Microsoft Word - VPN設定例集(第1.0版)表紙.doc

設定例集 VPN 接続設定例集 103-0025 東京都中央区日本橋茅場町 2 丁目 13 番地 13 号共同ビル ( 茅場町 2 丁目 ) TEL.03-3664-5552 FAX.03-3664-5553 URL:http://www.i-netd.co.jp/ 本文記載の会社名製品名は各社の商標又は登録商標です本書の内容に関しましては予告なく変更されることがあります

安全のためにこのたびは弊社製品をご購入いただきありがとうございます本設定例集は以下の機器機器を対象にしています HL310 HL320 HL330-D HL330-S HL520 本設定例集は以下の方を対象にしていますネットワークの知識を有する方 VPN(IPsec) の知識を有する方安全についての注意表示内容を無視して誤った使い方をしたときに生じる危害や損害の程度を次の表示で区分し説明しています注意警告この表示は取扱を誤った場合障害を負う可能性又は物理障害が発生する可能性が想定される内容ですこの表示は取扱を誤った場合死亡または重傷などを負う可能性が想定される内容ですお守りいただく内容の種類を次の絵表示で区分し説明していますこのような絵表示はしてはいけない禁止禁止内容ですこのような絵表示は必ず実行していただく強制強制内容です注意乳幼児の手の届くところに取付けない電源は必ずカプラーを持って抜くことけがの原因になりますコードを引っ張ると感電火災の原因となります警告分解改造をしない強い衝撃を与えない水濡れ結露禁止高温高湿となる場所での使用放置禁止直射日光のあたる場所での使用放置禁止ホコリの多い場所不安定な場所傾斜している場所振動や衝撃の激しい場所雷電気炉などサージ電圧や妨害電波などの入りやすい場所装置内部を直接手で触らない規定入力電圧以上以下での使用禁止電源端子をショートさせない電源ケーブルが傷んだら使用しない故障破損異常状態で使用しない電子レンジや高圧容器内での使用禁止けが故障火災の原因となります発熱故障火災の原因となります水などの液体が入る又は結露すると感電故障の原因となります感電発煙火災の原因となります感電発煙火災の原因となります感電発煙火災の原因となります故障けがの原因となります故障けがの原因となります感電発煙火災の原因となりますけが感電故障の原因となります故障発煙火災の原因となります故障けがの原因となります火災感電の原因となります火災感電の原因となります発熱発煙火災回路部品破壊の原因となります本設定例集では対象となる機器を HL シリーズまたは本装置と表記します HL310 HL320 HL330-D HL330-S を HL3XX とまとめて表記します [ 注意 ] 弊社製品 HL210 は本設定例集の対象外となっています HL210 の設定例集をご希望の場合は HL210-VPN 接続設定例集をご利用ください VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 1

目次安全のために... 1 目次... 2 1.VPN 設定について... 3 1-1.. 概要... 3 1-2.VPN とは... 3 1-3.. 設定項目一覧... 4 1-4.VPN 設定時の注意点... 6 1-5.RSA 公開鍵の作成手順... 7 2.VPN 接続設定例... 8 2-1.HL シリーズ対向による VPN 接続... 8 2-2.HL シリーズ対向による VPN 接続 ( 動的 IP 使用メインモード )... ) 10 2-3.HL シリーズ対向による VPN 接続 ( 動的 IP 使用アグレッシブモード )... 12 2-4.HL シリーズ対向による VPN 接続 ( ダイナミック DNS 使用 )... 14 2-5.HL シリーズと VPN ルータ間で VPN 接続 ( メインモード )... 16 2-6.HL シリーズと VPN ルータ間で VPN 接続 ( アグレッシブモード )... 17 2-7.HL シリーズと Windows PC(XP Vista 7) ) 間で VPN 接続... 18 2-8.HL シリーズと Windows XP 間で VPN 接続 (NAT-Traversal)... 19 2-9.Microsoft Windows 7 (Vista) ) の VPN 設定方法... 21 2-10.Microsoft Windows XP の VPN 設定方法... 27 2-11.VPN ルータの設定... 35 VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 2

