PPTPによるリモートアクセス設定を紹介しましたが、安全性を考慮した場合PPTPによる常時接続は問題があります。無線LANのWEPのように簡単に破られるわけではないので、一時的なリモートアクセスなら問題ありません。
PPTPによるリモートアクセスを使いたくない場合、IPsecによるリモートアクセスを使うことになります。
WindowsにはIPsecによるリモートアクセスを装備してますが、「アグレッシブモード」に対応していないので「メインモード」を使う事になります。メインモードだとイニシエーター側(発信側)にも固定アドレスが必要となり、リモートアクセスだと使いにくい。
YAMAHAではIPsecによるリモートアクセスを実現するために「YMS-VPN1」を提供しています。アグレッシブモードにも対応。
今回はYMS-VPN1を使ったIPsecによるリモートアクセス設定を紹介します。
YMS-VPN1の設定方法
RTX1100側のLANアドレスを192.168.100.1/24とします。
リモートアクセス側のYMS-VPN1の仮想内部アドレスを192.168.110.1/24とします。
RTX1100側
ip route default gateway pp 1 ip route 192.168.110.0/24 gateway tunnel 1 →ipsecによるリモートアクセスの場合は静的経路情報が必要 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.100.1/24 インターネット接続用pp設定 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap mschap mschap-v2 pp auth myname (ISPのID) (ISP接続パスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ip pp mtu 1454 ip pp secure filter in 1000 1001 1002 1003 1004 1020 1021 1022 1023 1024 1025 1041 1042 4000 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1020 1021 1022 1023 1024 1025 3000 dynamic 1080 1081 1082 1083 1084 105 1098 1099 ip pp intrusion detection in on reject=on ip pp intrusion detection out on reject=on ip pp nat descriptor 1 pp enable 1 ★以下フィルター設定 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.100.0/24 * ip filter 1030 pass * 192.168.100.0/24 icmp ip filter 1041 pass * 192.168.100.1 udp * 500 ip filter 1042 pass * 192.168.100.1 esp →ipsecの通信をセンター側プライベートアドレスに通過させる ip filter 2000 reject * * ip filter 3000 pass * * ip filter 4000 pass * 192.168.100.0/24 icmp * * ip filter dynamic 1080 * * ftp ip filter dynamic 1081 * * www ip filter dynamic 1082 * * domain ip filter dynamic 1083 * * smtp ip filter dynamic 1084 * * pop3 ip filter dynamic 1098 * * tcp ip filter dynamic 1099 * * udp ★以下natの設定 nat descriptor type 1 masquerade nat descriptor address inner 1 192.168.100.1-192.168.100.254 nat descriptor address outer 1 ipcp nat descriptor masquerade static 1 1 192.168.100.1 udp 500 nat descriptor masquerade static 1 2 192.168.100.1 esp →IPsecで利用するudp500とespをNATします。 tunnel設定 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike pre-shared-key 1 text (事前共有鍵) →事前共有鍵を仮にABCD1234とする ipsec ike remote address 1 any →接続するリモート側を制限しない anonymous指定 ipsec ike remote name 1 (接続名) →接続名を仮にIPsec-VPNとする ipsec ike local address 1 192.168.100.1 →センター側ルーターのプライベートアドレスを指定する tunnel enable 1
ヤマハVPNクライアント YMS-VPN1の設定
ヤマハのHPからYMS-VPN1をダウンロードしてインストールします。
事前共有鍵はRTX1100で仮に設定したABCD1234を入力し、接続先ゲートウェイはRTX1100のグローバルアドレスを入力する。