はじめに IRASⅡ(IPsec Remote Access ServiceⅡ)は インターネット 暗 号 化 技 術 (IPsec)により お 客 様 ネットワークにセキュアなリモ-トアクセス 環 境 を 提 供 いたします IRASⅡハードウェアクライアン トでは Cisco Systems の

IRASⅡ (IPsec Remote Access Service Ⅱ) お 客 様 調 査 マニュアル WEB 調 査 版 -1-

はじめに IRASⅡ(IPsec Remote Access ServiceⅡ)は インターネット 暗 号 化 技 術 (IPsec)により お 客 様 ネットワークにセキュアなリモ-トアクセス 環 境 を 提 供 いたします IRASⅡハードウェアクライアン トでは Cisco Systems の IOS ルータ 機 能 を 利 用 します 本 資 料 は 設 定 マニュアルに 基 づき 設 定 したが 接 続 できない 場 合 過 去 接 続 はできたが 繋 が らなくなってしまった 場 合 に 参 照 いただくことで 設 定 不 具 合 箇 所 環 境 不 具 合 箇 所 の 特 定 をする 為 の 資 料 です 本 資 料 を 参 照 する 場 合 ハードウェアクライアント 設 定 マニュアル WEB 設 定 版 と 合 わせて 参 照 下 さい KDDI TSC においては お 客 様 宅 内 設 備 (インターネット 接 続 環 境 やファイアウォール/ルータ) 等 構 成 が 不 明 となっております お 手 数 ですが スムーズな 切 り 分 けを 行 う 為 本 マニュアルに 基 づ き お 客 様 環 境 における 不 具 合 箇 所 を 特 定 いただいた 上 で IRASⅡ 関 連 の 障 害 のみ 申 告 をいた だけますようお 願 いいたします 本 マニュアルに 記 載 のある 内 容 は 接 続 状 態 確 認 の 簡 易 マニュアルであり Cisco IOS ルータお よび Cisco SDM のすべての 機 能 を 説 明 するものではありません Cisco IOS ルータおよび Cisco SDM の 詳 細 については Cisco Systems の WEB サイトをご 確 認 下 さい (http://www.cisco.com) 本 マニュアルにて 設 定 した 内 容 は お 客 様 機 器 へのセキュリティを 確 実 に 保 証 するものではあり ません 必 要 に 応 じてセキュリティ 設 定 を 追 加 いただくようお 願 いいたします 本 マニュアルの 内 容 は 改 善 等 のため 予 告 無 く 変 更 する 場 合 がございますので 予 めご 了 承 下 さ い -2-

第 1 章 IRASⅡ 保 守 対 応 について 1. IRASⅡサービス 保 守 範 囲 について IRASⅡサービスでは ご 利 用 いただく ISP に 制 限 はございません KDDI テクニカルサービスセンター(TSC)の IRASⅡ 窓 口 における 保 守 対 応 範 囲 は 以 下 の 通 り IRASⅡサービス 保 守 対 応 範 囲 に 限 定 となります IP-VPN 等 NW サービス 側 に ついては 別 の 担 当 による 調 査 が 行 われます KDDI TSC IRASⅡ 窓 口 では KDDI インターネットおよび au one net を 含 む 各 ISP サ ービスの 接 続 状 況 を 調 査 することはできません サービス 保 守 上 設 定 情 報 の 取 得 や log 取 得 をご 依 頼 させていただく 場 合 があります が 取 得 内 容 の 分 析 にはお 時 間 をいただく 場 合 があります 2. ハードウェアクライアントの 保 守 対 応 について KDDI TSC IRASⅡ 窓 口 では ハードウェアクライアント( 宅 内 機 器 )の 保 守 手 配 や 障 害 切 り 分 けはできません お 客 様 ご 自 身 での 回 線 状 態 切 り 分 けを 実 施 いただくか ご 契 約 ベンダー 様 による 切 り 分 け/ 保 守 対 応 をいただくことになります 次 章 より 記 載 のある 方 法 にてお 客 様 による 状 態 把 握 をお 願 いいたします KDDI TSC IRASⅡ 窓 口 では 設 定 内 容 ( 設 定 上 必 要 となる 項 目 ) 確 認 / 読 み 合 せ 程 度 は 可 能 ですが 内 容 詳 細 についてのサポートについては ご 対 応 できません -3-