1.VPN 設定について 1-1. 概要この設定例集では HL シリーズの製品を使用して VPN 接続を行う場合の設定例を紹介します HL シリーズは WAN 側 ( インターネット側 ) で VPN 接続を行います (LAN 側での VPN 接続はご利用いただけません ) VPN 接続相手は VPN ルータや Windows 7 XP パソコンになりますまた HL シリーズ同士で VPN 接続することが可能です次の様な使い方ができます 1.HL シリーズ同士で VPN を張り 2 つの仮設ネットワーク間 ( 展示場工事現場 ) を VPN 接続する 2.HL シリーズと VPN ルータ間で VPN を張り仮設ネットワークと社内 LAN を VPN 接続する 3.HL シリーズと Windows 7 XP パソコン間で VPN を張り仮設ネットワークと社内パソコンを VPN 接続する主な仕様接続形態 :IPsec/NAT Traversal 対応登録件数 :5 本 ( 登録件数はカスタマイズできます ) 同時接続数 :5 本接続モード : トンネルモード IKE モード :Main モード Quick モード Aggressive モード認証方式 : 共有鍵 / 公開鍵 (1024bit) 暗号化アルゴリズム :AES 3DES DES (DES はフェーズ 2 のみ対応 ) 認証アルゴリズム :MD5 SHA1 Diffie-Hellman 交換 :Modp2048,Modp1536, Modp1024 1-2.VPN とは VPN とは Virtual Private Network の略で仮想プライベートネットワークの意味です送受信するデータに対して暗号化を施すなどして公衆網であるインターネット上に仮想的な専用線を張ることができる技術です拠点 1 拠点 2 クライアント HL シリーズ (VPN ゲートウェイ ) インターネット VPN VPN ゲートウェイクライアントクライアント暗号化トンネル化認証クライアントモバイル通信端末を使用した定額インターネット接続サービスを利用することでランニングコストを抑えつつ専用線並みの高セキュリティな通信ネットワークをインターネット上に構築することができます VPN 構築のメリットは 1. トンネル化ローカルアドレスを持った拠点 1 のクライアントと拠点 2 のクライアントが双方向に直接アクセスできるようになります 2. 暗号化 VPN ゲートウェイ間のデータは暗号化されます 3. 認証 VPN 接続ではゲートウェイ同士は高度な認証技術によって相手を識別していますので第 3 者からの不正アクセスは困難になります 4. ネットワーク構築の柔軟性クライアント機器の追加や入れ替えを行った際に VPN ゲートウェイの設定変更は不要です VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 3

1-3.. 設定項目一覧 VPN 設定一覧設定項目項目 VPN 有効 (use) NAT トラバーサル (nattr) RSA 公開鍵 (rsakey) 名称 (name1 ~ 5) 有効 / 無効 (use1 ~ 5) 0: 無効 1: 有効 yes: 有効 no : 無効設定値英数字 16 文字まで 0: 無効 1: 有効説明 VPN 機能を有効にするか無効にするか選択します NAT トラバーサル機能を有効にするか無効にするか選択します本装置の公開鍵です鍵作成にチェックを入れて設定保存をすると新しい公開鍵が作成されます ( 古い公開鍵は無効になります ) 各接続の名称を設定して下さい各接続を有効にするか無効にするか選択します 1 ローカル RSA 公開鍵は初期値でも使用できますがセキュリティを高めるには新しい公開鍵を作成して使用してください初期値 0: 無効 no: 無効 1 connect1 ~ 5 (HL3XX) NULL (HL520) 0: 無効各接続接続の設定項目項目設定値説明初期値名称 (name) 英数字 16 文字まで先頭はアルファベットで始まらなければいけませんトンネルの名称を設定して下さい connect1 ~ 5 (HL3XX) NULL (HL520) 有効無効 (use) モード (mode) タイプ (type) ローカルアドレス (ladsel,lad) サブネットアドレス (lsubsel,lsub) ID (lid) ネクストホップ (lhopsel,lhop) リモートアドレス (radsel,rad) サブネットアドレス (rsubsel,rsub) ID (rid) 認証鍵 (keysel) 共有鍵 (psk) リモート公開鍵 (rsa) 暗号方式フェーズ 1 (ikesel,ike) フェーズ 2 (espsel,sep) 0: 無効 1: 有効 main: メインモード aggr : アグレッシブモード tunnel : トンネル transport: トランスポート 0: デフォルト 1:IP 指定 IP アドレス / マスクビット ( 例 :192.168.1.0/24) 半角英数字及び記号 16 文字以内 0: デフォルト 1:IP 指定 2: なし 0:ANY 1:IP 指定 2: ドメイン指定 IP アドレス / マスクビット ( 例 :192.168.2.0/24) 半角英数字及び記号 16 文字以内 secret:psk 方式 rsasig:rsa 方式 32 文字以内で半角英数字相手側の RSA を記入 0: デフォルト 1:3DES-SHA1-MODP1024 2:3DES-MD5-MODP1024 3: その他 4: 不使用 ( 2) 0: デフォルト 1:3DES-SHA1 2:3DES-MD5 3: その他このトンネルを有効にするか無効にするか選択しますモードを選択して下さいトンネルを選択して下さいトランスポートは使用できませんデフォルトを選択して下さい使用するを選択してサブネットアドレスを入力して下さい動的 IP を使った接続や RSA 認証を使って接続する時に使用します先頭に @ が必要です 0: 無効 main: メインモード tunnel: トンネル 0: デフォルト NULL NULL なしを選択して下さい 2: なし VPN ゲートウェイ ( 相手側 ) の IP アドレスを指定します VPN 相手側のサブネットアドレスを指定します動的 IP を使った接続や RSA 認証を使って接続する時に使用します先頭に @ が必要です認証方式を選択します複数の VPN 接続を受け入れる場合は RSA 方式を選択して下さい認証鍵で PSK 方式を選択した場合この文字列が認証に使われるパスワードになります認証鍵で RSA 方式を選択した場合ここに VPN ゲートウェイ ( 相手側 ) の公開鍵を貼り付けて下さいフェーズ 1 で使用する暗号方式を選択しますその他を使用する場合は使用する暗号方式を全て大文字で指定して頂きます記入例 : AES-SHA1-MODP1536 不使用は特殊な用途でのみ使用します通常は使用しないでくださいフェーズ 2 で使用する暗号方式を選択しますその他を使用する場合は使用する暗号方式を全て大文字で指定して頂きます記入例 : AES-MD5 0:ANY NULL NULL secret:psk 方式 NULL NULL 0: デフォルト 0: デフォルト VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 4

