ix vpn 設定例 21

新型コロナウィルスの影響で、多くの企業がリモートや在宅での勤務を開始しました。しかし、セキュリティの面で会社からしかアクセスできないデータやシステムは多いですよね。リモートワークでは、それらを使用できず仕事に支障が出るケースがあると思います。 暗号化：AES256　認証：SHA256 Inbound: device GigaEthernet0 ! IPアドレス：192.168.101.254 続いてVPNが正常にUPしているか確認します。, # show ipsec sa ! ! Diffie-Hellman Group：2 IX Series IX2215 (magellan-sec) Software, Version 9.2.20, RELEASE SOFTWARE Compiled Aug 19-Wed-2015 15:50:31 JST #2 by sw-build, coregen-9.2(20) ROM: System Bootstrap, Version 8.1 ESP, SPI is 0xe632bbed(3862084589) hostname R1 timezone +09 00 ! Perfect Forward Secrecy(PFS)を有効：有効 Transform is ESP-AES-256-HMAC-SHA2-256-128 リモートゲートウェイ：固定IPアドレス 認証方式：事前共有鍵 iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示, Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示, Network Time Protocol： ベスト プラクティス ホワイト ペーパー, 公開キー インフラストラクチャ コンフィギュレーション ガイド、Cisco IOS XE リリース 3S, Adaptive Security Appliance (ASA) Software, ソフトウェア バージョン 9.1(3) を実行する Cisco ASA 5510 適応型セキュリティ アプライアンス, Cisco IOS ソフトウェア バージョン 15.3(3)M1 を実行する Cisco 2900 シリーズ サービス統合型ルータ（ISR）, Cisco IOS ソフトウェア バージョン 15.2(4)M 以降を実行する Cisco ISR Generation 2（G2）, Cisco IOS XE ソフトウェア バージョン 15.2(4)S 以降を実行する Cisco ASR 1000 シリーズ アグリゲーション サービス ルータ, ソフトウェア バージョン 15.2(4)M 以降を実行する Cisco Connected Grid ルータ, 名義変更を取り扱う不正確な識別または必要のような発行された certi fi cate 内のエラー。. 秒：43200, ポリシーについては設定値のみ記載します。 暗号化：AES256　認証：SHA256 IX Series IX2215 (magellan-sec) Software, Version 9.2.20, RELEASE SOFTWARE Compiled Aug 19-Wed-2015 15:50:31 JST #2 by sw-build, coregen-9.2(20) ROM: System Bootstrap, Version 8.1 System Diagnostic, Version 8.1 Initialization Program, Version 8.1 System uptime is 0 minute System woke up by reload, caused by command execution System started at Sep 07-Mon-2015 15:46:40 JST System … ! ! ローカルID：無し, Phase2の作成 Router1(config)# sh ipsec sa 30代未経験からネットワークの業務を始めたため、仕事上問題と出会うことがあります。 その問題の解決策を自分の備忘録として、ブログに載せていこうかと思います。また自分で興味があったことなどちょこちょこ載せていければと思います。, 今回はFortigate60DとIX2215でIPsec-VPNを構築してみたいと思います。, もし、FortigateとYAMAHAのRTXのVPNが見たい方はこちらをご覧ください。, Fortigateを使ってIPSec-VPNを構築してみる（Fortigate60D-RTX1100編）, 以下サイトを参考にしながら構築してみました。 ! Dead Peer Detection：オンデマンド ! 設定方法 ngn網を活用したvpn構築・・・p.21~ ngn. こんにちは。30代未経験ネットワークエンジニアのshin@7月からセキュリティエンジニアになることが出来ましたです。 今回はFortigate60DとRTX1100でIPsec-VPNを構築してみたいと思います。 以下サイトを参考にしながら構築してみました。 