第 2 章 開 通 時 切 り 分 け 1. 想 定 要 因 お 客 様 が ルータを 設 置 される 際 に 開 通 確 認 を 実 施 いただくことになりますが 確 認 時 点 で 接 続 ができない 場 合 以 下 の 点 での 不 具 合 が 考 えられます インターネット 接 続 環 境 インターネット 接 続 ( 環 境 )の 不 備 ルータ/ファイアウォール 設 定 不 備 / 不 足 ハードウェアクライアント 用 ルータ 設 定 ファイアウォール 設 定 の 間 違 い GW アドレス 指 定 間 違 い Suffix(Group Key) 間 違 い Preshared-Key 設 定 間 違 い 接 続 アカウント(ユーザ 名 /パスワード)の 設 定 間 違 い/ 重 複 2. 確 認 方 法 各 種 確 認 をいただく 前 に ケーブルや 接 続 用 機 器 (ルータや Hub 等 )の 電 源 状 態 /ランプ 状 態 等 をご 確 認 下 さい 正 常 な 接 続 がされているかをまず 目 視 にて 確 認 いただくようお 願 いいたし ます インターネット 接 続 環 境 の 調 査 インターネット 接 続 ( 環 境 )の 不 備 IRASⅡをご 利 用 いただく 上 で ISP に 制 限 はございませんが Proxy サーバ 経 由 で 接 続 される ISP のご 利 用 はできません SDM からのインターネット 状 態 確 認 IRASⅡハードウェアクライアントマニュアル WEB 設 定 版 から 設 定 されている 場 合 に 有 効 です (ファイアウォール 機 能 (アクセスリスト)において ping(icmp echo/echo reply)の 疎 通 を 確 保 していない 場 合 は 有 効 としていただく 必 要 性 があります ) WEB ブラウザから SDM 経 由 でルータにログインします -4-

ログイン 後 Monitor をクリッ クします Monitor Interface Status の 順 でクリックします Test Connection を 押 すことでインターネット 上 のサーバとの 疎 通 確 認 の 為 の ping 用 ウィンドウが 立 ち 上 がります (IRASⅡ GW 装 置 は ping には 非 応 答 の 為 ping に 応 答 するインターネット 上 の 設 備 に 対 して 疎 通 確 認 いただく 必 要 性 があります ) Test Connection クリッ クします 立 ち 上 がるウィンドウから User specified を 選 択 し 空 欄 に IP アドレス 情 報 を 入 力 し Start をクリックします ping に 応 答 する IP アドレ スを 入 力 下 さい -5-

Detail をクリックすることで テストの 状 態 詳 細 を 確 認 する ことができます 成 功 した 場 合 以 下 のウィンドウが 立 ち 上 がります [ 接 続 に 失 敗 した 場 合 ] 接 続 のテストの 失 敗 した 場 合 以 下 のような 画 面 が 表 示 されます 各 テスト 結 果 を Status にて 確 認 することができます 下 部 に 推 奨 のアクション 等 表 記 されますので 内 容 を 確 認 し ISP へのご 連 絡 ファイアウォ ールの 確 認 等 を 実 施 下 さい 試 験 項 目 Checking Interface Status 物 理 インターフェースの 状 態 確 認 ここで 失 敗 (down)となっている 場 合 ソースとなる 物 理 的 接 続 状 態 および LED 状 態 を 確 認 してください Checking Interface IP address インターフェースの IP アドレス 状 態 確 認 ここで 失 敗 (failed)となっている 場 合 ソースとなるインターフェースの IP アドレスが 割 当 られていないか 設 定 されていないことになります -6-

