ipsec, ike

IPsecセキュリティアソシエーションおよびIKEを設定する。ポリシーベースIPsecを使用するために設定します。

Note

  • ポリシーベースIPsecは、"ipsec" と "ike" という2種類のキーを組み合わせて設定します。

ipsec.security-association.sa[]

IPsecセキュリティアソシエーション(IPsec-SA)を設定する

IPsecセキュリティアソシエーションの設定

キー バリュー
ipsec.security-association.sa[].address-type
IPsec-SAのアドレス構成
制約事項:
省略不可
static
静的構成
  • リモートアドレスが固定割当の場合に指定します。
  • 自発的にVPN接続を開始します。
dynamic
動的構成
  • リモートアドレスが動的割当の場合に指定します。
  • VPN接続を待受け、接続元に応じてIPsec-SAのアドレスを構成します。
ipsec.security-association.sa[].local-address
IPsec-SAのローカルアドレス
制約事項:
静的構成の場合は省略不可。動的構成の場合は設定不可
<IPv4address>
IPv4アドレス
<IPv6address>
IPv6アドレス
<Interface>
インタフェース名
  • bridge[]
  • ge[]
  • ppp[]
  • pppoe[]
  • rac[]
  • vlan[]
  • インタフェースに付与されているIPアドレスから、リモートアドレスと同じアドレスファミリのものを1つ使用します。
    IPv4アドレスの場合
    先頭のアドレス
    IPv6アドレスの場合
    末尾のアドレス(リンクローカルアドレスを除く)
ipsec.security-association.sa[].remote-address
IPsec-SAのリモートアドレス
制約事項:
静的構成の場合は省略不可。動的構成の場合は設定不可
<IPv4address>
IPv4アドレス
<IPv6address>
IPv6アドレス
注:
  • ローカルアドレスと同じアドレスファミリのIPアドレスを指定する必要があります。
  • ローカルアドレスとリモートアドレスは重複できません。
ipsec.security-association.sa[].share-session
IPsec-SAの共有(集約)
  • 複数のIPsecセキュリティポリシーが関連付けられたとき、ポリシーごとにIPsec-SAを折衝せずひとつのIPsec-SAを共有できます。
enable
有効化
disable
無効化
デフォルト値
disable
注:
  • 対向間で異なるとIPsec-SAの食い違いによって正常に通信できない場合があります。
  • SEIL/B1, X1, X2, x86 Fuji, BPV4の動作はenableに相当します。

IPsecセキュリティポリシーの設定

キー バリュー
ipsec.security-policy.[]...
IPsecセキュリティポリシー
設定上限
256個
ipsec.security-policy.[].source.address
送信元IPアドレスによる条件
制約事項:
省略不可
<IPv4address/Prefixlen>
ネットワーク内のIPv4アドレス
<Interface>
インタフェースが持つIPアドレス(ホストアドレス)
  • bridge[]
  • ge[]
  • ppp[]
  • pppoe[]
  • rac[]
  • vlan[]
  • wlan[]
any
任意のIPアドレス
ipsec.security-policy.[].source.port
送信元ポート番号による条件
<Number>
範囲
1-65535
any
すべてのポート番号
デフォルト値
any
ipsec.security-policy.[].destination.address
送信先IPアドレスによる条件
制約事項:
省略不可
<IPv4address/Prefixlen>
ネットワーク内のIPv4アドレス
any
任意のIPアドレス
注:
...source.address : anyと同時に設定できません。
ipsec.security-policy.[].destination.port
送信先ポートによる条件
<Number>
範囲
1-65535
any
すべてのポート番号
デフォルト値
any
ipsec.security-policy.[].protocol
プロトコルによる条件
<Number>
プロトコル番号
範囲
0-254
<Keyword>
プロトコル名
候補
ipv4 | ipv6 | icmp | tcp | udp | igmp | ah | esp
any
すべてのプロトコル
デフォルト値
any
注:
any以外を指定した場合、フラグメントパケット(他のルータがフラグメント化したパケット)はセキュリティポリシーにマッチしません。
ipsec.security-policy.[].security-association
セキュリティポリシーに一致したパケットの送信に使用するIPsec-SA
制約事項:
省略不可
sa[]
使用するIPsec-SA
注:
未設定のIPsec-SAを指定できません。
pass
暗号化せず経路表に従って転送する
block
暗号化せず破棄する

Note

  • IPsecセキュリティポリシーに関連付けられていないIPsec-SAは無効化されます。
  • IPsecまたはIKEに関するキーの設定が変更されると、当該IPsec-SAのIPsec/IKE接続はクリアされます。