ip tcp adjust-mss auto device GigaEthernet2 ! Outgoing interface is GigaEthernet0.1 ! ipsec remote-id ipsec-policy-forti 192.168.41.0/24, interface GigaEthernet2.0 necルータ ix2015の設定の設定方法のご紹介です。ご自分の環境に合わせてコンフィグを修正する必要があるため要求されるスキルは高いですが、さすがに業務用の安定性です。どこかの民生用ルーターとは格段の差があります。 NEC IX ルータにおけるDNS設定についてまとめます。全ての端末がインターネット上のDNSサーバに問い合わせを行うのはネットワーク負荷が大きいので、DNS proxyやDNS cacheを設ける事で負荷を軽減します。 各端末がDNS p... NEC UNIVERGE IX ルータにおけるDHCPの設定方法を紹介します。一般的なルータはDHCPやDNS等のサーバ機能も備えております。小規模な会社ならば、サーバを立てるよりもルータにDHCP等のサーバ機能を持たせた方が管理しやすいと... NEC IXシリーズはSNMPトラップによる通知を備えたルータです。snmptrapを設定する事によって、リンクダウン, 設定変更, 侵入, 状態変化などをsnmptrapdサーバに通知する事ができます。, NEC IX ルータにおけるIPv4, IPv6 ospf routingの設定例を紹介します。IPv4におけるOSPFはOSPFv2と呼ばれ、IPv6におけるOSPFはOSPFv3と呼ばれます。, NEC UNIVERGE IXシリーズは情報収集方法についてまとめます。当サイトを閲覧して頂けるのは非常に感謝しておりますが、一次情報の参照も非常に大切です。ここでは一次情報の収集方法を説明します。, NEC IX BGP ルーティングの設定例 (IPv4とIPv6のデュアルスタック構成). ƒlƒbƒgƒ[ƒNƒGƒ“ƒWƒjƒA‚Æ‚µ‚Ä ! ReplayDetectionを有効：有効 久しぶりに他機種間のVPN接続について書きます。 今回はFortigate60DとIX2215でIPsec-VPNを構築してみたいと思います。 もし、FortigateとYAMAHAのRTXのVPNが見たい方はこちらをご覧ください。 Fortigateを使ってIPSec-VPNを構築してみる（Fortigate60D-RTX1100編） 以下サイトを参考にしながら構築してみました。 ! NEC UNIVERGE IX ルータにおけるDHCPの設定方法を紹介します。一般的なルータはDHCPやDNS等のサーバ機能も備えております。小規模な会社ならば、サーバを立てるよりもルータにDHCP等のサーバ機能を持たせた方が管理しやすいと... NEC IX ルータにおけるVRRPとwatch-groupを併用する設定方法を紹介します。VRRPによってゲートウェイが冗長化されたとしても、VRRPのマスターとなっているルータとインターネットの間が正常である保障はありません。そこで、イ... NEC IXシリーズにおけるログ管理の方法についてまとめます。デフォルト設定は、ログ出力が無効になっている事に注意して下さい。まずはログ出力を有効にした後に、logging bufferやsyslog ip hostを入力する事によって、ロ... NEC IX ルータにおけるIPv4, IPv6 static routeの設定例を紹介します。static routeを設定するには、ip route, ipv6 routeコマンドを使用します。. ip napt enable ! ! NEC IX2015 NEC IPv6対応高速アクセスルータ IX2015 中古価格￥280から(2016/8/30 11:31時点) 主要コマンドのメモ 時間の設定 Router(config)# リモートポート：チェック Copyright (C) 2002-2020 ƒlƒbƒgƒ[ƒNƒGƒ“ƒWƒjƒA‚Æ‚µ‚Ä All Rights Reserved. ! なお、本設定事例集はuniverge ixシリーズ・ソフトウェア ver.10.2 に対応しています。 IX2004 ではVer.8.0以降、 IX2010, IX2015ではVer.8.4以降、 IPsec-VPNついて解説。 IKE Phase 1 のモード: 説明: Mainモード 6つのISAKMPメッセージの送受信でフェーズ1を完了させる。 ix/waルータは、かんたん設定機能により難しいコマンド設定を必要とせず、インターネットvpnを簡単に構築することができます。また、設定変更やバージョンアップも容易に行うことができます。 univerge ixシリーズ / univerge waシリーズを使用したインターネットvpn構築 システム構成例. device BRI0 isdn switch-type hsd128k ! IPバージョン：IPv4 IPsec SA – 1 configured, 1 created Tunnel mode, 4-over-4, dynamic-map 詳細な設定方法については以下のページを参照ください。, 入力インターフェース：internal Outbound: B 時間の設定. IXシリーズは、NAPTを設定するとインターネットからの接続は基本的に拒否します。おそらく、アクセスコントロールリストを設定し忘れても侵入される事のないに配慮した設計かと思われます。