Checking exit Interface パケットの 出 口 となるインターフェース ここで 失 敗 (failed)となっている 場 合 宛 先 へのルーティングテーブルが 無 いことに なります ルーティングを 確 認 していただくようお 願 いいたします Pinging to destination host 指 定 した 宛 先 への ping ここで 失 敗 (failed)となっている 場 合 ping を 送 信 したが 返 ってこなかったことになり ます FW やルータ 等 で icmp パケットの 疎 通 ができるようになっているのかを 確 認 していただくようお 願 いいたします -7-

ルータ/ファイアウォール 設 定 の 不 備 / 不 足 IRASⅡ 接 続 を 実 施 する 上 でルータやファイアウォールなどの 配 下 から 接 続 されてい る 場 合 特 定 プロトコルの 疎 通 を 確 保 する 必 要 性 があります 非 NAT 環 境 下 では ESP パケットを 疎 通 させる 必 要 性 があります ルータやファイアウォールにて 以 下 の プロトコル 疎 通 が 許 可 されていることを 確 認 してください LAN WAN 方 向 アドレス : Src=ハードウェアクライアント WAN 側 アドレス Dst= GW アドレス プロトコル/ポート: UDP Src Port: 不 定 Dst Port:500 UDP Src Port: 不 定 Dst Port :4500 ESP パケット ESP とは Encapsulation Security Payload の 略 で IPsec による 暗 号 化 されたパケットを 表 します WAN LAN 方 向 アドレス : Src=GW アドレス Dst=ハードウェアクライアント WAN 側 アドレス プロトコル/ポート: UDP Src Port:500 Dst Port: 不 定 UDP Src Port:4500 Dst Port : 不 定 ESP パケット ハードウェアクライアント 用 ルータ 設 定 の 調 査 インターネット 接 続 状 態 を 確 認 後 接 続 状 態 に 問 題 が 無 かった 場 合 ハードウェアクラ イアントとして 利 用 するルータ 設 定 の 不 備 が 考 えられます IRASⅡとの 接 続 において は KDDI より 通 知 する 開 通 案 内 の 情 報 を 間 違 いなく 設 定 すると 共 に IRASⅡ 接 続 用 の 特 定 プロトコルのパケットの 疎 通 を 確 保 する 必 要 性 があります ファイアウォール(アクセスルール) 設 定 の 間 違 い IRASⅡハードウェアクライアントマニュアル WEB 設 定 版 を 利 用 し 設 定 している 場 合 通 常 自 動 的 に IRASⅡ 接 続 が 可 能 なようにファイアウォール 機 能 が 設 定 されます フ ァイアウォール 機 能 を 有 効 にした 後 に IRASⅡ 接 続 設 定 を 行 った 場 合 以 下 の 警 告 画 -8-

面 が 表 示 されます Yes をクリックしていればアクセスルールに IRASⅡ 接 続 用 の 特 定 プロトコルの 疎 通 許 可 ルールが 適 用 されております 実 際 のアクセスルール 設 定 内 容 を 以 下 の 手 順 で 確 認 することができます SDM に login 後 Configure Firewall and ACL Edit Firewall/ACL タブをク リックし 以 下 の 画 面 を 表 示 させます アウトバウンドトラフィック LAN 側 から 発 信 され WAN へ 送 出 されるトラフィックに 対 するルールとなります 以 下 図 の Originating traffic にチェックを 入 れ LAN 側 インターフェース/WAN 側 インター フェースに 適 用 されているルールを 確 認 します 各 インターフェースに 適 用 されている ルールの 確 認 は プルダウンから 選 択 します -9-