IPsecセキュリティアソシエーションプロポーザル(IKE Phase-2 プロポーザル)の設定

注:
対向装置とパラメータのすり合わせが必要な場合に設定します。
キー バリュー
ipsec.security-policy.[].ike.proposal.authentication.[].algorithm
IKE Phase2プロポーザルに含める認証アルゴリズム
設定上限
4個
<Keyword>
使用可能な認証アルゴリズム
hmac-sha512, hmac-sha384, hmac-sha256, hmac-sha1, hmac-md5
  • 未指定時はhmac-sha256, hmac-sha1をプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
ipsec.security-policy.[].ike.proposal.encryption.[].algorithm
IKE Phase2プロポーザルに含める暗号アルゴリズム
設定上限
4個
<Keyword>
使用可能な暗号アルゴリズム
aes128, aes192, aes256, 3des, des
  • 未指定時はaes256, aes128をプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
ipsec.security-policy.[].ike.proposal.lifetime-of-time
IKE Phase2プロポーザルに含めるIPsec SAのライフタイム
<Time>
範囲 書式
1m-1440h [書式の詳細]
デフォルト値
8h
ipsec.security-policy.[].ike.proposal.pfs-group
IKE Phase2プロポーザルに含めるIPsec SAのPFSグループ
<Keyword>
使用可能なPFSグループ
modp1024, modp1536, modp2048, modp3072, modp4096, mopd6144, modp8192

ike

IKEを設定する

キー バリュー
ike.peer.[]...
IKEピア
設定上限
64
ike.peer.[].exchange-mode
IKEの鍵交換モード
制約事項:
省略不可
main
メインモード
aggressive
アグレッシブモード
ike.peer.[].address
IKE対向のIPアドレス
制約事項:
省略不可
<IPv4address>
IPv4アドレス
<IPv6address>
IPv6アドレス
dynamic
動的IPアドレスを使用する
注:
  • ...exchange-mode : aggressive の指定が必要です
  • ...peers-identifier.type に fqdn または user-fqdn の指定が必要です
ike.peer.[].preshared-key
IKEの事前共有鍵
制約事項:
省略不可
<String>
文字数 使用できない文字
1-128 空白
ike.peer.[].my-identifier.type
自己識別子の種類
address
送信パケットの送信元IPアドレス
fqdn
FQDN(ドメイン形式)
注:
...my-identifier.fqdn を設定する必要があります。
user-fqdn
ユーザFQDN(メールアドレス形式)
注:
...my-identifier.user-fqdn を設定する必要があります。
デフォルト値
address
ike.peer.[].my-identifier.fqdn
FQDN形式の自己識別子
<String>
文字数
1-255
ike.peer.[].my-identifier.user-fqdn
ユーザFQDN形式の自己識別子
<String>
文字数
3-256
ike.peer.[].peers-identifier.type
相手識別子の種類
address
受信パケットの送信元IPアドレス
fqdn
FQDN(ドメイン形式)
注:
...peers-identifier.fqdnを設定する必要があります。
user-fqdn
ユーザFQDN(メールアドレス形式)
注:
...peers-identifier.user-fqdnを設定する必要があります。
デフォルト値
address
ike.peer.[].peers-identifier.fqdn
FQDN形式の相手識別子
<String>
文字数
1-255
ike.peer.[].peers-identifier.user-fqdn
ユーザFQDN形式の相手識別子
<String>
文字数
3-256
ike.peer.[].proposal.dh-group
IKEプロポーザルに含めるDHグループ
<Keyword>
候補
modp1024 | modp1536
デフォルト値
modp1536
ike.peer.[].dpd
DPD (Dead Peer Detection)の使用
enable
有効化
disable
無効化
デフォルト値
disable
ike.peer.[].nat-traversal
IPsec NAT Traversalの使用
enable
有効化
  • アドレス書換を検知するとUDPによるカプセル化を適用します。
force
強制モードで有効化
  • アドレス書換の有無によらずUDPによるカプセル化を適用します。
デフォルト値
enable

IKEプロポーザル(IKE Phase-1 プロポーザル)の設定

注:
対向装置とパラメータのすり合わせが必要な場合に設定します。
キー バリュー
ike.peer.[].proposal.dh-group
IKE Phase1プロポーザルに含めるISAKMP SAのDHグループ
<Keyword>
使用可能なDHグループ
modp1024, modp1536, modp2048, modp3072, modp4096, mopd6144, modp8192
デフォルト値
modp1536
ike.peer.[].proposal.hash.[].algorithm
IKE Phase1プロポーザルに含めるハッシュアルゴリズム
設定上限
4個
<Keyword>
使用可能なハッシュアルゴリズム
sha1, sha256, sha384, sha512, md5
  • 未指定時はsha256, sha1をプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
ike.peer.[].proposal.encryption.[].algorithm
IKE Phase1プロポーザルに含める暗号アルゴリズム
設定上限
4個
<Keyword>
使用可能な暗号アルゴリズム
aes128, aes192, aes256, 3des, des
  • 未指定時はaes256, aes128をプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
ike.peer.[].proposal.lifetime
IKE Phase1プロポーザルに含めるISAKMP SAのライフタイム
<Time>
範囲 書式
1m-1440h [書式の詳細]
デフォルト値
24h

Note

  • IPsecまたはIKEに関するキーの設定が変更されると、当該IPsec-SAのIPsec/IKE接続は一旦切断され再接続を試みます。