フレッツグループアクセスを使うようになり、インターネットVPNは使う必要がなくなりましたが、configを残しておきます。
センター拠点を中心とした「スター型インターネットVPN」構成です。
VPN構成
- センター拠点0(RTX1100→192.168.10.1):192.168.10.0/24 ISP0
- 拠点1(RT57i→192.168.11.1):192.168.11.0/24 ISP1
- 拠点2(RTV700→192.168.12.1):192.168.11.0/24 ISP2
センター拠点と拠点1はPPTPによるLAN間接続
センター拠点と拠点2はIPsecによるLAN間接続
VPN設定
センター拠点(YAMAHA RTX1100使用)
lan1アドレス設定
- ip lan1 address 192.168.10.1/24
RTX1100のlan1アドレスを192.168.10.1/24に設定する
インターネット接続用のpp1を定義
- pp select 1
- pppoe auto connect on
自動接続を有効にする - pppoe auto disconnect off
自動切断を無効にする - pppoe use lan2
lan2をpp1に使用する - pp auth accept pap chap mschap mschap-v2
→認証方式の選択(papは平文 chapは暗号化) - pp auth myname (ISP0に接続するID) (パスワード)
→ISP0に接続するためのIDとパスワードを指定 - pp always-on on
→PPPoE常時接続を有効にする - ppp lcp mru on 1454
→mru(maximum receive unit)を1454バイトに指定 - ppp ipcp ipaddress on
→ISPから自動的に固定グローバルアドレスを取得する - ip pp mtu 1454
→mtu(maximum transfer unit)を1454バイトに指定 - ppp ipcp msext on
- ppp ccp type none
→圧縮を使用しない - ip pp secure filter in 1020 1030 1040 1041 1052 1053 2000
- ip pp secure filter out 1010 1011 1012 1013 1014 1015 1050 1051 3000 dynamic 100 101 102 103 104 105 106 107
- ip pp nat descriptor 1
- ip pp intrusion detection in on reject=on
- pp enable 1
→pp1を有効にする - ip route default gateway pp 1
IPフィルター設定一覧
- ip filter source-route on
- ip filter directed-broadcast on
WindowsのRPCと、NBT関連の通信を遮断するフィルター
- ip filter 1010 reject * * udp,tcp 135 *
- ip filter 1011 reject * * udp,tcp * 135
- ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
- ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
- ip filter 1014 reject * * udp,tcp 445 *
- ip filter 1015 reject * * udp,tcp * 445
#LAN側のIPアドレスを送信元、あるいは宛先として詐称している通信を遮断するフィルター
- ip filter 1020 reject 192.168.10.0/24 *
- ip filter 1030 pass * 192.168.10.0/24 icmp
#PPTPを通すために必要なフィルター - ip filter 1040 pass * 192.168.10.1 tcp * 1723
- ip filter 1041 pass * 192.168.10.1 gre
#IPsecを通すために必要なフィルター - ip filter 1050 pass (センター拠点のグローバルアドレス) (拠点2のグローバルアドレス) udp * 500
- ip filter 1051 pass (センター拠点のグローバルアドレス) (拠点2のグローバルアドレス) esp * *
- ip filter 1052 pass (拠点2のグローバルアドレス) 192.168.10.1 udp * 500
- ip filter 1053 pass (拠点2のグローバルアドレス) 192.168.10.1 esp * *
#すべての通信を明示的に遮断 - ip filter 2000 reject * *
#フィルターで遮断しない通信を、すべて明示的に通過させる - ip filter 3000 pass * *
#動的フィルターの設定一覧 - ip filter dynamic 100 * * ftp
- ip filter dynamic 101 * * www
- ip filter dynamic 102 * * domain
- ip filter dynamic 103 * * smtp
- ip filter dynamic 104 * * pop3
- ip filter dynamic 105 * * netmeeting
- ip filter dynamic 106 * * tcp
- ip filter dynamic 107 * * udp
natの設定
- nat descriptor type 1 masquerade
- nat descriptor address inner 1 192.168.10.1-192.168.10.254
- nat descriptor address outer 1 ipcp
- nat descriptor masquerade static 1 1 192.168.10.1 tcp 1723
- nat descriptor masquerade static 1 2 192.168.10.1 gre
- nat descriptor masquerade static 1 3 192.168.10.1 udp 500
- nat descriptor masquerade static 1 4 192.168.10.1 esp
拠点1(PPTP用)のpp2を定義
pp select 2
pp bind tunnel1→tunnel1とbindさせる
pp auth request mschap
pp auth username kyoten1 kyoten1
→PPTP接続用のIDとパスワードをともにkyoten1とする
ppp ccp type mppe-any
pptp service type server→pptpサーバーに設定する
pptp tunnel disconnect time off
pptp keepalive use on
pp enable 2
tunnnel1(PPTP用)を定義
tunnel select 1
tunnel encapsulation pptp→PPTPを使用
tunnel endpoint address (拠点1のグローバルアドレス)
tunnel enable 1→pp1を有効にする
ip route 192.168.11.0/24 gateway tunnel 1
tunnel2(IPsec用)を定義
tunnel select 2
ipsec tunnel 2
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
→暗号化espを指定 3DESを指定
ipsec ike local address 1 192.168.10.1
→local側のプライベートアドレスを指定
ipsec ike pre-shared-key 1 text (事前共有鍵パスワード)
→事前共有鍵パスワードを指定する
ipsec ike remote address 1 (拠点2対向ルーターのグローバルアドレス)
→対向側のグローバルアドレス
tunnel enable 2
→tunnel2を有効にする
ip route 192.168.12.0/24 gateway tunnel 2
ipsec auto refresh on
DNSの設定
dns server (ISP0より指定されたDNSサーバのアドレス)
dns private address spoof on
DHCPの設定
