsec ike remote address 1 sgx808a.xxx.xxx ipsec ike remote name 1 alice payload のタイプを 2 に設定します remote address には相手側のホスト名を設定します remote name には相手側の名前を設定します ( 設定例 :alice) ipsec ike send info 1 off IKE の情報ペイロードを送信しないように設定します SGX808 は ISAKMP SA の delete の informational パケットを受信すると IPsec のセッションを切断するように動作してしまうため この設定をしておく必要があります - SGX808 の設定例 PPPoE 及び DDNS クライアントの設定は省略します IPsec の設定は 5.2.2 Aggressive mode の場合の設定とほぼ同じです 相手先として 相手先に割り当てられているホストネームを指定します 表 5.2.3 SGX808 の設定例 項目 内容 設定例 Name 適当な名称を設定します example Pre-Shared-Key 相手先の設定と同じ Pre-Shared-Keyを設定します test (RTX1200 の設定例 (*1)) Destination 相手先のアドレスを設定します xxx.yyy.netvolante.jp (RTX1200 の設定例 (*2)) Destination ID 相手先の ID を設定します (RTX1200 の設定例 (*3)) bob Destination Local IP 相手先のローカル側の IP アドレスを設定します 192.168.200.1 Address (RTX1200 の設定例 (*4)) Destination Local 相手先のローカル側のネットワークアドレスとサ 192.168.200.0 / Network ブネットマスクアドレスを設定します 255.255.255.0 Source "Aggressive mode" を選択します "Aggressive mode" Source IP Address "Aggressive mode" なので 設定できません Source ID 相手先と同じ key-id を設定します alice (RTX1200 の設定例 (*6)) Authentication 相手先で設定されたアルゴリズムに従います HMAC-SHA Copyright 2014-2016 Yamaha Corporation 39

Algorithm (RTX1200 の設定例 (*5)) Encryption Algorithm 相手先で設定されたアルゴリズムに従う AES-CBC (RTX1200 の設定例 (*5)) Information Mode "Responder" を選択します "Responder" Copyright 2014-2016 Yamaha Corporation 40

5.3 SGX808 同士の接続 SGX808 同士を接続する例を説明します 5.3.1 Aggressive mode 接続モードが Aggressive mode の場合の例を説明します ここでは Aggressive mode の接続例を説明していますが Main mode でも同様です - 構成例 10.0.0.0/24.100.200 SGX808(A) Responder SGX808(B) Initiator.1.1 192.168.100.0/24 192.168.200.0/24 PC1 PC2 図 5.3.1 構成例 SGX808(A) LAN 側アドレス :192.168.100.1 WAN 側アドレス :10.10.10.100 SGX808(B) LAN 側アドレス :192.168.200.1 WAN 側アドレス :10.0.0.200 - SGX808(A)(B) の設定例 表 5.3.1 SGX808 の設定例 項目 内容 設定例 (A) (B) Name 適当な名称を設定します A B Pre-Shared-Key 互いに同じ Pre-Shared-Key を設定 test test します Destination 相手先の WAN アドレスを設定します 10.0.0.200 10.0.0.100 Destination ID 相手先の Source ID を設定します bob alice Destination Local 相手先のローカル側の IP アドレス 192.168.200.1 192.168.100.1 IP Address を設定します Destination Local 相手先のローカル側のネットワー 192.168.200.0/ 192.168.100.0/ Copyright 2014-2016 Yamaha Corporation 41

Network クアドレスとサブネットマスクアドレスを設定します 255.255.255.0 255.255.255.0 Source "Aggressive mode" を選択します "Aggressive mode" "Aggressive mode" Source IP Address "Aggressive mode" なので 設定できません Source ID 適当な ID を設定します alice bob Authentication 互いに同じアルゴリズムを設定し HMAC-SHA HMAC-SHA Algorithm ます Encryption 互いに同じアルゴリズムを設定し AES-CBC AES-CBC Algorithm ます Information Mode 片方を "Responder" に 他方を Initiator に設定します "Responder" "Initiator" Copyright 2014-2016 Yamaha Corporation 42

5.3.2 Aggressive mode(on PPPoE) PPPoE の設定を必要とした場合の例を説明します この場合 DDNS クライアント機能 を動作さ せておく必要があります PPPoE 設定 DDNS クライアント設定の説明は省略します - 構成例 <Internet> SGX808(A) Responder SGX808(B) Initiator.1.1 192.168.100.0/24 192.168.200.0/24 PC1 PC2 図 5.3.2 構成例 SGX808(A) LAN 側アドレス :192.168.100.1 WAN 側ホスト名 :sgx808a.xxx.xxx 予め適当な DDNS サービスにて割り当てられた名称 SGX808(B) LAN 側アドレス :192.168.200.1 WAN 側ホスト名 :sgx808b.xxx.xxx 予め適当な DDNS サービスにて割り当てられた名称 - SGX808(A)(B) の設定例 表 5.3.2 SGX808 の設定例 項目 内容 設定例 (A) (B) Name 適当な名称を設定します A B Pre-Shared-Key 互いに同じ Pre-Shared-Key を設定 test test します Destination 相手先の WAN アドレスを設定します sgx808b.xxx.xxx sgx808a.xxx.xxx Destination ID 相手先の Source ID を設定します bob alice Destination Local 相手先のローカル側の IP アドレス 192.168.200.1 192.168.100.1 IP Address を設定します Destination Local Network 相手先のローカル側のネットワークアドレスとサブネットマスクア 192.168.200.0/ 255.255.255.0 192.168.100.0/ 255.255.255.0 Copyright 2014-2016 Yamaha Corporation 43

ドレスを設定します Source "Aggressive mode" を選択します "Aggressive mode" "Aggressive mode" Source IP Address "Aggressive mode" なので 設定できません Source ID 適当な ID を設定します alice bob Authentication 互いに同じアルゴリズムを設定し HMAC-SHA HMAC-SHA Algorithm ます Encryption 互いに同じアルゴリズムを設定し AES-CBC AES-CBC Algorithm ます Information Mode 片方を "Responder" に 他方を Initiator に設定します "Responder" "Initiator" Copyright 2014-2016 Yamaha Corporation 44

6 補足 6.1 Rekey rekey のインターバルは以下の計算式となっています rekeytime = lifetime - (margintime + random(0, margintime * rekeyfuzz)) rekeytime : rekey インターバル lifetime : IPsec SA の寿命 (20 分 ) margintime : マージン (3 分 ) rekeyfuzz : 100% 計算に要する各値は変更不可です つまり rekey インターバルは 14~17 分となります 6.2 Keepalive 対向側としてヤマハ製のルーターを使用する場合で keepalive 機能を設定する場合に使用できる keepalive 方式は ICMP Echo のみです 他の方式を設定した場合には 途中で切断する可能性があるので使用できません Copyright 2014-2016 Yamaha Corporation 45

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック