ChannelK

今日を――生き残れ。

Flower

RTX1100でIPSec VPN(動的IP)。


前回で物理的な接続が終わったので、引き続きルーターの設定をやっていきましょうか。

プロバイダーによっては二重接続を行えないように制限がかかっていたり、別途料金が課される場合があるので、既にPR-S300SEでインターネット接続を行なっている場合は、プロバイダへの二重接続を行なわないためにルーター設定を初期化しておく必要があります。もし万一設定が上手くいかなかったり、時間が足りずに断念した時のことを考えてルーターの設定はバックアップを取っておきましょう。それからひかり電話以外の設定を初期化できるようにボタンが用意されているので、そちらを利用するように。

prs300se_01prs300se_02

いよいよRTX1100側の設定に。コンソールケーブルで接続してTelnet経由でちまちまコマンドを打ち込んでいくのはコマンド補完があるとはいえ面倒なので、LANインターフェースのIP設定とtftpホストの設定を行なって設定を流し込むのが手っ取り早いです。ちなみにウチの場合はシリアル経由やTelnetでの接続には定番のTera term。tftpクライアントにはヤマハが配布しているRT-Tftp Clientを使っています。

今回の設定条件は以下の通り。

  1. 既存ネットワークには(戻す必要があった場合を考え)なるべく手を加えない。
  2. LAN内の一部機器は固定IPで運用する(PR-S300SE:192.168.1.1、RTX1100:192.168.1.2、PA-WG300HP:192.168.1.210)
  3. ホストPCが属するLANは動的IPでISPと接続する
  4. リモート側も動的IPのため、anonymous接続を利用する
  5. ホスト側のIPを逆引きするため、ネットボランチDNSを利用する
  6. 接続はIPSecを基本とし、万一のためにpptpも設定しておく
  7. リモート側のクライアントとしてはWindows PC(Win7)、iPhone(iOS)、Androidとする

でヤマハ公式サイトの設定例を参考にしながら作った設定の抜粋がこんな感じ。

#
# IP configuration
#
ip route default gateway pp 1                     #ゲートウェイがどこを向いているか気をつける
ip filter source-route on
ip filter directed-broadcast on

#
# LAN configuration
#
ip lan1 address 192.168.1.2/24                 #LAN側ルーターアドレス
ip lan1 proxyarp on                                        #LAN内がプライベートIPの場合は必要

### PP 1 ###
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect on
pp auth accept pap chap
pp auth myname [ISP ログインID] [ISP Password]
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 1021 1022 1023 1024 1020 1030 1080 1081 1082 1083 1084 1085 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107
ip pp intrusion detection in on reject=on
ip pp nat descriptor 1
netvolante-dns hostname host pp server=1 [ネットボランチ DNSアドレス]
pp enable 1

### PP anonymous ###
pp select anonymous
pp bind tunnel1-tunnel2                               #L2tp、pptpのトンネル2つを宣言
pp auth request mschap-v2
pp auth username [ID] [Password]
ppp ipcp ipaddress on
ppp ipcp msext on
ppp pap restart 10000
ppp pap maxauthreq 10
ppp ccp type none
ip pp remote address pool 192.168.1.200-192.168.1.201    #リモートアドレスを予約
ip pp mtu 1258
pp enable anonymous

### TUNNEL 1 ###
tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike keepalive use 1 off
ipsec ike local address 1 192.168.1.2      #ルーターのアドレス
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text [Secret text]
ipsec ike remote address 1 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 1

### TUNNEL 2 ###
tunnel select 2
tunnel encapsulation pptp
pptp tunnel disconnect time off
tunnel enable 2

#
# IP filter configuration
#
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.1.0/24 *      #インターネット側からプライベートIPの接続を遮断
ip filter 1021 reject 10.0.0.0/8 * * * *
ip filter 1022 reject 172.16.0.0/16 * * * *
ip filter 1023 reject 192.168.0.0/16 * * * *
ip filter 1024 reject 192.168.0.0/24 * * * *
ip filter 1030 pass * 192.168.1.0/24 icmp
ip filter 1031 reject * 10.0.0.0/8 * * *
ip filter 1032 reject * 172.16.0.0/16 * * *
ip filter 1033 reject * 192.168.0.0/16 * * *
ip filter 1034 reject * 192.168.0.0/24 * * *
ip filter 1080 pass * 192.168.1.2 gre * *             #IPSec、pptpで使用するプロトコル、ポートを通す
ip filter 1081 pass * 192.168.1.2 esp * *
ip filter 1082 pass * 192.168.1.2 udp * 500
ip filter 1083 pass * 192.168.1.2 udp * 1701
ip filter 1084 pass * 192.168.1.2 tcp * 1723
ip filter 1085 pass * 192.168.1.2 udp * 4500
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter 200080 pass * 192.168.1.2 gre * *
ip filter 200081 pass * 192.168.1.2 esp * *
ip filter 200082 pass * 192.168.1.2 udp * 500
ip filter 200083 pass * 192.168.1.2 udp * 1701
ip filter 200084 pass * 192.168.1.2 tcp * 1723
ip filter 200085 pass * 192.168.1.2 udp * 4500

#
# IP dynamic filter configuration
#
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp

#
# NAT Descriptor configuration
#
nat descriptor type 1 masquerade
nat descriptor timer 1 300
nat descriptor timer 1 tcpfin 10
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.1.2 udp 1701
nat descriptor masquerade static 1 2 192.168.1.2 esp
nat descriptor masquerade static 1 3 192.168.1.2 tcp 1723
nat descriptor masquerade static 1 4 192.168.1.2 udp 4500
nat descriptor masquerade static 1 5 192.168.1.2 udp 500

#
# IPSEC configuration
#
ipsec auto refresh on
ipsec transport 1 101 udp 1701
ipsec transport 2 102 udp 1701

#
# DHCP configuration
#
dhcp service server
dhcp server rfc2131 compliant off                       #DHCPを利用しつつMACアドレスでIPを固定したい場合には必須
dhcp scope 1 192.168.1.5-192.168.1.100/24

#
# DNS configuration
#
dns server pp 1
dns private address spoof on

pptp service on
l2tp service on

注意したいのがフィルタの順番。フィルタルールは上から順番に実行されていきます。つまり、外→内のフィルタ部分で「reject * *」で全てのパケットを遮断した後に通したいフィルタを続けても無意味ということ。最初にこのケアレスミスでハマりました。

ルーターの設定が終わったら次はクライアント側ですね。それではまた後ほど。

Tags: , , , ,

Comments are closed.

Optimization WordPress Plugins & Solutions by W3 EDGE