オプション PFS (pfs) 鍵交換のマージン (keymg) 鍵の寿命 (keytm) SA の寿命 (satm) Dead Peer Detection (dpd) DPD 送信間隔 (dpddelay) DPD タイムアウト (dpdtmout) DPD アクション (dpdact) 接続方法 (auto) リキー (rekey) yes : 有効 no : 無効 PFS を使用するか使用しないか選択します通常この設定は VPN 接続相手の設定と一致している必要があります no: 無効 30 ~ 3600 鍵交換のマージンを秒数で指定します 540 秒 61 ~ 86400 ただし SA の寿命以上の値 61 ~ 28800 ただし鍵交換のマージンの 2 倍より大きい値 0: 無効 1: 有効 IPSEC SA の寿命を秒数で指定します ISAKMP SA の寿命を秒数で指定します DeadPeerDetection 機能の有効無効を選択します 7200 秒 3600 秒 0: 無効 5 ~ 86400 DPD の送信間隔を秒数で指定します 30 秒 5 ~ 86400 DPD タイムアウト時間を秒数で設指定します 120 秒 hold : 維持 clear : 切断 restart : 再接続 start : 開始 add : 待機 route : イベント yes : あり no : なし DPD タイムアウト後の本装置の動作を指定します通常は再接続で使用します開始 :PPP 接続後にすぐに VPN を張りに行きますリモートアドレスが固定 IP アドレスまたはダイナミック DNS で指定されている必要があります待機 :PPP 接続後 VPN の待機状態になりますリモートからの VPN 接続要求を受け入れますイベント : 使用できませんリキーを無効にした場合 SA の寿命が来たら VPN を切断しますリキーを有効にした場合 SA が寿命に達しても代わりのキーが作成されますので VPN 接続は維持されます restart: 再接続 start: 開始 yes: あり 2 フェーズ 1 不使用については HL310(ver. 1.00(k1.2)) HL320(ver. 1.31(k1.2)) HL330-D(ver. 1.38(k1.2)) HL330-S(ver. 1.40(k1.2)) から対応となります HL520 は ver. 1.10(k1.1) 時点では未対応となっています VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 5

