X
    Categories: IPsec

YMS-VPN1を使ってIPsecによるリモートアクセス

PPTPによるリモートアクセス設定を紹介しましたが、安全性を考慮した場合PPTPによる常時接続は問題があります。無線LANのWEPのように簡単に破られるわけではないので、一時的なリモートアクセスなら問題ありません。

PPTPによるリモートアクセスを使いたくない場合、IPsecによるリモートアクセスを使うことになります。

WindowsにはIPsecによるリモートアクセスを装備してますが、「アグレッシブモード」に対応していないので「メインモード」を使う事になります。メインモードだとイニシエーター側(発信側)にも固定アドレスが必要となり、リモートアクセスだと使いにくい。

YAMAHAではIPsecによるリモートアクセスを実現するために「YMS-VPN1」を提供しています。アグレッシブモードにも対応。

今回はYMS-VPN1を使ったIPsecによるリモートアクセス設定を紹介します。

 

YMS-VPN1の設定方法

RTX1100側のLANアドレスを192.168.100.1/24とします。
リモートアクセス側のYMS-VPN1の仮想内部アドレスを192.168.110.1/24とします。

RTX1100側

ip route default gateway pp 1
ip route 192.168.110.0/24 gateway tunnel 1
→ipsecによるリモートアクセスの場合は静的経路情報が必要
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.100.1/24
インターネット接続用pp設定
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap mschap mschap-v2
pp auth myname (ISPのID) (ISP接続パスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ip pp mtu 1454
ip pp secure filter in 1000 1001 1002 1003 1004 1020 1021 1022 1023 1024 1025 1041 1042 4000 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1020 1021 1022 1023 1024 1025 3000 dynamic 1080 1081 1082 1083 1084 105 1098 1099
ip pp intrusion detection in on reject=on
ip pp intrusion detection out on reject=on
ip pp nat descriptor 1
pp enable 1
★以下フィルター設定

ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.100.0/24 *
ip filter 1030 pass * 192.168.100.0/24 icmp
ip filter 1041 pass * 192.168.100.1 udp * 500
ip filter 1042 pass * 192.168.100.1 esp
→ipsecの通信をセンター側プライベートアドレスに通過させる
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter 4000 pass * 192.168.100.0/24 icmp * *
ip filter dynamic 1080 * * ftp
ip filter dynamic 1081 * * www
ip filter dynamic 1082 * * domain
ip filter dynamic 1083 * * smtp
ip filter dynamic 1084 * * pop3
ip filter dynamic 1098 * * tcp
ip filter dynamic 1099 * * udp
★以下natの設定

nat descriptor type 1 masquerade
nat descriptor address inner 1 192.168.100.1-192.168.100.254
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.100.1 udp 500
nat descriptor masquerade static 1 2 192.168.100.1 esp
→IPsecで利用するudp500とespをNATします。
tunnel設定
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike pre-shared-key 1 text (事前共有鍵)
→事前共有鍵を仮にABCD1234とする
ipsec ike remote address 1 any
→接続するリモート側を制限しない anonymous指定
ipsec ike remote name 1 (接続名)
→接続名を仮にIPsec-VPNとする
ipsec ike local address 1 192.168.100.1
→センター側ルーターのプライベートアドレスを指定する
tunnel enable 1

 

ヤマハVPNクライアント YMS-VPN1の設定

ヤマハのHPからYMS-VPN1をダウンロードしてインストールします。








事前共有鍵はRTX1100で仮に設定したABCD1234を入力し、接続先ゲートウェイはRTX1100のグローバルアドレスを入力する。

管理人: