FutureNet

NXR,WXRシリーズ

VXRシリーズ編

3. Cloudn Compute(VPCタイプOpenNW) VPN接続設定

3-4. IKEモードコンフィグ(Xauth+PSK)接続設定(VPCタイプOpenNW)

この設定例ではVXR-x86のIKEモードコンフィグ機能を利用してAndroidやiOSのスマートフォンに搭載されているIPsec機能とVPN接続します。そして認証に事前共有鍵とXauthを利用します。
なお、この設定例は弊社独自の検証結果を元に作成しております。よって、AndroidやiOSのスマートフォンとの接続を保証するものではありません。

 

【 構成図 】

  • 認証には事前共有鍵(PSK)とXauthを使用します。
  • この設定例では、キャリアグレードNAT等を含むNAPTルータ配下からも接続できるようにするため、NATトラバーサルを有効にします。

 

【 設定データ 】

設定項目 設定内容
ホスト名 VXR
LAN側インタフェース ethernet0のIPアドレス 192.168.10.1/24
WAN側インタフェース ethernet1のIPアドレス 192.168.11.1/24
IPsecローカルポリシー 1
スタティックルート 宛先IPアドレス 0.0.0.0/0
ゲートウェイ(IPアドレス) 192.168.11.254
IPsec IPsecアクセスリスト リスト名 RemoteAccess
送信元IPアドレス any
宛先IPアドレス host
Xauth No.1 ユーザID android01
パスワード android01pass
No.2 ユーザID ios01
パスワード ios01pass
NATトラバーサル 有効
IPsecローカルポリシー1 address ip
IPsec ISAKMPポリシー1 名前 smartphone
認証方式 pre-share
認証鍵 ipseckey
Xauthモード server
アドレスプール smartphoneip
認証アルゴリズム sha1
暗号化アルゴリズム aes128
DHグループ 5
ライフタイム 86400秒
ISAKMPモード メインモード
リモートアドレス any
ローカルポリシー 1
 IPsecトンネルポリシー1 名前 smartphone
ネゴシエーションモード レスポンダ
認証アルゴリズム sha1
暗号化アルゴリズム aes128
PFS 無効
ライフタイム 28800秒
ISAKMPポリシー 1
IPsecアクセスリスト RemoteAccess
ipsec local pool プール名 smartphoneip
IPアドレス払い出し範囲 172.16.0.0/24
SSHサーバ 有効
DNS サービス 有効
DNSサーバ プライマリ 192.168.11.254

【 設定例 】

vxr-x86#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
vxr-x86(config)#hostname VXR
VXR(config)#interface ethernet 0
VXR(config-if)#ip address 192.168.10.1/24
VXR(config-if)#exit
VXR(config)#ip route 0.0.0.0/0 192.168.11.254
VXR(config)#ipsec access-list RemoteAccess ip any host
VXR(config)#ipsec xauth username android01 password android01pass
VXR(config)#ipsec xauth username ios01 password ios01pass
VXR(config)#ipsec local pool smartphoneip address 172.16.0.0/24
VXR(config)#ipsec nat-traversal enable
% restart ipsec service to take affect.
VXR(config)#ipsec local policy 1
VXR(config-ipsec-local)#address ip
VXR(config-ipsec-local)#exit
VXR(config)#ipsec isakmp policy 1
VXR(config-ipsec-isakmp)#description smartphone
VXR(config-ipsec-isakmp)#authentication pre-share ipseckey
VXR(config-ipsec-isakmp)#xauth mode server
VXR(config-ipsec-isakmp)#client configuration address-pool local smartphoneip
VXR(config-ipsec-isakmp)#hash sha1
VXR(config-ipsec-isakmp)#encryption aes128
VXR(config-ipsec-isakmp)#group 5
VXR(config-ipsec-isakmp)#lifetime 86400
VXR(config-ipsec-isakmp)#isakmp-mode main
VXR(config-ipsec-isakmp)#remote address ip any
VXR(config-ipsec-isakmp)#local policy 1
VXR(config-ipsec-isakmp)#exit
VXR(config)#ipsec tunnel policy 1
VXR(config-ipsec-tunnel)#description smartphone
VXR(config-ipsec-tunnel)#negotiation-mode responder
VXR(config-ipsec-tunnel)#set transform esp-aes128 esp-sha1-hmac
VXR(config-ipsec-tunnel)#no set pfs
VXR(config-ipsec-tunnel)#set sa lifetime 28800
VXR(config-ipsec-tunnel)#set key-exchange isakmp 1
VXR(config-ipsec-tunnel)#match address RemoteAccess
VXR(config-ipsec-tunnel)#exit
VXR(config)#interface ethernet 1
VXR(config-if)#ip address 192.168.11.1/24
VXR(config-if)#ipsec policy 1
VXR(config-if)#exit
VXR(config)#ssh-server enable
VXR(config)#dns
VXR(config-dns)#service enable
VXR(config-dns)#address 192.168.11.254
VXR(config-dns)#exit
VXR(config)#fast-forwarding enable
VXR(config)#exit
VXR#save config

