4つの拠点間で接続する

互联网VPN结构图

この構成では、いくつかの接続形態におけるインターネットVPNの設定例を説明します。

  • 拠点1はPPPoEで接続してグローバルアドレスを取得しています。
  • 拠点2はCATVで接続してグローバルアドレスを取得しています。
  • 拠点3はADSLで接続していますが、PPPoAなどの接続形態で、ルータにプライベートアドレスが割り当てられています。
    プライベートアドレスを配布するCATVでも同様の設定になります。
  • 拠点4はLANのIPsecクライアントがセンターに接続する例で、この場合にはRTX1000(4)でIKEやESPを通す設定をする必要があります。
  • 拠点5はIPsecクライアントが直接インターネットに接続しています。

なお、この設定例では、IPsecクライアントとして、YMS-VPN7を想定しています。

■RTX2000の設定例

LANの
インターフェイスの設定
ip lan1.1 address 192.168.0.1/24
ip lan1.8 address 192.168.10.1/24
WANの
インターフェイスの設定
pp select 1
pp always-on on
pppoe use lan1.2
pp auth accept chap pap
pp auth myname (ISP6と接続するID) (ISP6と接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ip pp address (グローバルアドレス1)
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
ip route default gateway pp 1
NATの設定 nat descriptor type 1 masquerade
nat descriptor address outer 1 (グローバルアドレス1)
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
nat descriptor masquerade static 1 3 192.168.10.2 tcp www
DHCPの設定 dhcp service server
dhcp scope 1 192.168.0.2-192.168.0.100/24
DNSの設定 dns server (ISP6から指定されたDNSサーバのIPアドレス)
dns private address spoof on
VPN(IPsec)の設定 ipsec auto refresh on
VPN(IPsec)の設定
(拠点1)
ipsec ike pre-shared-key 1 text (パスワード1)
ipsec ike remote address 1 any
ipsec ike remote name 1 kyoten1
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.0.1
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
tunnel select 1
ipsec tunnel 101
ipsec ike hash 1 sha
tunnel enable 1
ip route 192.168.1.0/24 gateway tunnel 1
VPN(IPsec)の設定
(拠点2)
ipsec ike pre-shared-key 2 text (パスワード2)
ipsec ike remote address 2 any
ipsec ike remote name 2 kyoten2
ipsec ike keepalive use 2 on
ipsec ike local address 2 192.168.0.1
ipsec sa policy 102 2 esp 3des-cbc sha-hmac
tunnel select 2
ipsec tunnel 102
ipsec ike hash 2 sha
tunnel enable 2
ip route 192.168.2.0/24 gateway tunnel 2
VPN(IPsec)の設定
(拠点3)
ipsec ike pre-shared-key 3 text (パスワード3)
ipsec ike remote address 3 any
ipsec ike remote name 3 kyoten3
ipsec ike keepalive use 3 on
ipsec ike local address 3 192.168.0.1
ipsec ike esp-encapsulation 3 on # 注釈1
ipsec sa policy 103 3 esp 3des-cbc sha-hmac
tunnel select 3
ipsec tunnel 103
ipsec ike hash 3 sha
tunnel enable 3
ip route 192.168.3.0/24 gateway tunnel 3
VPN(IPsec)の設定
(拠点4)
ipsec ike encryption 4 aes-cbc
ipsec ike group 4 modp1024
ipsec ike pre-shared-key 4 text (パスワード4)
ipsec ike remote address 4 any
ipsec ike remote name 4 (YMS-VPN1で設定した、"このクライアントの名前")
ipsec ike local address 4 192.168.0.1
ipsec sa policy 104 4 esp aes-cbc sha-hmac
tunnel select 4
ipsec tunnel 104
ipsec ike hash 4 sha
tunnel enable 4
ip route 192.168.14.0/24 gateway tunnel 4 # 注釈2
VPN(IPsec)の設定
(拠点5)
ipsec ike encryption 5 aes-cbc
ipsec ike group 5 modp1024
ipsec ike pre-shared-key 5 text (パスワード5)
ipsec ike remote address 5 any
ipsec ike remote name 5 (YMS-VPN1で設定した、"このクライアントの名前")
ipsec ike local address 5 192.168.0.1
ipsec sa policy 105 5 esp aes-cbc sha-hmac
tunnel select 5
ipsec tunnel 105
ipsec ike hash 5 sha
tunnel enable 5
ip route 192.168.5.1 gateway tunnel 5 # 注釈2
フィルタの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 1031 pass * 192.168.10.2 tcpflag=0x0002/0x0fff * www
ip filter 1040 pass * 192.168.0.1 udp * 500
ip filter 1041 pass * 192.168.0.1 esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 200 192.168.0.0/24 * telnet
ip filter dynamic 201 * 192.168.10.2 www

pp select 1
ip pp secure filter in 1020 1030 1031 1040 1041 2000 dynamic 201
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
pp enable 1