1-4.VPN 設定時の注意点 1. VPN 機能を使う場合は本装置のバーチャルサーバ機能は OFF にして下さい ( デフォルト :OFF) 2. 両拠点は異なるサブネットを使用しなければいけません ( 例 ) 拠点 1:192.168.1.0/24 拠点 2:192.168.2.0/24 3. 静的 NAT とフィルタ機能は VPN のパケットに対しては無効です VPN 以外のパケットには適用されます 4. VPN トンネル以外から本装置設定画面へのアクセスを拒否する場合静的 NAT で本装置の設定ポート番号 ( デフォルト :80 番 ) を存在しないダミーの IP アドレスに転送するよう設定して下さい 5. VPN 接続状態の詳細は本装置の動作ログで確認できます ( 下表参照 ) 特に 2 つ目のログは重要ですこれが表示されない場合は設定が間違っていますログ表示 Starting IPsec IPsec 起動 IPSEC:added connection description xxx 接続名 xxx の設定が正しくロードできましたこのログが表示されない場合は本装置の VPN 設定が間違っています IPSEC:xxx:initiating Main Mode 接続名 xxx のメインモード ( フェーズ 1) を開始しました IPSEC:xxx:initiating Aggressive Mode 接続名 xxx のアグレッシブモード ( フェーズ 1) を開始しました IPSEC:xxx:initiating Quick Mode 接続名 xxx のクイックモード ( フェーズ 2) を開始しました IPSEC:xxx:ISAKMP SA established 接続名 xxx の ISAKMP SA( フェーズ 1) が完成しました IPSEC:xxx:IPsec SA established 接続名 xxx の IPsec SA( フェーズ 2) が完成しましたこのログが表示されれば VPN 接続は完了です IPSEC:xxx:IPsec SA expired (--dontrekey) 接続名 xxx の IPsec SA が消えました ( 寿命 ) リキーは OFF 設定です IPSEC:xxx:IPsec SA expired (--LATEST) 接続名 xxx の IPsec SA が消えました ( 寿命 ) リキーは ON 設定ですがリキーがまだ完了していませんもしくはリキーの処理が失敗しています IPSEC:xxx:IPsec SA expired (superseded by #xx) 接続名 xxx の IPsec SA が消えました ( 寿命 ) 変わりの SA(xx 番目 ) が完成しているのでそれに引き継ぎました IPSEC:xxx:initiating Main Mode to replace 接続名 xxx のメインモードを開始しました ( リキー ) IPSEC:xxx:initiating Aggressive Mode to 接続名 xxx のアグレッシブモードを開始しました ( リキー ) replace IPSEC:xxx:initiating Quick Mode to replace 接続名 xxx のクイックモードを開始しました ( リキー ) IPSEC:xxx:reponding Main Mode 接続名 xxx のメインモードに応答しました IPSEC:xxx:reponding Quick Mode 接続名 xxx のクイックモードに応答しました IPSEC:xxx:reponding Main Mode from unknown peer IPSEC:xxx:DPD: No response from peer declaring peer dead 内容接続名 xxx のメインモードに応答しました接続相手は不明です (ANY 接続を使って相手側動的 IP での接続を許可している場合 ) 接続名 xxx の接続先相手から DPD の応答がありません VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 6

1-5.RSA 公開鍵の作成手順設定画面にログインして VPN 設定画面を開きます 1. 鍵変更にチェックを入れます 2. 上部の仮保存ボタンを押します 3. 左下の設定保存ボタンを押して設定保存を行います新しい公開鍵が作成されています ( 古い公開鍵は使えなくなります ) [ 注 ] 設定画面や設定メニューは機種本体バージョンによって異なりますトンネル設定画面は共通の画面となっております VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 7

2.VPN 接続設定設定例 2-1.HL シリーズ対向対向による VPN 接続拠点 1 拠点 2 192.168.1.0/24 192.168.2.0/24 192.168.1.1 192.168.2.1 HL シリーズインターネット HL シリーズ LAN 機器固定 IP:x.x.x.x 固定 IP:y.y.y.y ノート PC VPN 拠点 1 と拠点 2 の両エンドで固定 IP を使用する場合の設定例です両エンドで固定 IP を採用することによりどちらからでも VPN 接続を開始できますモバイル環境下においては不定期に PPP 切断が起こりますが拠点 1 拠点 2 どちら側が切断した場合でもすぐに VPN 再接続ができるので安定した VPN 接続になります ( 拠点 1) トンネルファイル設定例ル設定例 VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 8

( 拠点 2) VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 9

2-2.HL シリーズ対向による VPN 接続 ( 動的 IP 使用メインモード ) 拠点 1 拠点 2 192.168.1.0/24 192.168.2.0/24 192.168.1.1 192.168.2.1 HL シリーズインターネット HL シリーズ LAN 機器固定 IP:x.x.x.x 動的 IP ノート PC VPN 拠点 1( 固定 IP) と拠点 2( 動的 IP) の区間を VPN メインモードで接続する場合の設定例です VPN 接続の開始は拠点 2 からのみになります拠点 1 から VPN 接続を開始することはできません拠点 1 側にシーケンサ等の機器があり拠点 2 側の PC で状態監視を行う使い方が可能です逆方向の通信つまり拠点 1 側の機器からの通報を拠点 2 側で受け取る使い方には注意が必要ですモバイル環境下においては不定期に PPP 切断が起こります拠点 1 側で PPP 切断が起こった時拠点 2 側のリキー時間が来るまで VPN 接続が切れたままの状態になりますこの時間を短縮するため両拠点において DeadPeerDetection(DPD 機能 ) を有効にしますこの機能により IPsec トンネルの通信断 ( デッドピア ) をリアルタイムに検出することができます拠点 1 側で PPP 切断となっても拠点 2 側で通信断 ( デッドピア ) を検出し IPsec 及び IKE セキュリティソシエーションを削除しますその後接続処理を実行することで再接続を行います (DPD 機能設定で再接続を選択している場合 ) ( 拠点 1) トンネルファイル設定例拠点 2 の RSA 公開鍵となります < 設定時の注意点 > 拠点 1 側は接続方式が待機モードとなっていますので DPD アクションは維持を選択してください再接続を選択しても拠点 1 側から再接続することはできません VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 10

