リモートアクセス型L2TP+IPsec VPN

リモートアクセス型 L2TP+IPsec VPN ( 既設 FW あり既設 NW 変更あり Global IP 未使用 ) 本資料は弊社での検証に基づき Firewall AR シリーズ VPN クライアントの操作方法を記載したものですすべての環境での動作を保証するものではありません iphone ipad は Apple Inc. の商標です iphone の商標はアイホン株式会社のライセンスに基づき使用されています Android は Google Inc. の商標または登録商標です Copyright 2011 Allied Telesis K.K. All Rights Reserved.

構成概要本資料では Firewall の Trust 側に接続された AR ルーターに VPN 接続を行う設定方法をご紹介します Firewall の設定方法についてはご使用の Firewall 製品のマニュアルをご参照ください本構成について Firewallでポートフォワーディングを使用し IKEパケット (UDP 500 番 ) とNAT-Tパケット (UDP 4500 番 ) をAR ルーター宛に転送します ARルーターではFirewall 機能は使用しません Copyright 2011 Allied Telesis K.K. All Rights Reserved. 2

構成図 3G 3G ネットワークネットワークインターネットインターネット VPN VPNトンネル IP: 10.100.10.1/24 zone: Untrust Firewall ポートフォワーディングを使用し 10.100.10.1 宛の IKE(UDP 500 番 )) NAT-T(UDP 4500 番 )) パケットを 172.16.1.100 宛に転送 IP: 172.16.1.1/24 zone: Trust VPNクライアント iphone, ipad, Android, PC 192.168.2.1-100 (L2TP 経由でIP Poolより払い出し ) 10.100.10.1 宛に VPN 接続 AR ルーター L2SW Interface: eth0 IP: 172.16.1.100/24 Interface: vlan1 IP: 192.168.1.1/24 Firewall 無効 DHCP サーバ赤色表記の IP IPアドレス : グローバル IP IPアドレス黒色表記の IP IPアドレス : プライベート IP IPアドレス DNS サーバー IP: 192.168.1.100/24 GW: 192.168.1.1 Copyright 2011 Allied Telesis K.K. All Rights Reserved. 3 Intranet IP: 192.168.1.0/24 GW: 192.168.1.1

AR ルーターのパラメータ本資料では以下のパラメータでの設定例をご紹介しますルーターの基本設定 WAN 側物理インターフェース WAN 側 IP アドレス LAN 側 IP アドレス IKE フェーズ 1 の認証方式 eth0 172.16.1.100/24(eth0) 192.168.1.1/24(vlan1) 事前共有鍵 (pre-shared key) 事前共有鍵 (pre-shared key) secret( 文字列 ) DPD による死活監視行う ( 対向機器が DPD をサポートしている場合 ) NAT-Traversal のネゴシエーション行う接続してきた VPN クライアントには IP アドレスプール VPNC (192.168.2.1~192.168.2.100) から空きアドレスを動的に割り当てますまたクライアントの PPP ユーザー名とパスワードは次の通りとしますユーザー名パスワード登録ユーザー ( その1) AAA PasswordA 登録ユーザー ( その2) BBB PasswordB 登録ユーザー ( その3) CCC PasswordC 登録ユーザー ( その4) DDD PasswordD Copyright 2011 Allied Telesis K.K. All Rights Reserved. 4

工場出荷時設定の CLI のログイン ID/PW は下記の通りです ID : manager PW : friend 本資料は AR415S/AR550S/AR560S/AR570S のファームウェアバージョン 2.9.2-00 以上に適応可能です AR260S V2 はスマートフォンからのリモートアクセスに対応しておりません各設定画面のパラメータ詳細についてはユーザーマニュアルや設定例をご参照ください http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/index.html http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-93.html http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-195.html Copyright 2011 Allied Telesis K.K. All Rights Reserved. 5

IP アドレスおよび Security Officer レベルユーザーの作成 1. IP モジュールを有効にします ENABLE IP 2. LAN 側 (vlan1) インターフェースに IP アドレスを設定します ADD IP INT=vlan1 IP=192.168.1.1 MASK=255.255.255.0 3. セキュリティーモードで各種設定を行うことのできる Security Officer レベルのユーザー secoff を作成します PW は secoff とします ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER Note セキュリティモードを使用しないと IPsec 機能で用いる鍵情報がルーターの再起動時に消去されます Copyright 2011 Allied Telesis K.K. All Rights Reserved. 6

WAN 側インターフェースおよびスタティックルートの設定 1. WAN 側 (eth0) インターフェースに IP アドレス 172.16.1.100 を設定します ADD IP INT=eth0 IP=172.16.1.100 MASK=255.255.255.0 2. デフォルトルートを設定します ADD IP ROUTE=0.0.0.0 INT=eth0 NEXTHOP=172.16.1.1 Copyright 2011 Allied Telesis K.K. All Rights Reserved. 7

