ipsec, ike

IPsecセキュリティアソシエーションおよびIKEを設定する。ポリシーベースIPsecを使用するために設定します。

Note

  • ポリシーベースIPsecは、"ipsec" と "ike" という2種類のキーを組み合わせて設定します。

ipsec.security-association.sa[]

IPsecセキュリティアソシエーション(IPsec-SA)を設定する

IPsecセキュリティアソシエーションの設定

キー バリュー
ipsec.security-association.sa[].address-type
IPsec-SAのアドレス構成
制約事項:
省略不可
static
静的構成
  • リモートアドレスが固定割当の場合に指定します。
  • 自発的にVPN接続を開始します。
dynamic
動的構成
  • リモートアドレスが動的割当の場合に指定します。
  • VPN接続を待受け、接続元に応じてIPsec-SAのアドレスを構成します。
ipsec.security-association.sa[].local-address
IPsec-SAのローカルアドレス
制約事項:
静的構成の場合は省略不可。動的構成の場合は設定不可
<IPv4address>
IPv4アドレス
<IPv6address>
IPv6アドレス
<Interface>
インタフェース名
  • bridge[]
  • ge[]
  • lag[]
  • ppp[]
  • pppoe[]
  • vlan[]
  • インタフェースに付与されているIPアドレスから、リモートアドレスと同じアドレスファミリのものを1つ使用します。
    IPv4アドレスの場合
    先頭のアドレス
    IPv6アドレスの場合
    末尾のアドレス(リンクローカルアドレスを除く)
ipsec.security-association.sa[].remote-address
IPsec-SAのリモートアドレス
制約事項:
静的構成の場合は省略不可。動的構成の場合は設定不可
<IPv4address>
IPv4アドレス
<IPv6address>
IPv6アドレス
注:
  • ローカルアドレスと同じアドレスファミリのIPアドレスを指定する必要があります。
  • ローカルアドレスとリモートアドレスは重複できません。
ipsec.security-association.sa[].share-session
IPsec-SAの共有(集約)
  • 複数のIPsecセキュリティポリシーが関連付けられたとき、ポリシーごとにIPsec-SAを折衝せずひとつのIPsec-SAを共有できます。
enable
有効化
disable
無効化
デフォルト値
disable
注:
  • 対向間で異なるとIPsec-SAの食い違いによって正常に通信できない場合があります。
  • SEIL/B1, X1, X2, x86 Fuji, BPV4の動作はenableに相当します。

IPsecセキュリティポリシーの設定

キー バリュー
ipsec.security-policy.[]...
IPsecセキュリティポリシー
設定上限
1024個
ipsec.security-policy.[].source.address
送信元IPアドレスによる条件
制約事項:
省略不可
<IPv4address/Prefixlen>
ネットワーク内のIPv4アドレス
<IPv6address/Prefixlen>
ネットワーク内のIPv6アドレス
<Interface>
インタフェースが持つIPアドレス(ホストアドレス)
  • bridge[]
  • ge[]
  • lag[]
  • ppp[]
  • pppoe[]
  • vlan[]
any
任意のIPアドレス
ipsec.security-policy.[].source.port
送信元ポート番号による条件
<Number>
範囲
1-65535
any
すべてのポート番号
デフォルト値
any
ipsec.security-policy.[].destination.address
送信先IPアドレスによる条件
制約事項:
省略不可
<IPv4address/Prefixlen>
ネットワーク内のIPv4アドレス
<IPv6address/Prefixlen>
ネットワーク内のIPv6アドレス
any
任意のIPアドレス
注:
...source.address : anyと同時に設定できません。
ipsec.security-policy.[].destination.port
送信先ポートによる条件
<Number>
範囲
1-65535
any
すべてのポート番号
デフォルト値
any
ipsec.security-policy.[].protocol
プロトコルによる条件
<Number>
プロトコル番号
範囲
0-254
<Keyword>
プロトコル名
候補
ipv4 | ipv6 | icmp | tcp | udp | igmp | ah | esp
any
すべてのプロトコル
デフォルト値
any
注:
any以外を指定した場合、フラグメントパケット(他のルータがフラグメント化したパケット)はセキュリティポリシーにマッチしません。
ipsec.security-policy.[].security-association
セキュリティポリシーに一致したパケットの送信に使用するIPsec-SA
制約事項:
省略不可
sa[]
使用するIPsec-SA
注:
未設定のIPsec-SAを指定できません。
pass
暗号化せず経路表に従って転送する
block
暗号化せず破棄する