【 設定例解説 】

1. <ホスト名の設定>
vxr-x86(config)#hostname VXR

ホスト名を設定します。

 

2. <LAN側(ethernet0)インタフェース設定>
VXR(config)#interface ethernet 0
VXR(config-if)#ip address 192.168.10.1/24

ethernet0インタフェースのIPアドレスを設定します。

 

3. <スタティックルート設定>
VXR(config)#ip route 0.0.0.0/0 192.168.11.254

デフォルトルートを設定します。

 

4. <IPsecアクセスリスト設定>
VXR(config)#ipsec access-list RemoteAccess ip any host

RemoteAccessという名前のIPsecアクセスリストを設定します。なお、送信元IPアドレスはany,宛先IPアドレスはhostとします。

 

5. <IPsec Xauth設定>
VXR(config)#ipsec xauth username android01 password android01pass
VXR(config)#ipsec xauth username ios01 password ios01pass

IPsec Xauth認証用のユーザID,パスワードを設定します。

 

6. <IPsec IPアドレスプール設定>
VXR(config)#ipsec local pool smartphoneip address 172.16.0.0/24

IPsec IPアドレスプール名をsmartphoneipとし、スマートフォンに割り当てるIPアドレスを設定します。

 

7. <IPsec NATトラバーサル設定>
VXR(config)#ipsec nat-traversal enable

NATトラバーサルを有効にします。

 

8. <IPsecローカルポリシー設定>
VXR(config)#ipsec local policy 1
VXR(config-ipsec-local)#address ip

IPsecトンネルの送信元IPアドレスをip(IPv4)と設定します。

 

9. <IPsec ISAKMPポリシー設定>
VXR(config)#ipsec isakmp policy 1
VXR(config-ipsec-isakmp)#description smartphone
VXR(config-ipsec-isakmp)#authentication pre-share ipseckey

ISAKMPポリシーの説明としてsmartphone、認証方式としてpre-share(事前共有鍵)を選択し事前共有鍵ipseckeyを設定します。なお、事前共有鍵はスマートフォンと共通の値を設定します。

VXR(config-ipsec-isakmp)#xauth mode server

Xauthをサーバモードに設定します。

VXR(config-ipsec-isakmp)#client configuration address-pool local smartphoneip

IKEモードコンフィグで使用するIPsec IPアドレスプール名を設定します。

VXR(config-ipsec-isakmp)#hash sha1
VXR(config-ipsec-isakmp)#encryption aes128
VXR(config-ipsec-isakmp)#group 5
VXR(config-ipsec-isakmp)#lifetime 86400
VXR(config-ipsec-isakmp)#isakmp-mode main

認証アルゴリズムとしてsha1、暗号化アルゴリズムとしてaes128,Diffie-Hellman(DH)グループとしてgroup 5、ISAKMP SAのライフタイムとして86400秒、フェーズ1のネゴシエーションモードとしてメインモードを設定します。

VXR(config-ipsec-isakmp)#remote address ip any
VXR(config-ipsec-isakmp)#local policy 1

リモートアドレスにanyを設定します。また、IPsecローカルポリシー1と関連づけを行います。

 

10. <IPsec トンネルポリシー設定>
VXR(config)#ipsec tunnel policy 1
VXR(config-ipsec-tunnel)#description smartphone
VXR(config-ipsec-tunnel)#negotiation-mode responder

IPsecトンネルポリシーの説明としてsmartphone、ネゴシエーションモードとしてresponderを設定します。

VXR(config-ipsec-tunnel)#set transform esp-aes128 esp-sha1-hmac
VXR(config-ipsec-tunnel)#no set pfs
VXR(config-ipsec-tunnel)#set sa lifetime 28800