[LAN 側 インターフェースで 受 信 するパケットの 許 可 ] 少 なくとも IRASⅡで 接 続 する 宛 先 へのパケットを 受 信 する 必 要 性 があります [WAN 側 インターフェースで 送 信 するパケットの 許 可 ] 少 なくとも IRASⅡ 接 続 用 の IPsec 関 連 パケットを 送 信 する 必 要 性 があります インバウンドトラフィック WAN 側 から 到 着 し LAN へ 送 出 されるトラフィックに 対 するルールとなります 以 下 図 の Returning traffic にチェックを 入 れ LAN 側 インターフェース/WAN 側 インターフェ ースに 適 用 されているルールを 確 認 します 各 インターフェースに 適 用 されているル ールの 確 認 は プルダウンから 選 択 します [WAN 側 インターフェースで 受 信 するパケットの 許 可 ] 少 なくとも IRASⅡ 接 続 用 の IPsec 関 連 パケットを 受 信 する 必 要 性 があります 下 図 枠 内 に 記 載 された ルールのパケットを 受 信 できるように 設 定 する 必 要 性 があり ます [LAN 側 インターフェースで 送 信 するパケットの 許 可 ] 少 なくとも IRASⅡで 接 続 するクライアントへのパケットを 送 信 する 必 要 性 があります -10-

IRASⅡ 接 続 設 定 の 不 備 SDM からの 設 定 情 報 の 確 認 SDM から IRASⅡ 接 続 設 定 情 報 を 確 認 することが 可 能 です 尚 パスワード 情 報 につ いては 表 示 されませんので 誤 入 力 の 可 能 性 がある 場 合 再 入 力 を 実 施 願 います Configure VPN Easy VPN Remote Edit から 作 成 済 みのエント リを 選 択 し 内 容 を 確 認 してく ださい 内 容 修 正 が 完 了 した ら 保 存 をクリックして 編 集 内 容 を 保 存 してください 下 記 各 項 目 にある 入 力 ミスを 再 確 認 してください -11-

第 3 章 利 用 開 始 後 の 障 害 切 り 分 け 1. 想 定 要 因 お 客 様 がご 利 用 開 始 後 に 通 信 ができない 状 態 となった 場 合 以 下 の 不 具 合 が 考 えられます インターネット 接 続 環 境 ご 利 用 中 にインターネット 接 続 環 境 に 障 害 が 発 生 した 可 能 性 ルータやファイアウォールの 故 障 や 交 換 による 設 定 漏 れの 可 能 性 ハードウェアクライアント 用 ルータ 故 障 ルータファーム(Cisco IOS)のバグ 等 による 不 具 合 の 可 能 性 ハード 故 障 2. 確 認 方 法 各 種 確 認 をいただく 前 に ケーブルや 接 続 用 機 器 (ルータや Hub 等 )の 電 源 状 態 /ランプ 状 態 等 をご 確 認 下 さい 正 常 な 接 続 がされているかをまず 目 視 にて 確 認 いただくようお 願 いいたし ます インターネット 接 続 環 境 の 調 査 インターネット 接 続 環 境 の 障 害 第 2 章 2.に 記 載 のある SDM からのインターネット 状 態 確 認 を 実 施 することでイ ンターネット 状 態 を 確 認 することができます インターネット 接 続 状 態 の 詳 細 については ご 契 約 の ISP へご 確 認 下 さい ルータやファイアウォールの 故 障 設 定 変 更 の 有 無 / 交 換 作 業 やバージョンアップ 作 業 等 の 有 無 を 確 認 いただくか ル ータ/ファイアウォール 保 守 ベンダーへ 連 絡 し 切 り 分 け 作 業 を 実 施 してください ハードウェアクライアント 用 ルータ 故 障 の 調 査 インターネット 接 続 環 境 に 問 題 が 無 い 場 合 ハードウェアクライアント 用 ルータ 故 障 および ルータ 周 辺 接 続 装 置 の 故 障 が 想 定 されます ケーブルや 接 続 機 器 の 電 源 状 態 /ランプ 状 態 に 問 題 が 無 ければ 以 下 想 定 を 考 慮 し 対 処 を 実 施 してください ルータファーム(Cisco IOS)のバグ 等 による 不 具 合 の 可 能 性 KDDI にてハードウェアクライアント 用 として 選 定 しているルータおよびソフトウェアは IRASⅡ 接 続 に 関 わる 不 具 合 が 発 生 しないことを 前 提 としております お 客 様 がご 利 用 になられる 機 能 によっては ソフトウェア 不 具 合 が 内 在 している 可 能 性 があります -12-