Note

  • IPsecセキュリティポリシーに関連付けられていないIPsec-SAは無効化されます。
  • IPsecまたはIKEに関するキーの設定が変更されると、当該IPsec-SAのIPsec/IKE接続はクリアされます。

IPsecセキュリティアソシエーションプロポーザル(IKE Phase-2 プロポーザル)の設定

注:
対向装置とパラメータのすり合わせが必要な場合に設定します。
キー バリュー
ipsec.security-policy.[].ike.proposal.authentication.[].algorithm
IKE Phase2プロポーザルに含める認証アルゴリズム
設定上限
4個
<Keyword>
使用可能な認証アルゴリズム
hmac-sha512, hmac-sha384, hmac-sha256, hmac-sha1, hmac-md5
  • 未指定時はhmac-sha256, hmac-sha1をプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
ipsec.security-policy.[].ike.proposal.encryption.[].algorithm
IKE Phase2プロポーザルに含める暗号アルゴリズム
設定上限
4個
<Keyword>
使用可能な暗号アルゴリズム
aes128, aes192, aes256, 3des, des
  • 未指定時はaes256, aes128, 3desをプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
ipsec.security-policy.[].ike.proposal.lifetime-of-time
IKE Phase2プロポーザルに含めるIPsec SAのライフタイム
<Time>
範囲 書式
1m-1440h [書式の詳細]
デフォルト値
8h
ipsec.security-policy.[].ike.proposal.pfs-group
IKE Phase2プロポーザルに含めるIPsec SAのPFSグループ
<Keyword>
使用可能なPFSグループ
modp1024, modp1536, modp2048, modp3072, modp4096, mopd6144, modp8192

ike

IKEを設定する

キー バリュー
ike.peer.[]...
IKEピア
設定上限
512
ike.peer.[].exchange-mode
IKEの鍵交換モード
制約事項:
省略不可
main
メインモード
aggressive
アグレッシブモード
ike.peer.[].address
IKE対向のIPアドレス
制約事項:
省略不可
<IPv4address>
IPv4アドレス
<IPv6address>
IPv6アドレス
dynamic
動的IPアドレスを使用する
注:
  • ...exchange-mode : aggressive の指定が必要です
  • ...peers-identifier.type に fqdn または user-fqdn の指定が必要です
ike.peer.[].preshared-key
IKEの事前共有鍵
制約事項:
省略不可
<String>
文字数 使用できない文字
1-128 空白
ike.peer.[].my-identifier.type
自己識別子の種類
address
送信パケットの送信元IPアドレス
fqdn
FQDN(ドメイン形式)
注:
...my-identifier.fqdn を設定する必要があります。
user-fqdn
ユーザFQDN(メールアドレス形式)
注:
...my-identifier.user-fqdn を設定する必要があります。
デフォルト値
address
ike.peer.[].my-identifier.fqdn
FQDN形式の自己識別子
<String>
文字数
1-255
ike.peer.[].my-identifier.user-fqdn
ユーザFQDN形式の自己識別子
<String>
文字数
3-255
ike.peer.[].peers-identifier.type
相手識別子の種類
address
受信パケットの送信元IPアドレス
fqdn
FQDN(ドメイン形式)
注:
...peers-identifier.fqdnを設定する必要があります。
user-fqdn
ユーザFQDN(メールアドレス形式)
注:
...peers-identifier.user-fqdnを設定する必要があります。
デフォルト値
address
ike.peer.[].peers-identifier.fqdn
FQDN形式の相手識別子
<String>
文字数
1-255
ike.peer.[].peers-identifier.user-fqdn
ユーザFQDN形式の相手識別子
<String>
文字数
3-255
ike.peer.[].dpd
DPD (Dead Peer Detection)の使用
enable
有効化
disable
無効化
デフォルト値
disable
ike.peer.[].nat-traversal
IPsec NAT Traversalの使用
enable
有効化
  • アドレス書換を検知するとUDPによるカプセル化を適用します。
force
強制モードで有効化
  • アドレス書換の有無によらずUDPによるカプセル化を適用します。
disable
無効化
  • アドレス書換を検知せずUDPによるカプセル化を適用しません。
デフォルト値
enable
ike.peer.[].check-level
パラメータの同一性確認の厳密さ
デフォルト値
obey
obey
IKE Phase2のlifetime及びPFSは始動側に従う
claim
IKE Phase2のlifetimeは短いものを、PFSは一致したものを使用する
strict
IKE Phase2のlifetimeは始動側が短ければ使用し、PFSは一致したものを使用する
exact
IKE Phase2のlifetime及びPFSは一致したもののみ使用する
ike.peer.[].initial-contact
INITIAL-CONTACTメッセージの送信
enable
有効化
disable
無効化
デフォルト値
enable
ike.peer.[].nonce-size
暗号化前にNonce 値の大きさ
<Size>
範囲 単位
8-256 Octet
デフォルト値
16
ike.peer.[].responder-only
IKE Phase1の開始を待ち受けのみとする
enable
有効化
disable
無効化
デフォルト値
disable
ike.peer.[].prefer-new-phase1
IKE Phase1(ISAKMP SA)が更新されたとき、既存のIKE Phase2(IPsec SA)を新しいIKE Phase1に関連付ける
enable
有効化
disable
無効化
デフォルト値
disable