( 拠点 2) 拠点 1 の RSA 公開鍵となります < 設定時の注意点 > 拠点 2 側は接続方法が開始モードとなっていますので DPD アクションは再接続を選択してください DPD 機能によってデッドピア検知後にこちら側から再接続を行います VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 11

2-3.HL シリーズ対向による VPN 接続 ( 動的 IP 使用アグレッシブモード ) 拠点 1 拠点 2 192.168.1.0/24 192.168.2.0/24 192.168.1.1 192.168.2.1 HL シリーズインターネット HL シリーズ LAN 機器固定 IP:x.x.x.x 動的 IP ノート PC VPN 拠点 1( 固定 IP) と拠点 2( 動的 IP) の区間を VPN アグレッシブモードで接続する場合の設定例です構成接続方法については 2-2 節と同様ですアグレッシブモードではフェーズ 1 での暗号化を行いませんこのためメインモードよりも簡易に設定することができますただしセキュリティレベルは低下しますのでご利用を検討の際はご注意ください ( 拠点 1) トンネルファイル設定例 < 設定時の注意点 > 拠点 1 側は接続方式が待機モードとなっていますので DPD アクションは維持を選択してください再接続を選択しても拠点 1 側から再接続することはできません VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 12

( 拠点 2) < 設定時の注意点 > 拠点 2 側は接続方法が開始モードとなっていますので DPD アクションは再接続を選択してください DPD 機能によってデッドピア検知後にこちら側から再接続を行います VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 13

2-4.HL シリーズ対向による VPN 接続 ( ダイナミック DNS 使用 ) 拠点 1 拠点 2 192.168.1.0/24 192.168.1.1 192.168.2.1 192.168.2.0/24 HL シリーズインターネット HL シリーズ LAN 機器動的 IP ドメイン名 :aaa.ddo.jp 動的 IP ドメイン名 :bbb.ddo.jp ノート PC VPN 拠点 1( 動的 IP) と拠点 2( 動的 IP) の区間を VPN 接続する場合の設定例です固定 IP の代わりにダイナミック DNS を使ってアクセスします両サイドの HL シリーズでダイナミック DNS 設定を行いどちらからでも VPN 接続を開始できるようにしますダイナミック DNS を使った場合 VPN の接続に 5 分 ~10 分程度かかる場合がありますこれは PPP が切断されて再接続した時 HL シリーズ側で DNS 情報を更新する必要がある為です ( 注 ) ダイナミック DNS を使うには事前にダイナミック DNS サーバへのアカウント登録が必要です ( 無料 ) ( 拠点 1) トンネルファイル設定例拠点 2 の RSA 公開鍵となりますダイナミック DNS の設定画面は機種ごとに異なります <HL3XX の場合 > <HL520 の場合 > VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 14

( 拠点 2) 拠点 1 の RSA 公開鍵となりますダイナミック DNS の設定画面は機種ごとに異なります <HL3XX の場合 > <HL520 の場合 > VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 15

2-5.HL シリーズと VPN ルータ間で VPN 接続 ( メインモード ) 192.168.2.0/24 ノート PC 固定 IP:x.x.x.x PPPoe+VPN VPN ルータ PPPoe ブリッジ ADSL モデムインターネット VPN 固定 IP HL シリーズ 192.168.1.0/24 LAN 機器 HL シリーズ VPN ルータの両方に固定 IP を付与します上図の構成では VPN ルータ側の環境で ADSL 回線の固定 IP サービスを使用しています検証済ルータ 1YAMAHA 製 RTX1200( 両側固定 IP)( 3) 2Juniper ネットワークス製 SSG-5( 両側固定 IP) 3 古河電工製 FITELnet-F100( 両側固定 IP) 4シスコリンクシス製 BEFSR41C-JP V2( 両側固定 IP) 5YAMAHA 製 RTX810( 両側固定 IP) 3 YAMAHA 製ルータ RTX1200 の設定例を 2-11 項に記載しますトンネルファイル設定例 VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 16