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.10.2-192.168.10.100/24
→192.168.10.2~192.168.10.100までをDHCPで自動設定
拠点1(YAMAHA RT57i使用)
ip lan1 address 192.168.11.1/24
pp1の設定
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect off
pppoe auto disconnect off
pp auth accept pap chap mschap mschap-v2
pp auth myname (ISP1へ接続するID) (ISP1へ接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp secure filter in 1020 1030 1040 1041 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102
103 104 105 106 107
ip pp nat descriptor 1
pp enable 1
ip route default gateway pp 1
pp2の設定
pp select 2
pp bind tunnel1
pp always-on on
pp auth accept mschap-v2
pp auth myname kyoten1 kyoten1
ppp ipcp ipaddress on
ppp ccp type mppe-any
ppp ipv6cp use off
pptp service type client
pp enable 1
tunnnelの設定
tunnel select 1→tunnnel1(PPTP用)を定義
tunnel encapsulation pptp→PPTPを使用
tunnel endpoint address (センター拠点のグローバルアドレス)
pptp tunnel disconnect time off
tunnel enable 1→pp1を有効にする
ip route 192.168.10.0/24 gateway tunnel 1
ip route 192.168.12.0/24 gateway tunnel 1
IPフィルターの設定
ip filter source-route on
ip filter directed-broadcast on
#WindowsのRPCと、NBT関連の通信を遮断するフィルター
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
#LAN側のIPアドレスを送信元、あるいは宛先として詐称している通信を遮断するフィルター
ip filter 1020 reject 192.168.11.0/24 *
ip filter 1030 pass * 192.168.11.0/24 icmp
#PPTPを通すために必要なフィルター
ip filter 1040 pass * 192.168.11.1 tcp * 1723
ip filter 1041 pass * 192.168.11.1 gre
#すべての通信を明示的に遮断
ip filter 2000 reject * *
#フィルターで遮断しない通信を、すべて明示的に通過させる
ip filter 3000 pass * *
#動的フィルターの設定一覧
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
natの設定
nat descriptor type 1 masquerade
nat descriptor address inner 1 192.168.11.1-192.168.11.254
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.11.1 tcp 1723
nat descriptor masquerade static 1 2 192.168.11.1 gre
DNSの設定
dns server (ISP1より指定されたDNSサーバのアドレス)
dns private address spoof on
DHCPの設定
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.11.2-192.168.11.100/24
→192.168.11.2~192.168.11.100までをDHCPで自動設定
拠点2(YAMAHA RTV700使用)
ip lan1 address 192.168.12.1/24
pp1の設定
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISP2へ接続するID) (ISP2へ接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ip pp secure filter in 1020 1030 1040 1052 1053 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 1050 1051 3000 dynamic 100 101 102
103 104 105 106 107
ip pp nat descriptor 1
pp enable 1
ip route default gateway pp 1
tunnelの設定
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike local 1 192.168.12.1
ipsec ike pre-shared-key 1 text (事前共有鍵パスワード)
ipsec ike remote address 1 (センター拠点グローバルアドレス)
tunnel enable 1
ip route 192.168.10.0/24 gateway tunnel 1
ip route 192.168.11.0/24 gateway tunnel 1
ipsec auto refresh on
IPフィルターの設定
ip filter source-route on
ip filter directed-broadcast on
#WindowsのRPCと、NBT関連の通信を遮断するフィルター
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
#LAN側のIPアドレスを送信元、あるいは宛先として詐称している通信を遮断するフィルター
ip filter 1020 reject 192.168.12.0/24 *
ip filter 1030 pass * 192.168.12.0/24 icmp
ip filter 1050 pass (拠点2のグローバルアドレス) (センター拠点のグローバルアドレス) udp * 500
ip filter 1051 pass (拠点2のグローバルアドレス) (センター拠点のグローバルアドレス)esp * *
ip filter 1052 pass (センター拠点のグローバルアドレス) 192.168.12.1 udp * 500
ip filter 1053 pass (センター拠点のグローバルアドレス) 192.168.12.1 esp * *
#すべての通信を明示的に遮断
ip filter 2000 reject * *
#フィルターで遮断しない通信を、すべて明示的に通過させる
ip filter 3000 pass * *
#動的フィルターの設定一覧
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
natの設定
nat descriptor type 1 masquerade
nat descriptor address inner 1 192.168.12.1-192.168.12.254
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.12.1 udp 500
nat descriptor masquerade static 1 2 192.168.12.1 esp
DNSの設定
dns server (ISP2より指定されたDNSサーバのアドレス)
dns private address spoof on
DHCPの設定
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.12.2-192.168.12.100/24
→192.168.12.2~192.168.12.100までをDHCPで自動設定