ソフトウェア 不 具 合 は ルータ 再 起 動 等 で 解 消 される 場 合 がありますのでルータ 電 源 の off/on を 実 施 し 再 度 接 続 を 実 施 してください ( 再 起 動 後 5 分 程 度 通 信 ができない 場 合 があります ) ハード 故 障 の 可 能 性 ハード 故 障 のうち ポート 不 良 等 は 接 続 に 利 用 しているケーブルの 接 続 変 更 等 を 行 うことで 解 消 される 場 合 がありますが ルータ 再 起 動 を 実 施 しても 解 消 されない 場 合 保 守 ベンダーへご 連 絡 いただき 機 器 交 換 を 実 施 してください -13-

第 4 章 KDDI へのエスカレーション 調 査 上 記 までの 確 認 を 実 施 した 結 果 ISP 接 続 ISP 接 続 機 器 ファイアウォール ハードウェアクラ イアント 用 ルータすべてに 不 具 合 が 発 見 できない 場 合 KDDI TSC IRASⅡ 窓 口 へご 連 絡 下 さ い KDDI TSC IRASⅡ 窓 口 では インターネット 接 続 状 況 および IRASⅡ 接 続 設 定 該 当 ハー ドウェアクライアントに 割 当 てられた 接 続 用 アカウントをヒアリングさせていただきます 接 続 用 アカウントのヒアリング 結 果 より 弊 社 認 証 設 備 での 状 況 を 確 認 した 上 で 原 因 特 定 ができ なかった 場 合 ルータ log を 取 得 いただくお 願 いをいたします log 取 得 について KDDI 調 査 を 行 う 上 で 必 要 とする log を 取 得 する 場 合 SDM からの 取 得 はできませんので コマンドラインからの 取 得 をお 願 いすることになります 取 得 いただきました log は KDDI TSC IRASⅡ 窓 口 までメールでご 送 付 いただくことになります log 解 析 にはお 時 間 を 頂 戴 いたします ( 数 日 程 度 ) コマンドラインから 取 得 する 為 には ターミナルソフト(ハイパーターミナル/teraterm 等 )が 必 要 になります log 取 得 方 法 ルータの Console ポートにルータと 同 梱 されている console ケーブルを 接 続 いただくか telnet から 接 続 いただく 必 要 性 があります console ケーブルを 利 用 した log 取 得 には RS-232C シリアルポートが 必 要 となります 近 年 発 売 されているノート/ラップトップ 型 PC では RS-232C シリアルポートが 存 在 し ない 場 合 があります その 場 合 USB RS-232C ポート 変 換 ケーブルをご 用 意 いただく 必 要 があります 通 常 RS-232C 変 換 ケーブルは ドライバが 必 要 です 本 資 料 では Windows PC に 標 準 装 備 されているハイパーターミナルを 利 用 し telnet にて log 取 得 する 方 法 を 記 載 いたします ハイパーターミナルからの telnet SDM から 初 期 設 定 を 実 施 した 場 合 telnet からのアクセスが 許 容 されています ルータ LAN アドレスに 対 して 以 下 の 通 り telnet を 実 施 してください Windows のスタートメニューより ファイル 名 を 指 定 して 実 行 を 選 択 し 名 前 に hypertrm と 入 力 し OK をクリックします -14-