もし、インターネットからルータにtelnetログインしたい... NEC IXシリーズには、オペレーションモード、グローバルコンフィグモード等の複数のモードがあります。設定を変更するためには、conf t等のコマンドを入力し適切なモードに変更してから設定コマンドを入力しなければなりません。. Key policy map name is ipsec-policy-forti ! Replay detection support is on auto-connect リモートアドレス：192.168.1.0/24, Phase2プロポーザル NATトラバーサル：有効 ipsec policy tunnel ipsec-policy-forti out ESP, SPI is 0x790e6752(2030987090) ! ip tcp adjust-mss auto VPNのパラメータはFortigate側と合わせています。, ip access-list sec-list permit ip src any dest any, ike proposal ikeforti encryption aes-256 hash sha2-256 group 1024-bit lifetime 86400 IX Series IX2215 (magellan-sec) Software, Version 8.8.22, RELEASE SOFTWARE ! 主要コマンドのメモ. Certi fi cates によって続いて取り消されていくつかの理由で取り消されるかもしれない取り消された certi fi cates のリストです（以下を参照）: certi fi cate 失効に使用するメカニズムはシリアル番号によって CRL で CA.によって取り消される certi fi cates によって表されます決まります。 ネットワークデバイスが certi fi cate の妥当性を確認するように試みる場合示された証明書のシリアル番号のための電流 CRL をダウンロードし、スキャンします。 このため、どちらか一方のピアで CRL の確認イネーブルになっている場合は、ID 証明書の有効性を確認できるように適切な CRL の URL も設定する必要があります。, CRL の詳細については、『公開キー インフラストラクチャ コンフィギュレーション ガイド、Cisco IOS XE リリース 3S』の「CRL とは」セクションを参照してください。, ASA が中間 CA を含む証明書で設定され、そのピアに同じ中間 CA が含まれていたり、含まれていなかったりする場合は、完成した証明書チェーンをルータに送信するように ASA を明示的に設定する必要があります。 ルータはデフォルトでこれを実行します。 これを行うには、暗号マップ下でトラストポイントを定義するときに、次のように、chain キーワードを追加します。, これを行わない場合は、ASA が応答側の場合にのみ、トンネルがネゴシエートされます。 発信側の場合は、トンネルで障害が発生して、ルータ上の PKI デバッグと IKEv2 デバッグに次のように表示されます。, 注: 特定の show コマンドがアウトプット インタープリタ ツール（登録ユーザ専用）でサポートされています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用します。, 注: IKEv1 の場合と異なり、この出力では、最初のトンネル ネゴシエーション時に Perfect Forwarding Secrecy（PFS）の Diffie-Hellman（DH）グループ値が「PFS (Y/N): N, DH group: none」として表示され、 キー再生成が発生した後、正しい値が表示されます。 これは、動作が Cisco Bug ID CSCug67056 で説明されていますが、バグではありません。 IKEv2 では、IKEv1 と IKEv2 の違いは、子 SA が認証交換自体の一部として作成される点です。 クリプト マップに設定された DH グループは、キー再生成時にのみ使用されます。 したがって、最初のキー再生成が行われるまで「PFS (Y/N): N, DH group: none」が表示されます。 IKEv1 では、クイック モード時に子 SA の作成が発生し、CREATE_CHILD_SA メッセージに鍵交換ペイロードを伝送するためのプロビジョニングがあり、これによって新しい共有秘密を取得する DH パラメータが指定されるため、異なる動作であることがわかります。, 次のようにルータで show crypto ikev2 sa コマンドを入力します。, 次の手順では、Security Parameter Index（SPI）が 2 のピアで正常にネゴシエートされたかどうかを確認する方法について説明します。, 次のように ASA で show crypto ipsec sa | i spi コマンドを入力します。, 次の手順では、トラフィックがトンネルを通過するかどうかを確認する方法について説明します。, 次のように ASA で show crypto ipsec sa | i pkts コマンドを入力します。, 注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。