認証ユーザーの登録 1. 暗号化された L2TP トンネル経由で PPP 接続してくる VPN クライアントを認証するためのユーザー (PPP ユーザー ) を登録します ADD USER=AAA PASSWORD=PasswordA LOGIN=NO ADD USER=BBB PASSWORD=PasswordB LOGIN=NO ADD USER=CCC PASSWORD=PasswordC LOGIN=NO ADD USER=DDD PASSWORD=PasswordD LOGIN=NO 2. IP アドレスプール VPNC を作成し接続してきた VPN クライアントに割り当てるアドレスの範囲を指定しますここでは 100 台分のアドレスプールを用意しています CREATE IP POOL=VPNC IP=192.168.2.1-192.168.2.100 Copyright 2011 Allied Telesis K.K. All Rights Reserved. 8

L2TP プロトコルならびに PPP TEMPLATE の設定 1. L2TP 経由で VPN クライアントが PPP 接続してきたときに動的に作成する PPP インターフェースのテンプレート 1 を作成します接続時の認証には CHAP を使い CHAP の再認証は OFF にし VJ 圧縮を有効にしますまたアドレス割り当てには IP アドレスプール VPNC を使うようにします CREATE PPP TEMPLATE=1 IPPOOL=VPNC AUTHENTICATION=CHAP BAP=OFF ECHO=30 RECHALLENGE=OFF VJC=ON 2. L2TP モジュールを有効にします ENABLE L2TP 3. L2TP サーバーを BOTH モードで起動します ENABLE L2TP SERVER=BOTH 4. VPN クライアントに DNS サーバーアドレス 192.168.1.100 を通知します SET PPP DNSPRIMARY=192.168.1.100 Note VPN クライアントに DNS サーバーを通知する場合に必要な設定です本コマンドを使用せず ADD IP DNS PRIMARY=192.168.1.100 コマンドでルーター本体に DNS サーバーを手動登録すれば同様に通知可能です 5. L2TP 経由で VPN クライアントが接続してきたときに使用する PPP テンプレートを指定しますここではクライアントのアドレスが不定なのでどのアドレスからでも接続を受け入れるように設定します ADD L2TP IP=0.0.0.0-255.255.255.255 PPPTEMPLATE=1 Copyright 2011 Allied Telesis K.K. All Rights Reserved. 9

DHCP Server の設定 1. DHCP サーバー機能を有効にします ENABLE DHCP 2. DHCP ポリシー DHCP を作成します IP アドレスの使用期限は 3,600 秒 (1 時間 ) とします CREATE DHCP POLI="DHCP" LEASE=3600 3. クライアントに提供する情報を設定しますここでは DNS サーバーアドレスとしてルーターの LAN 側インターフェースの IP アドレスを指定していますここへ送られた DNS リクエストは DNS リレー機能により ISP の DNS サーバーに転送されます ADD DHCP POLICY="DHCP" SUBNET=255.255.255.0 ROUTER=192.168.1.1 DNSSERVER=192.168.1.100 4. クライアントに提供する IP アドレスの範囲を設定しますここでは 192.168.1.128~192.168.1.143 の 16 個を指定しています CREATE DHCP RAN="CLIENT" POLI="DHCP" IP=192.168.1.128 NUM=16 Note この設定はルーターの LAN 側に PC を設置したときに自動的に IP を取得するための設定ですリモートアクセスするにあたって必須ではありません Copyright 2011 Allied Telesis K.K. All Rights Reserved. 10

ISAKMP の設定 1. ISAKMP 用の事前共有鍵 (pre-shared key) を作成しますここでは鍵番号を 1 番とし鍵の値は secret という文字列で指定します (VPN クライアントにも同じ値を設定 ) CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" Note CREATE ENCO KEY コマンドはコンソール上でログインしている場合のみ有効なコマンドですそのため EDIT コマンド ( 内蔵スクリーンエディター ) などで設定スクリプトファイル (.CFG) にこのコマンドを記述しても無効になりますのでご注意ください 2. VPNクライアントからのIKEネゴシエーション要求を受け入れるISAKMPポリシー i を作成します ISAKMPメッセージの暗号化には 3DES 認証には SHA アルゴリズム Oakleyグループは 2 を使用し VPNクライアントとの認証には前の手順で作成した事前共有鍵 ( 鍵番号 1 ) を使いますさらにクライアントのIPアドレスが不定なためPEERにANYを指定し NAT-Traversalを有効にしています CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE NATTRAVERSAL=TRUE SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA GROUP=2 3. DPD を有効にします SET ISAKMP POLICY="i" DPDMODE=both Copyright 2011 Allied Telesis K.K. All Rights Reserved. 11