以 下 の 画 面 が 出 たら 適 当 な 名 称 とアイコンを 選 択 し OK としてください 左 図 枠 内 に 名 前 を 入 力 しアイ コンを 選 択 し OK としてくださ い 接 続 方 法 を TCP/IP としてホ ストアドレス 部 にルータ LAN アドレスを 入 力 して OK として 下 さい 接 続 が 開 始 されると 以 下 の 通 りユーザ 名 とパスワードを 入 力 するように 表 示 されますの で SDM からログインする 為 のユーザ 名 とパスワードを 入 力 し login します SDM からログインするアカウ ントは 特 権 アカウントになって おり 直 接 特 権 モードとして login することになります -15-

log 出 力 準 備 ルータへのログイン 後, 設 定 モードへ 移 行 し telnet 画 面 上 に log を 出 力 する 為 の 設 定 を 行 います configure terminal と 入 力 し Enter を 押 し 設 定 モードへ 移 行 します logging monitor debugging と 入 力 し Enter を 押 し telnet 画 面 上 への log 出 力 を 許 可 します 入 力 後 exit と 入 力 し 設 定 モードから 抜 けます 次 に 以 下 のコマンドを 入 力 します terminal length 0 terminal monitor -16-

コマンド 入 力 後 以 下 の 操 作 を 行 い telnet 画 面 出 力 結 果 をテキストファイルに 保 存 します 転 送 テキストのキャプチャ を 選 択 し 適 当 な 場 所 とファイ ル 名 を 作 成 し 開 始 をクリックし ます ここまで 完 了 するとルータからの 出 力 情 報 がテキストファイルに 随 時 自 動 的 に 保 存 されま す [IPsec 専 用 log の 取 得 ] 続 いて 以 下 のコマンドを 入 力 します debug crypto ipsec debug crypto ipsec client ezvpn debug crypto isakmp clear crypto ipsec client ezvpn 各 コマンドを 入 力 することによりメッセージがルータより 返 ってきます -17-

IRASⅡへ 接 続 する 対 象 のパケットが LAN 側 からルータへ 到 着 している 場 合 以 下 のよう に 画 面 上 にテキスト 表 示 がされます パケットが 到 着 していない 場 合 は 何 の 表 示 もされな い 為 LAN 上 の PC 等 から IRASⅡ 接 続 対 象 へ ping を 送 出 してください 3 分 程 度 放 置 し 以 下 のコマンドを 入 力 してください no debug all 画 面 上 の 出 力 が 停 止 します no debug all と 入 力 後 もテキスト 表 示 が 止 まらない 場 合 数 回 同 じコマンドを 入 力 いた だくようお 願 いいたします この 1 行 が 出 るまで no debug all を 入 力 してください -18-

[ルータ 情 報 の 取 得 ] ルータの 情 報 を 出 力 する 為 以 下 のコマンドを 入 力 します show crypto ipsec sa detail show crypto isakmp sa detail show tech-support それぞれのコマンド 入 力 後 Enter を 押 すことでテキストファイルが 出 力 されます テキストが 停 止 したら 次 のコマンドを 入 力 します 1 行 入 力 し Enter を 入 力 次 の 1 行 入 力 し Enter を 入 力 画 面 上 の 出 力 を 停 止 した 後 テキストのキャプチャを 停 止 します テキストキャプチャを 停 止 が 完 了 したら 以 下 のコマンドを 入 力 しルータからログアウトして ください exit ルータからログアウトが 完 了 したらハイパーターミナルを 終 了 し 保 存 していたファイルを KDDI TSC IRASⅡ 窓 口 よりお 知 らせするメールアドレス 宛 にご 送 付 下 さい -19-

本 マニュアルお 問 い 合 わせにつきましては 弊 社 営 業 担 当 までご 連 絡 下 さい IRASⅡ(IPsec Remote Access Service Ⅱ) ハードウェアクライアントお 客 様 調 査 マニュアル(WEB 調 査 版 ) 作 成 日 :2008 年 3 月 3 日 作 成 者 :KDDI 株 式 会 社 第 1.0 版 本 マニュアルの 著 作 権 はKDDI 株 式 会 社 に 帰 属 します 無 断 で 複 写 複 製 すること を 禁 止 します 本 マニュアルの 内 容 は 改 善 のため 予 告 なく 変 更 する 可 能 性 があります -20-