2-6.HL シリーズと VPN ルータ間で VPN 接続 ( アグレッシブモード ) 192.168.2.0/24 ノート PC 固定 IP:x.x.x.x PPPoe+VPN VPN ルータ PPPoe ブリッジ ADSL モデムインターネット VPN 動的 IP HL シリーズ 192.168.1.0/24 LAN 機器 VPN ルータに固定 IP を付与し HL シリーズには動的 IP を使用します上記構成ではアグレッシブモードを使用します VPN ルータ側の環境で ADSL 回線の固定 IP サービスを使用しています検証済ルータ 1YAMAHA 製 RTX1200( ルータ側固定 IP)( 4) 2Juniper ネットワークス製 SSG-5( ルータ側固定 IP) 3YAMAHA 製 RTX810( ルータ側固定 IP) 注 : 構成についてルータ側動的 IP HL シリーズ側固定 IP としルータ側から接続する構成では暗号化の互換性問題のため接続できません 4 YAMAHA 製ルータ RTX1200 の設定例を 2-11 項に記載しますトンネルファイル設定例 VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 17

2-7.HL シリーズと Windows PC(XP Vista 7) 間で VPN 接続固定 IP:x.x.x.x FOMA インターネット FOMA 固定 IP HL シリーズ 192.168.1.0/24 ノート PC WindowsXP LAN 機器 VPN Windows パソコンに USB や CF カードタイプのモバイル通信端末を直接挿してインターネット接続し同じくインターネット接続した HL シリーズとの間で VPN を張る場合です Windows パソコン側と HL シリーズ側の両方で固定 IP が必要です Windows PC 側から VPN 接続を開始します (Windows PC は無通信時間が 5 分ほど続くと VPN を切断します ) トンネルファイル設定例 VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 18

2-8.HL シリーズと Windows XP 間で VPN 接続 (NAT-Traversal) 192.168.2.2 PPPoe+VPN PPPoeブリッジ固定 IP インターネット HLシリーズノートPC VPNルータ ADSLモデム VPN 192.168.1.0/24 LAN 機器社内 LAN 上の Windows XP と VPN 接続する場合です NAT( ルータ ) 越えでの VPN 接続になりますので NAT トラバーサル機能を有効にします HL シリーズに固定 IP を付与し Windows XP 側から VPN 接続を開始することになります ( 注 ) Windows XP で NAT トラバーサルを使用するにはレジスタの変更が必要ですこれについては Microsoft のサポートページをご覧下さい ( http://support.microsoft.com/kb/885407 ) ( 注 ) Windows 7 Vista の NAT トラバーサルについては下記 VPN クライアントソフトをインストールすることにより動作することを確認しています The Green Bow VPN Client4.7 このソフトのインストール / 扱い方及びそれに関わる疑問点 / 不具合点についてはソフトウェアメーカにお問い合わせ下さい ( このソフトに関して弊社は免責とさせていただきます ) トンネルファイル設定例 VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 19

VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 20

2-9.Microsoft Windows 7 (Vista) の VPN 設定方法ここでは 2-7 節 HL シリーズと Windows PC(XP,Vista,7) 間で VPN 接続の接続構成における Windows 7 パソコンの VPN 設定方法を説明します (Windows Vista の設定も同様です ) トンネルファイル設定例 Windows の設定 [ スタート ] [ コントロールパネル ] [ 管理ツール ] [ セキュリティが強化された Windows ファイアウォール ] を起動します [Windows ファイアウォールのプロパティ ] をクリックします [IPsec の設定 ] タブを選択し [IPsec 規定 ] で [ カスタマイズ ] をクリックします VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 21

[ キー交換 ( メインモード )] で [ 詳細設定 ] を選択し [ カスタマイズ ] をクリックします [ キー交換のオプション ] で [Diffie-Hellman を使用してセキュリティを強化する ] にチェックを入れます OK をクリックします [ データ保護 ( クイックモード )] で [ 詳細設定 ] を選択し [ カスタマイズ ] をクリックします [ この設定を使用するすべての接続セキュリティ規則に暗号化を要求する ] にチェックを入れます OK をクリックします VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 22

最初の画面 [ セキュリティが強化された Windows ファイアウォール ] に戻り [ 接続セキュリティの規則 ] をクリックしますさらに [ 接続セキュリティの規則 ] を右クリックして [ 新しい規則 ] をクリックします設定ウィザードが立ち上がります [ カスタム ] を選択します [ エンドポイント 1] には Windows PC の固定グローバル IP アドレスを設定します [ エンドポイント 2] には HL シリーズの LAN 側サブネットアドレスを設定します VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 23

