VPN対向の片端の接続IPアドレスが固定でない場合にIPsec-VPNを構築する設定手順を説明します。
VPN対向のIPアドレスが不確定である場合は、対向からの接続を待ち受けるのみの設定とすることで、動的IPアドレスの拠点とのIPsec接続が可能です。
ここでは、次のような構成のネットワークを前提に説明します。
図 1: 構成イメージ
表 1. ネットワーク情報ローカル側(固定IPアドレス)
| 項目 |
値 |
備考 |
| 接続IPアドレス |
10.0.1.1 |
接続を待ち受ける固定IPアドレス |
| 拠点FQDN |
center.example.jp |
当該拠点を識別するためのホスト名 |
| ネットワークアドレス |
192.168.1.0/24 |
VPN通信の送信元となるネットワーク |
表 2. ネットワーク情報リモート側(動的IPアドレス)
| 項目 |
値 |
備考 |
| 接続IPアドレス |
不確定 |
|
| 拠点FQDN |
edge01.example.jp |
当該拠点を識別するためのホスト名 |
| ネットワークアドレス |
192.168.2.0/24 |
VPN通信の送信先となるネットワーク |
- 動的IPアドレス側から、固定IPアドレス側に対して疎通が取れる状態である必要があります。
IKEプロポーザル・IPsec-SAプロポーザルの設定
- 設定パラメータを用意する
表 3. 暗号パラメータの例
| 項目 |
値 |
備考 |
| IKE:暗号アルゴリズム(encryption) |
AES(aes) |
|
| IKE:ハッシュアルゴリズム(hash) |
SHA-1(sha1) |
|
| IKE:DHグループ(dh-group) |
1024ビットMODP DHグループ(modp1024) |
|
| IKE:ライフタイム(lifetime-of-time) |
12時間(12h) |
|
| IPsec:暗号アルゴリズム(encryption-algorithm) |
AES(aes) |
|
| IPsec:認証アルゴリズム(authentication-algorithm) |
HMAC-SHA1(hmac-sha1) |
|
| IPsec:PFSグループ(pfs-group) |
1024ビットMODP DHグループ(modp1024) |
|
| IPsec:ライフタイム(lifetime-of-time) |
6時間(6h) |
|
- IKEプロポーザルの設定
# ike proposal add IKEP01 encryption aes hash sha1
authentication preshared-key dh-group modp1024 lifetime-of-time 12h
#
- VPNを構成する各SEILに共通のパラメータを設定します。
- IPsec-SAプロポーザルの設定
# ipsec security-association proposal add SAP01 pfs-group modp1024
authentication-algorithm hmac-sha1 encryption-algorithm aes lifetime-of-time 6h
#
- VPNを構成する各SEILに共通のパラメータを設定します。
IKE事前共有鍵・IKEピアの設定
- 設定パラメータを用意する
表 4. 用意する設定パラメータの例
| 項目 |
値 |
備考 |
| 待ち受け側のFQDN |
center.example.jp |
設定対象(ローカル側)のFQDN |
| 対向装置のFQDN |
edge01.example.jp |
対向装置(リモート側)のFQDN |
| 事前共有鍵(preshared-key) |
opensesame |
任意文字列 |
| IKE:鍵交換モード(exchange-mode) |
aggressive |
アグレッシブモード |
| 使用するIKEプロポーザル |
IKEP01 |
設定済みの識別子 |
注:
- FQDNが(DNS等で)名前解決できる必要はありません。
- IKE事前共有鍵の設定
# ike preshared-key add "edge01.example.jp" "opensesame"
#
- IKE事前共有鍵は、対向同士で共通の文字列を指定します。
また、鍵交換モードにアグレッシブモードを使用するため、事前共有鍵の識別子は、対向装置のFQDNを使用します。
注:
- 対向装置を設定する際は、事前共有鍵の識別子のFQDNを読み替えてください。
- IKEピアの設定
# ike peer add PEER01 address dynamic exchange-mode aggressive proposals IKEP01
my-identifier fqdn center.example.jp peers-identifier fqdn edge01.example.jp
#
- アグレッシブモードでは、相互のFQDN(またはUSER-FQDN)を識別に使用します。
注:
- 対向装置を設定する際は、FQDNを読み替えてください。また、対向(動的アドレス)側では "address dynamic" の代わりに "address 10.0.1.1" のように接続先(固定)のIPアドレスを指定します。
IPsec-SAの設定
- 設定パラメータを用意する
表 5. 用意する設定パラメータの例
| 項目 |
値 |
備考 |
| 始点IPアドレス |
10.0.1.1 |
設定対象(ローカル側)の接続IPアドレス |
| 終点IPアドレス |
不確定 |
対向装置(リモート側)の接続IPアドレス |
| 使用するプロトコル |
ESP |
|
| 使用するIPsec-SAプロポーザル |
SAP01 |
設定済みの識別子 |
- IPsecセキュリティアソシエーションを設定する
# ipsec security-association add SA01 tunnel dynamic ike SAP01 esp enable
#
- 対向装置のIPアドレスが不確定の場合は"tunnel dynamic"を指定します。
注:
- 動的IPアドレス側装置を設定する際は、"tunnel <interface> 10.0.1.1" のように始点アドレスとしてWAN側接続に使用するインタフェースを指定します。
IPsec-SPの設定
- 設定パラメータを用意する
表 6. 用意する設定パラメータの例
| 項目 |
値 |
備考 |
| ローカルネットワークアドレス |
192.168.1.0/24 |
|
| リモートネットワークアドレス |
192.168.2.0/24 |
|
| 使用するIPsec-SA |
SA01 |
設定済みの識別子 |
- IPsecセキュリティポリシーを設定する
# ipsec security-policy add SP01 security-association SA01 src 192.168.1.0/24 dst 192.168.2.0/24
#
注:
- 対向装置を設定する際はネットワークアドレスを読み替えてください。
以上で設定は終了です。
- 固定IPアドレスの拠点側からIPsec接続を開始することはできません。動的IPアドレス側からの接続開始により、IPsec/IKEが確立します。
- IPsec-SPにマッチするネットワーク間の通信は自動的に暗号化され、リモート側ネットワークへ送信されます。