IKEプロポーザル(IKE Phase-1 プロポーザル)の設定

注:
対向装置とパラメータのすり合わせが必要な場合に設定します。
キー バリュー
ike.peer.[].proposal.dh-group
IKE Phase1プロポーザルに含めるISAKMP SAのDHグループ
<Keyword>
使用可能なDHグループ
modp1024, modp1536, modp2048, modp3072, modp4096, mopd6144, modp8192
デフォルト値
modp1536
ike.peer.[].proposal.hash.[].algorithm
IKE Phase1プロポーザルに含めるハッシュアルゴリズム
設定上限
4個
<Keyword>
使用可能なハッシュアルゴリズム
sha1, sha256, sha384, sha512, md5
  • 未指定時はsha256, sha1をプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
ike.peer.[].proposal.encryption.[].algorithm
IKE Phase1プロポーザルに含める暗号アルゴリズム
設定上限
4個
<Keyword>
使用可能な暗号アルゴリズム
aes128, aes192, aes256, 3des, des
  • 未指定時はaes256, aes128, 3desをプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
ike.peer.[].proposal.lifetime
IKE Phase1プロポーザルに含めるISAKMP SAのライフタイム
<Time>
範囲 書式
1m-1440h [書式の詳細]
デフォルト値
24h

IKEのオプション設定

IKEの動作を調整する必要がある場合に設定します。IKEを使用するすべての機能に影響します。

キー バリュー
ike.auto-initiation
IKEセッションの自動始動
enable
有効化
disable
無効化
デフォルト値
enable
ike.nat-keepalive-interval
NAT-Traversal使用時にNATセッションを維持するためのキープアライブパケットの送信間隔
<Time>
範囲 単位
5-3600
none
キープアライブパケットを送信しない
デフォルト値
120
ike.dpd-interval
DPD使用時のDPDメッセージの送信間隔
<Time>
範囲 単位
1-3600
デフォルト値
20
ike.dpd-maxfail
セッション断とみなすDPDメッセージ無応答回数
<Number>
範囲 単位
1-20
デフォルト値
5
ike.phase1-timeout
IKE Phase1 のタイムアウト
<Time>
範囲 単位
1-86400
デフォルト値
30
ike.phase2-timeout
IKE Phase2 のタイムアウト
<Time>
範囲 単位
1-86400
デフォルト値
30
ike.retry
IKEパケットの再送回数
<Number>
範囲 単位
1-60
デフォルト値
5
ike.interval
IKEパケットの再送間隔
<Number>
範囲 単位
1-300
デフォルト値
10
ike.per-send
IKEパケットの送信個数
<Number>
範囲 単位
1-10
デフォルト値
1
ike.randomize-padding-value
IKEパケットのパディング値のランダム化
enable
有効化
disable
無効化
デフォルト値
enable
ike.randomize-padding-length
IKEパケットのパディング長のランダム化
enable
有効化
disable
無効化
デフォルト値
disable
ike.maximum-padding-length
IKEパケットのランダム化したパディング長の最大値
<Size>
範囲 単位
1-1500 Octet
デフォルト値
20
ike.exclusive-tail
IKEパケットのパディング末尾にパディング長を付加する
enable
有効化
disable
無効化
デフォルト値
enable
ike.strict-padding-byte-check
IKEパケットのパディング長の厳密な検査
enable
有効化
disable
無効化
デフォルト値
disable

Note

  • IPsecまたはIKEに関するキーの設定が変更されると、当該IPsec-SAのIPsec/IKE接続は一旦切断され再接続を試みます。