[ 受信接続と送信接続の認証を要求する ] を選択します [ 詳細設定 ] を選択し [ カスタマイズ ] をクリックします事前共有キーを設定しますキーは HL シリーズに設定したキーと同じでなければいけません VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 24

[ 次へ ] をクリックします [ 次へ ] をクリックします名前をつけて [ 完了 ] をクリックします VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 25

作成した規則のプロパティを開きます [ 詳細設定 ] タブで [IPsec トンネリング ] の [ カスタマイズ ] をクリックします [IPsec トンネリングを使用する ] にチェックを入れます [ 承認を適用する ] にチェックを入れます [ ローカルトンネルエンドポイント ] に Windows PC の固定グローバル IP アドレスを設定します [ リモートトンネルエンドポイント ] に HL シリーズの固定グローバル IP アドレスを設定します作成した規則を右クリックして [ 規則の有効化 ] をクリックすれば VPN が有効になります VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 26

2-10.Microsoft Windows XP の VPN 設定方法ここでは 2-8 節 HL シリーズと Windows XP 間で VPN 接続 NAT-Traversal の接続構成における Windows XP パソコンの VPN 設定方法を説明します NAT トラバーサルを有効にするレジスタの変更方法についてはマイクロソフトのサポートページをご覧下さい ( http://support.microsoft.com/kb/885407 ) トンネルファイル設定例 Windows の設定 [ スタート ] [ コントロールパネル ] [ 管理ツール ] [ ローカルセキュリティポリシー ] でローカルセキュリティ設定ツールを起動します [ ローカルコンピュータの IP セキュリティポリシー ] を選択して右クリックし [IP セキュリティポリシーの作成 ] を選択し [IP セキュリティポリシーウィザード ] を起動しますセキュリティポリシーの名前と説明を記述します規定の応答規則は無効に設定します VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 27

完了を押します追加をクリックします [ 次の IP アドレスでトンネルエンドポイントを指定する ] を選択します使用する HL シリーズの固定 IP アドレスを指定します次にこの規則を適用するネットワークの種類を選択しますここでは [ すべてのネットワーク接続 ] を選択します VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 28

事前共有キーを設定します HL シリーズで設定したキーと同じでなければいけません追加ボタンを押して新しいフィルタを作成しますフィルタの名前を入力しますここでは送信用フィルタとします追加ボタンを押します発信元は [ このコンピュータの IP アドレス ] を選択します VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 29

宛先は [ 特定の IP サブネット ] を選択し HL シリーズ側のサブネットアドレスを指定します適用するプロトコルを指定します [ 任意 ] を選択して指定した宛先に対する全てのプロトコルに対して IPsec を適用します [ 完了 ] を押し IP フィルタ設定を終了しますプロパティを開きミラー化のチェックを外します一覧に作成したフィルタが追加されているのを確認しこの設定を選択してから [ 次へ ] を押します VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 30

[ 追加ボタン ] を押して新しいフィルタ操作を追加します新規に作成するフィルタ名とその説明を記述しますここではフィルタの挙動を設定しますここでは [ セキュリティのネゴシエート ] を選択し IP フィルタに合致したパケットに対して IPsec 処理を適用します [IPsec をサポートしないコンピュータと通信しない ] を選択します VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 31

IP トラフィックセキュリティでは [ カスタム ] を選択しますカスタムを選択するとカスタムセキュリティメソッドの設定が表示されますここで [ 暗号化をしないデータとアドレスの整合性 (AH)] でチェックをはずしますデータの整合性と暗号化では [SHA1][3DES] を選択しますプロパティではセキュリティメソッドの優先順位や PFS の設定を行いますここでは [ セッションキーの PFS] はチェックしません 3DES-SHA1 だけのメソッドに MD5 の設定を追加するため [ 追加ボタン ] を押して新しいメソッドを追加します追加後 VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 32

追加したフィルタ操作が選択してあるのを確認して [ 次へ ] を押します送信用フィルタが完成しました同様の手順で受信用フィルタを作成して下さい受信用フィルタではトンネルエンドポイントが自分 (Windows XP) の IP アドレスになりますまた受信用フィルタではフィルタの発信元と宛先が送信用フィルタとは逆になります VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 33

これで送信用フィルタと受信用フィルタが完成しましたここまでで前準備は終了ですローカルセキュリティ設定に戻り作成した [ セキュリティポリシー ] を右クリックし割り当てを選択しますその後コマンドプロンプトから HL シリーズ側のサブネットアドレスに向けて数回 ping を送信すると ping にセキュリティがかかるようになります VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 34