■RTX1000(1)の設定例

LANの
インターフェイスの設定
ip lan1 address 192.168.1.1/24
WANの(ISP1)
インターフェイスの設定
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISP1に接続するID) (ISP1に接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ppp ipcp ipaddress on
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
ip route default gateway pp 1
NATの設定 nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 esp
VPN(IPsec)の設定
(共通項目)
ipsec auto refresh on
VPN(IPsec)の設定
(主系)
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.1.1
ipsec ike local name 1 kyoten1
ipsec ike pre-shared-key 1 text (パスワード1)
ipsec ike remote address 1 (グローバルアドレス1)
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
tunnel select 1
ipsec tunnel 101
ipsec ike hash 1 sha
tunnel enable 1
ip route 192.168.0.0/24 gateway tunnel 1
DHCPの設定 dhcp service server
dhcp scope 1 192.168.1.1-192.168.1.100/24
DNSの設定 dns server (ISP1から指定されたDNSサーバのIPアドレス)
dns private address spoof on
フィルタの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1001 reject 192.168.1.0/24 *
ip filter 1002 pass * 192.168.1.0/24 icmp
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 pass (グローバルアドレス1) 192.168.1.1 udp * 500
ip filter 1021 pass (グローバルアドレス1) 192.168.1.1 esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp

pp select 1
ip pp secure filter in 1001 1002 1020 1021 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
pp enable 1

■RTX1000(2)の設定例

LANの
インターフェイスの設定
ip lan1 address 192.168.2.1/24
WAN(ISP2)の
インターフェイスの設定
ip lan2 address dhcp
ip lan2 nat descriptor 1
ip route default gateway dhcp lan2
NATの設定 nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor masquerade static 1 1 192.168.2.1 udp 500
nat descriptor masquerade static 1 2 192.168.2.1 esp
VPN(IPsec)の設定
(共通項目)
ipsec auto refresh on
VPN(IPsec)の設定
(主系)
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.2.1
ipsec ike local name 1 kyoten2
ipsec ike pre-shared-key 1 text (パスワード2)
ipsec ike remote address 1 (グローバルアドレス1)
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
tunnel select 1
ipsec tunnel 101
ipsec ike hash 1 sha
tunnel enable 1
ip route 192.168.0.0/24 gateway tunnel 1
DHCPの設定 dhcp service server
dhcp scope 1 192.168.2.1-192.168.2.100/24
DNSの設定 #dns server dhcp lan2
dns server (ISP1から指定されたDNSサーバのIPアドレス)
dns private address spoof on
フィルタの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1001 reject 192.168.2.0/24 *
ip filter 1002 pass * 192.168.2.0/24 icmp
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 pass (グローバルアドレス1) 192.168.2.1 udp * 500
ip filter 1021 pass (グローバルアドレス1) 192.168.2.1 esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp

ip lan2 secure filter in 1001 1002 1020 1021 2000
ip lan2 secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106

■RTX1000(3)の設定例

LANの
インターフェイスの設定
ip lan1 address 192.168.3.1/24
ip lan2 address dhcp
ip route default gateway dhcp lan2
VPN(IPsec)の設定
(共通項目)
ipsec auto refresh on
VPN(IPsec)の設定
(主系)
ipsec ike keepalive use 1 on
ipsec ike local name 1 kyoten3
ipsec ike pre-shared-key 1 text (パスワード3)
ipsec ike remote address 1 (グローバルアドレス1)
ipsec ike esp-encapsulation 1 on
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
tunnel select 1
ipsec tunnel 101
ipsec ike hash 1 sha
tunnel enable 1
ip route 192.168.0.0/24 gateway tunnel 1
DHCPの設定 dhcp service server
dhcp scope 1 192.168.3.1-192.168.3.100/24
DNSの設定 dns server dhcp lan2
dns private address spoof on

■RTX1000(4)の設定例

LANの
インターフェイスの設定
ip lan1 address 192.168.4.1/24
WANの(ISP4)
インターフェイスの設定
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISP4に接続するID) (ISP4に接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ppp ipcp ipaddress on
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
ip route default gateway pp 1
NATの設定 nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.4.2 udp 500
nat descriptor masquerade static 1 2 192.168.4.2 esp
DHCPの設定 dhcp service server
dhcp scope 1 192.168.4.3-192.168.4.100/24
DNSの設定 dns server (ISP4から指定されたDNSサーバのIPアドレス)
dns private address spoof on
フィルタの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1001 reject 192.168.4.0/24 *
ip filter 1002 pass * 192.168.4.0/24 icmp
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 pass (グローバルアドレス1) 192.168.4.2 udp * 500
ip filter 1021 pass (グローバルアドレス1) 192.168.4.2 esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp

pp select 1
ip pp secure filter in 1001 1002 1020 1021 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
pp enable 1

■IPsecクライアントについて
ヤマハ製のIPsecクライアントソフトウェアについては、近日の発売を検討しております。
発売が決まり次第、当ホームページにてご案内いたします。

[注釈の説明]

注釈1:
ESPパケットをUDPパケットにカプセル化するための設定です。

注釈2:
YMS-VPN1で設定するPC側の仮想IPアドレスを経路設定します。

ページトップへ戻る