暗号化アルゴリズムとしてaes128、認証アルゴリズムとしてsha1、PFSを無効、IPsec SAのライフタイムとして28800秒を設定します。

VXR(config-ipsec-tunnel)#set key-exchange isakmp 1
VXR(config-ipsec-tunnel)#match address RemoteAccess

ISAKMPポリシー1と関連づけを行い、IPsecアクセスリストRemoteAccessを設定します。

 

11. <WAN側(ethernet1)インタフェース設定>
VXR(config)#interface ethernet 1
VXR(config-if)#ip address 192.168.11.1/24
VXR(config-if)#ipsec policy 1

ethernet1インタフェースのIPアドレスを設定します。また、IPsecトンネルのエンドポイントとなるためIPsecローカルポリシー1を設定します。

 

12. <SSHサーバ設定>
VXR(config)#ssh-server enable

SSHサーバを有効にします。
(☞) この設定例ではコンソール以外からのアクセス方法としてSSHサーバを設定しています。

 

13. <DNS設定>
VXR(config)#dns
VXR(config-dns)#service enable
VXR(config-dns)#address 192.168.11.254

DNSサービスを有効にします。また、VRをプライマリDNSサーバとして設定します。

 

【 スマートフォンの設定例 】

〔Androidの設定〕

(☞) ここで記載した設定はあくまで一例ですので、ご利用頂いているAndroid端末によって設定が異なる場合があります。設定の詳細はご利用中のAndroid端末の取扱説明書等をご確認下さい。
(☞) この設定例はAndroid端末との接続性を保証するものではありません。ご利用頂く際には十分な検証を行った上でのご利用をお願い致します。
(☞) 設定はNXRシリーズとの接続と同様です。

 

  1. メニュー画面から「設定」をタップします。
  2. 設定画面で「無線とネットワーク」をタップします。
  3. 無線とネットワーク画面で「VPN設定」をタップします。
  4. VPN設定画面で「VPNネットワークの追加」をタップします。
  5. VPNネットワークの編集で次の各項目を設定し保存します。

    設定項目 設定値 備考
    名前 NXR IPsec PSK 任意の名称を設定します
    タイプ IPSec Xauth PSK
    サーバーアドレス 10.10.10.1 VRのWAN側IPアドレスを設定します
    IPSec ID (未使用) この設定例では使用していません
    IPSec事前共有鍵 ipseckey VXRで設定した事前共有鍵を設定します
    詳細オプションを表示する 無効
  6. 設定保存後、VPN名「NXR IPsec PSK」が作成されますので、作成した「NXR IPsec PSK」をタップします。
  7. ユーザ名とパスワードの入力画面が表示されますので、IPsec用に設定したXauthのユーザ名とパスワードを入力し、接続をタップするとVPN接続を開始します。
  8. 接続が完了(成功)するとVPN名の下に「接続されました」と表示されます。

 

〔iOSの設定〕

(☞) ここで記載した設定はあくまで一例ですので、ご利用頂いているiOS端末によって設定が異なる場合があります。設定の詳細はご利用中のiOS端末の取扱説明書等をご確認下さい。
(☞) この設定例はiOS端末との接続性を保証するものではありません。ご利用頂く際には十分な検証を行った上でのご利用をお願い致します。
(☞) 設定はNXRシリーズとの接続と同様です。

 

  1. ホーム画面から「設定」をタップします。
    xauth-ios01
  2. 設定画面で「VPN」をタップします。
    xauth-ios02
  3. VPN画面で「VPN構成を追加…」をタップします。
    ※この例では「test1~4」という設定が定義されているところにVPN設定を追加します。
    xauth-ios03
  4. 構成を追加画面で「IPsec」を選択し以下の各項目を設定し保存します。
    xauth-ios04

    設定項目 設定値 備考
    説明 NXR IPsec PSK 任意の名称を設定します
    サーバ 10.10.10.1 VRのWAN側IPアドレスを設定します
    アカウント ios01 Xauthのユーザ名を設定します
    パスワード ios01pass Xauthのパスワードを設定します
    証明書を使用 オフ
    グループ名 空欄
    シークレット ipseckey VXRで設定した事前共有鍵を設定します
  5. VPN構成「NXR IPsec PSK」が作成されますので、チェックがついていることを確認します。
    チェックがついていない場合は作成したVPN構成をタップします。
    そしてVPNをオンにしVPN接続を開始します。
    xauth-ios05
  6. VPN接続完了後は以下のような画面が表示されます。
    xauth-ios06なお、「状況」をタップすることでIPアドレスなどのVPN接続情報が表示されます。

    xauth-ios08