IPsec の設定 1. IPsec 通信の仕様を定義する SA スペック 1 を作成します鍵管理方式 ISAKMP プロトコル ESP 暗号化方式 AES256bit 認証方式 SHA に設定しますこの例では L2TP によってトンネリングを行うためデフォルトのトンネルモードは使用せずにトランスポートモードを使用します UDP1701 番ポートを使って送受信される L2TP パケットだけを暗号化する形になります CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES256 HASHALG=SHA MODE=TRANSPORT 2. 同様に IPsec 通信の仕様を定義する SA スペック 2 を作成します鍵管理方式 ISAKMP プロトコル ESP 暗号化方式 AES128bit 認証方式 SHA に設定します CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES128 HASHALG=SHA MODE=TRANSPORT 3. 同様に IPsec 通信の仕様を定義する SA スペック 3 を作成します鍵管理方式 ISAKMP プロトコル ESP 暗号化方式 3DES 認証方式 SHA に設定します CREATE IPSEC SASPEC=3 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA MODE=TRANSPORT 4. SA スペック 1 2 3 からなる SA バンドルスペック 1 を作成します鍵管理方式は ISAKMP を指定します CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1 or 2 or 3" Note VPN クライアントにより対応する暗号化方式が異なるため SA スペックを複数設定しています Copyright 2011 Allied Telesis K.K. All Rights Reserved. 12

5. IKE パケット (UDP500 番 ) と NAT-T パケット (UDP4500 番 ) を素通しさせる IPsec ポリシー isa nat を作成します CREATE IPSEC POLICY=isa INT=eth0 ACTION=PERMIT LPORT=500 TRANSPORT=UDP CREATE IPSEC POLICY=nat INT=eth0 ACTION=PERMIT LPORT=4500 TRANSPORT=UDP Note NAT Traversal を使用する場合は必ず IKE と NAT T のパケットが通過できるような設定を行ってください Note IPsec ポリシーは設定順に検索され最初にマッチしたものが適用されるため設定順序には注意が必要です検索順は SHOW IPSEC POLICY コマンドで確認できますまた検索順を変更するには SET IPSEC POLICY コマンドの POSITION パラメータを使用します 6. L2TP パケットを暗号化する IPsec ポリシー L2 を eth0 インターフェースに対して作成します鍵管理方式には ISAKMP を指定します VPN クライアントの IP アドレスが不定なため PEER には ISAKMP の認証をパスした相手という意味の DYNAMIC を BUNDLE には前の手順で作成した SA バンドルスペック 1 を指定しますまた LPORT と TRANSPORT で対象となるパケットの条件 ( ここでは L2TP パケット ) を指定します CREATE IPSEC POLICY=L2 INT=eth0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC SET IPSEC POLICY=L2 LPORT=1701 TRANSPORT=UDP 7. インターネットへの平文通信を許可する IPsec ポリシー inet を eth0 インターフェースに対して作成します CREATE IPSEC POLICY="inet" INT=eth0 ACTION=PERMIT Note インターネットにもアクセスしたい場合は必ず最後の IPsec ポリシーですべてのパケットを通過させる設定を行ってくださいいずれの IPsec ポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため上記の設定がないと VPN 以外との通信ができなくなります Copyright 2011 Allied Telesis K.K. All Rights Reserved. 13

8. IPsecモジュールを有効にします ENABLE IPSEC 9. ISAKMPモジュールを有効にします ENABLE ISAKMP 10. Security Officerレベルのユーザーでログインしなおします LOGIN secoff 11. 動作モードをセキュリティーモードに切り替えます ENABLE SYSTEM SECURITY_MODE Note セキュリティーモードでは Security Officer レベルでの Telnet ログインが原則として禁止されていますセキュリティーモードにおいて Security Officer レベルで Telnet ログインしたい場合はあらかじめ RSO(Remote Security Officer) の設定を行っておいてください 12. 設定は以上です設定内容をファイルに保存し SET CONFIG コマンドで起動時設定ファイルに指定します CREATE CONFIG=router.cfg SET CONFIG=router.cfg Copyright 2011 Allied Telesis K.K. All Rights Reserved. 14

VPN クライアントの設定 VPN クライアントの設定手順は以下を参照下さい VPN 接続先の IP アドレスやパスワード等各種パラメータがそのまま流用できます参照先 CentreCOM AR560S 設定例集 2.9 #197 リモートアクセス型 L2TP+IPsec VPN と Responder Rekey Extension による死活監視 ( クライアントは Windows XP/Vista/7 iphone/ipad および Android(TM) 端末 ) http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-197.html Windows 接続検証は以下を参照し実施しております ( 当社独自調査であり接続を保証するものではございません ) WindowsXP (Service Pack 3) : Microsoft サポート文書番号 : 885407 Windows7 : Microsoft サポート文書番号 : 926179 Copyright 2011 Allied Telesis K.K. All Rights Reserved. 15