, 注意： ASA では、さまざまなデバッグ レベルを設定できます。 デフォルトでは、レベル 1 が使用されます。 デバッグ レベルを変更すると、デバッグの冗長性が高くなる場合があります。 特に実稼働環境では、注意して変更してください。. Remaining lifetime is 42675 seconds Interface is Tunnel1.0 ! シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。, このドキュメントでは、適応型セキュリティ アプライアンス（ASA）と Cisco IOS® ソフトウェアを実行するルータ間にサイト間 Internet Key Exchange Version 2（IKEv2）トンネルをセットアップする方法について説明します。, このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。, 本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。, 事前共有キーを使用して ASA とルータ間に IKEv2 トンネルを設定することは簡単です。 ただし、証明書認証を使用する場合、留意すべき事項がいくつかあります。, 証明書認証では、参加しているすべてのデバイスのクロックを共通のソースに同期する必要があります。 各デバイスでクロックを手動で設定できますが、これはあまり正確でなく、面倒なことになる可能性があります。 すべてのデバイスのクロックを同期する最も簡単な方法は、NTP を使用することです。 NTP を使用すると、分散されたタイム サーバとクライアントの間で時刻が同期されます。 同期化により、システム ログ作成時または時間に関するイベントの発生時に、各イベントを関連付けることができます。 NTP の設定方法に関する詳細については、『Network Time Protocol： ベスト プラクティス ホワイト ペーパー」を参照してください。, ヒント： Cisco IOS ソフトウェアの認証局（CA）サーバを使用する際、一般的には NTP マスターと同じデバイスを設定します。 この例では、CA サーバが NTP サーバとしても機能します。, HTTP URL に基づいた証明書ルックアップは、証明書の転送時に発生するフラグメンテーションを回避します。 Cisco IOS ソフトウェア デバイスでは、この機能がデフォルトでイネーブルになっているため、証明書要求タイプ 12 が Cisco IOS ソフトウェアによって使用されます。, ASA で Cisco Bug ID CSCul48246 の修正がないソフトウェア バージョンが使用されている場合は、HTTP-URL ベースの検索が ASA でネゴシエートされないため、Cisco IOS ソフトウェアで認可の試行が失敗します。, ASA で IKEv2 プロトコルのデバッグをイネーブルにすると、次のメッセージが表示されます。, この問題を回避するには、no crypto ikev2 http-url cert コマンドを使用して ASA とのピア関係の確立時にルータでこの機能をディセーブルにします。, IKE AUTH ステージ Internet Security Association and Key Management Protocol（ISAKMP）ネゴシエーションの間に、同位は彼ら自身を互いに識別する必要があります。 ただし、ルータと ASA が各自のローカル ID を選択する方法には違いがあります。, ルータで IKEv2 トンネルを使用する場合は、IKEv2 プロファイルで identity local コマンドを実行することで、ネゴシエーションで使用されるローカル ID が決定されます。, 同じプロファイルで手作業で match identity remote コマンドを指定して、予想されるピア ID を設定することもできます。, ASA では、ISAKMP ID は、crypto isakmp identity コマンドを使用してグローバルに選択されます。, デフォルトでは、このコマンド モードは auto に設定されているため、ASA 次の接続タイプに応じて ISAKMP ネゴシエーションを決定します。, 注: Cisco Bug ID CSCul48099 は、グローバル コンフィギュレーションではなく、トンネルごとのグループ単位で設定する機能の拡張要求です。, リモート ID の確認は、自動的に実行され（接続タイプによって決定される）、変更することはできません。 確認は、peer-id-validate コマンドを使用してトンネルごとのグループ単位でイネーブルまたはディセーブルにすることができます。, ASA で証明書認証を使用する場合、ASA は受信した証明書で Subject Alternative Name（SAN）のピア ID を確認しようとします。 ピア ID の確認をイネーブルにしている場合や、ASA で IKEv2 プラットフォームのデバッグがイネーブルになっている場合は、次のデバッグが表示されます。, この問題のため、証明書の IP アドレスをピアの証明書に含めるか、ピア ID の確認を ASA でディセーブルにする必要があります。, 同様に、ASA はデフォルトでローカル ID を自動的に選択するため、証明書認証を使用する場合、ID として認定者名（DN）を送信します。 