2-11.VPN ルータの設定 2-5 節及び 2-6 節で使用する VPN ルータの設定内容を紹介しますここでは一般的に広く利用されている YAMAHA 社製 VPN ルータ RTX1200 の設定内容を紹介します 2-5 節 HL シリーズと VPN ルータ間で VPN 接続 ( メインモード ) での RTX1200 設定内容は下記の様になります ip route default gateway pp 1 ip route 192.168.1.0/24 gateway tunnel 1 ip lan1 address 192.168.2.1/24 pp disable all pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname USERNAME PASSWORD ppp lcp mru on 1454 ppp ccp type none ip pp address x.x.x.x/32 ip pp mtu 1454 pp enable 1 ご利用になる回線のユーザー名とパスワードを入力します x.x.x.x は VPN ルータの固定グローバル IP アドレスです tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike keepalive use 1 on dpd ipsec ike local address 1 x.x.x.x ipsec ike local id 1 192.168.2.0/24 ipsec ike log 1 message-info ipsec ike payload type 1 3 ipsec ike pre-shared-key 1 text HLs-router ipsec ike remote address 1 y.y.y.y ipsec ike remote id 1 192.168.1.0/24 tunnel enable 1 YAMAHA 製ルータと HL シリーズで VPN を行う場合はこの設定を必ず入力してください y.y.y.y は HL シリーズの固定グローバル IP アドレスですメインモードではリモート側 (HL シリーズ側 ) の IP アドレスを指定する必要があります ipsec auto refresh on syslog info on syslog debug on VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 35

2-6 節 HL シリーズと VPN ルータ間で VPN 接続 ( アグレッシブモード ) での RTX1200 設定内容は下記の様になります ip route default gateway pp 1 ip route 192.168.1.0/24 gateway tunnel 1 ip lan1 address 192.168.2.1/24 pp disable all pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname USERNAME PASSWORD ppp lcp mru on 1454 ppp ccp type none ip pp address x.x.x.x/32 ip pp mtu 1454 pp enable 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike keepalive use 1 on dpd ipsec ike local address 1 x.x.x.x ipsec ike log 1 message-info ipsec ike payload type 1 3 ipsec ike pre-shared-key 1 text HLs-router-aggr ipsec ike remote address 1 any ipsec ike remote name 1 HLs key-id tunnel enable 1 ipsec auto refresh on syslog info on syslog debug on ご利用になる回線のユーザー名とパスワードを入力します x.x.x.x は VPN ルータの固定グローバル IP アドレスです YAMAHA 製ルータと HL シリーズで VPN を行う場合はこの設定を必ず入力してくださいリモート IP アドレスを any とすることでアグレッシブモードとなります HL シリーズで設定した ID を入力します HL シリーズの設定では先頭文字を @ とする必要がありますが RTX1200 では @ は必要ありません VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 36

改版履歴版数主な変更内容ページ数備考作成日 1.0 初版対応バージョン HL320:1.03(k1.0) 以降 HL330:1.37(k1.1) 以降 HL520:1.00(k1.0) 以降 2012/6/1 1.1 対応機種追加目次修正設定項目一覧の初期値を修正フェーズ 1(ikesel,ike) に不使用項目と説明を追加フェーズ 1 不使用対応機種及びそのバージョンを記載 DPD アクション設定についての注意書き追加リモート公開鍵 (rsa) 設定についての説明追加構成説明修正検証済みルータに YAMAHA 製 RTX810 追加構成についての注意書き追加設定例修正 ( リモートサブネットアドレスの表記修正 ) VPN ルータの設定追加 P. 1 P. 2 P. 4 ~ P. 5 P. 4 P. 5 P. 10 ~ P. 13 P. 10 ~ P. 11 P. 14 ~ P. 15 P. 16 ~ P. 17 P. 16 ~ P. 17 P. 17 P. 18 P. 35 ~ P. 36 対応バージョン HL310:1.00(k1.2) 以降 HL320:1.31(k1.2) 以降 HL330-D:1.38(k1.2) 以降 HL330-S:1.40s(k1.2) 以降 HL520:1.10(k1.1) 以降 2012/11/7 103-0025 東京都中央区日本橋茅場町 2-13-13 共同ビル ( 茅場町 2 丁目 ) TEL:(03)3664-5552 FAX:(03)3664-5553 URL http://www.i-netd.co.jp VPN 接続設定例集 (HL シリーズ ) 第 1.1 版 :2012 : 年 11 月 7 日作成 37