ルータがリモート ID としてアドレスを受信するように設定されている場合、ルータでピア ID 確認が失敗します。 IKEv2 デバッグがルータでイネーブルになっている場合、次のデバッグが表示されます。, この問題には、完全修飾ドメイン名（FQDN）を確認するようにルータを設定するか、ISAKMP ID としてアドレスを使用するように ASA を設定します。, 注: IKEv2 プロファイルに接続するルータで DN を認識するために、証明書 マップは設定する必要があります。 IPsec VPN コンフィギュレーション ガイド用ののセクションを Internet Key Exchange（IKE） マッピング する ISAKMP プロファイルに証明書を、これをセットする方法についての情報に関しては Cisco IOS XE リリース 3S Ciscoドキュメント参照して下さい。, 認証に証明書（事前共有キーではなく）が使用される場合、認証ペイロードは非常に大きくなります。 通常、これにより、フラグメンテーションが発生し、フラグメントがパスで失われたり、ドロップされたりした場合には、認証が失敗します。 認証ペイロードのサイズが原因でトンネルがアップ状態にならない場合、一般的な原因は次のとおりです。, ASA バージョン 9.0 では、ASA はマルチコンテキスト モードで VPN をサポートします。 ただし、マルチコンテキスト モードで VPN を設定する場合は、必ず VPN を使用するシステムに適切なリソースを割り当ててください。, 詳細については、『Cisco ASA シリーズ CLI コンフィギュレーション ガイド、9.0』の「リソース管理に関する情報」セクションを参照してください。. tunnel mode ipsec ! Remaining lifetime is 42675 seconds ipsec local-id ipsec-policy-forti 192.168.1.0/24 このドキュメントでは、適応型セキュリティ アプライアンス（ASA）と Cisco IOS®ソフトウェアを実行するルータ間にサイト間 Internet Key Exchange Version 2（IKEv2）トンネルをセットアップする方法について説明します。 インターフェース：wan1 網を活用した. Interface MTU is 1390, path MTU is 1454 necルータ ix2015の設定の設定方法のご紹介です。ご自分の環境に合わせてコンフィグを修正する必要があるため要求されるスキルは高いですが、さすがに業務用の安定性です。どこかの民生用ルーターとは格段の差があります。 ! Current time Feb 13-Thu-2014 21:24:45 JST ! プロトコル：チェック Remote address is 192.168.102.254 自動鍵キープアライブ：なし ! All rights reserved. no shutdown, interface GigaEthernet0.1 ! ip unnumbered GigaEthernet2.0 NEC IX ルータにおけるPPPoEの設定例を紹介します。PPPoEはethernet越しにPPP接続をする事ができる仕様で、この接続形態をとる事によってCHAPによる認証機構を設ける事ができます。インターネットへ接続する際に使用する事が多いプロトコルです。, 以下のコマンドでPPP接続に関するパラメータを定義する事ができます。多くの場合は、以下のようなコマンドでCHAPホスト名とCHAPパスワードを定義する事が多いと思います。なお、CHAPホスト名は、資料によってはCHAPユーザ名と表記される事もあります。, “ppp profile”コマンドで定義したCHAPに関するパラメータは”ppp binging”コマンドで設定を適用します。なお、設定の適用先はメインインターフェースではなく、サブインターフェースである事に注意して下さい。すなわち、サブインターフェース番号は0ではなく1等を使用して下さい。GigaEthernet0.1に対してPPPoE設定を適用して下さい。, PPPoEを使用する際は、インターネット事業者から動的にIPアドレスを割り当てられる事が多いと思います。以下のようなコマンドでIPCPやDHCPによってIPアドレスを割り当てる事ができます。IPCP(Internet Protocol Control Protocol)とは、PPP接続する際にPPPサーバから動的にIPアドレスを受け取るプロトコルです。, 以下の構成で動作確認を行います。R1はNEC IX2215で、R2はCisco3640であるベンダー混在環境にて動作確認を行います。, 以下のコマンドでCHAPホスト名とパスワードを定義します。なお、不要なトラブルを避けるために、R1, R2で同一のCHAPホスト名を指定しております。, “show ip interface”の出力を確認します。up状態である事と、IPCPによってIPアドレスを取得できている事を確認します。, NEC IXシリーズには、オペレーションモード、グローバルコンフィグモード等の複数のモードがあります。設定を変更するためには、conf t等のコマンドを入力し適切なモードに変更してから設定コマンドを入力しなければなりません。.