RTX1100でのVPN設定

こんにちは。
当方５拠点をNTTフレッツグループで接続していましたが、VPN用の改変が出来ないとの事で新たにRTX1100を使用してVPNを構築したいと考えています。
ルーター設定担当者が不在になり、私はGUIベースのルーターしか触ったことがないので、試行錯誤しているのですが、やはり繋がらない現状になりましたので、ご教授ください。

A地点は、gateway(RTX1100)：192.168.33.254
B地点は、gateway(RTX1100)：192.168.44.254



A地点のConfigは、

ip route default gateway pp 1
ip route 192.168.44.0/24 gateway tunnel 1
ip lan1 address 192.168.33.254/24
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname ID PASS
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
netvolante-dns hostname host pp server=1 TEST01.aa1.netvolante.jp
pp enable 1
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
ipsec ike pre-shared-key 1 text TEST
ipsec ike remote address 1 any
ipsec ike remote name 1 kyoten1
tunnel enable 1
nat descriptor type 1 masquerade
ipsec auto refresh on
dhcp service server
dhcp scope 1 192.168.33.101-192.168.33.149/24
dns server pp 1
dns private address spoof on


B地点のConfigは、

ip route default gateway pp 1
ip route 192.168.33.0/24 gateway tunnel 1
ip lan1 address 192.168.44.254/24
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname ID PASS
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
ipsec ike local address 1 192.168.44.254
ipsec ike local name 1 kyoten1 key-id
ipsec ike pre-shared-key 1 text TEST
ipsec ike remote address 1 TEST01.aa1.netvolante.jp
tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.44.254 udp 500
nat descriptor masquerade static 1 2 192.168.44.254 esp
ipsec auto refresh on
dhcp service server
dhcp scope 1 192.168.44.101-192.168.44
dns server pp 1
dns private address spoof on

必要であればログもとってあります。
よろしくお願いいたします。

No.5 回答者： 100ban 回答日時： 2012/01/07 10:52

たぶんですが

ネットボランチをしようしているのに、アグレッシブモードになってます。
どちらを使うのでしょうか？


ネットボランチするのであれば

トンネルの方のポイントはここでしょうか
ipsec ike remote address 1 ｘｘｘ.aa0.netvolante.jp

ネットボランチに一行追加してみてください
netvolante-dns use pp server=1 auto
a/bでネットボランチ取得してみては？

それとＡの方に　nat設定ないような気がします
udp 500 と esp の設定追加してみては？

間違っていたらごめんなさい、自分も昔同じような間違いしてましたので゜
試すときはsaveファイルを複製してから試してくださいね

参考URL：http://www.rtpro.yamaha.co.jp/RT/FAQ/NetVolanteD …

No.4 回答者： apple_from_a 回答日時： 2011/05/31 13:46

すでに解決済とは思いますが、他にもはまっている人がいましたら参考にしてください。

細かいチェックはしていませんのでつっこみどころがあったら、頭の中で整理してください。


ポイント
RTX1100でのVPN設定で　「両拠点をDDNSで設定可能です。」



基本的にはグローバルipをDDNSに置き換えるだけです。
今回は投稿設定にあわせて片方をanyにしていますが、両方DDNS指定でもOKです。yamahaのDDNSは安定

しているので困ることは無いと思います。１０分でもとまると困るというのであれば本店をグローバ

ルIPにするしかないと思います。


A地点は、gateway(RTX1100)：192.168.33.254
B地点は、gateway(RTX1100)：192.168.44.254
１１００同士ならaes＋shaがいいでしょう
１０００はaesをソフト処理しますのでその場合は3des+shaを。


A地点のConfigは、

ip route default gateway pp 1
ip route 192.168.44.0/24 gateway tunnel 1
ip lan1 address 192.168.33.254/24
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname ID PASS
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 100 101 102 1000 1001 フィルタ群適用（番号は各自ご勝手に）
ip pp secure filter out 100 101 102 .....同じく
ip pp nat descriptor 1
netvolante-dns hostname host pp server=1 TEST01.aa1.netvolante.jp
pp enable 1
tunnel select 1
tunnel name B-point ここは好みで
ipsec tunnel 1 　わかり易い番号
ipsec sa policy 1 1 esp 3des-cbc sha-hmac　shaの方がいいでしょう
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 auto 本店はautoでいいでしょう
ipsec ike remote address 1 any
ipsec ike pre-shared-key 1 text TEST
ipsec ike remote name 1 kyoten1
ip tunnel tcp mss limit auto　yamaha同士なら必要ないかもしれません
tunnel enable 1
ip filter 100 番あたりからでもいいです。フィルタ群を記述　pp用のフィルタだけでok
ip filter 101 内容
ip filter 102 適当
ip filter 1000 pass * 192.168.33.254 udp * 500　必要
ip filter 1001 pass * 192.168.33.254 esp　必要
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp 通常はこれで
nat descriptor address inner 1 192.168.33.1-192.168.33.254 ルータを含めて
nat descriptor masquerade static 1 1 192.168.33.1 udp 500　ルータ向け　必要
nat descriptor masquerade static 1 2 192.168.33.1 esp　　必要
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.33.101-192.168.33.149/24
dns server pp 1
dns private address spoof on


B地点のConfigは、

ip route default gateway pp 1
ip route 192.168.33.0/24 gateway tunnel 1
ip lan1 address 192.168.44.254/24
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname ID PASS
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 100 102 103.....1000 1001フィルタ適用番（号は各自）
ip pp secure filter out 100 102 103 .....同じく
ip pp nat descriptor 1
pp enable 1
tunnel select 1
tunnel name A-point ここは好みで
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on 支店はonでいいでしょう
ipsec ike local address 1 192.168.44.254
ipsec ike local name 1 kyoten1 key-id
ipsec ike pre-shared-key 1 text TEST
ipsec ike remote address 1 TEST01.aa1.netvolante.jp
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 1000 pass * 192.168.44.254 udp * 500
ip filter 1001 pass * 192.168.44.254 esp
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 192.168.44.1-192.168.44.254
nat descriptor masquerade static 1 1 192.168.44.254 udp 500
nat descriptor masquerade static 1 2 192.168.44.254 esp
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.44.101-192.168.44
dns server pp 1
dns private address spoof on

No.3 回答者： hirasaku 回答日時： 2011/04/04 13:51

こんにちは。

hirasaku です。

できると思うんですけどね。
まず、インターネットVPNで　ということでよろしいでしょうか？
フレッツワイドだと若干Config違くなりますけど。

ちなみにNetvolanteDNSで拾ったFQDNには疎通ができるんですよね？

上記Configで足りないところ
A拠点でESPとUDP500のNAT越えをさせていないですね。
nat descriptor masquerade static 1 1 192.168.33.254 udp 500
と
nat descriptor masquerade static 1 2 192.168.33.254 esp
をA拠点にのConfigに追加。

とりあえずこれだけでつながると思うんですけど・・・

まぁできれば動的IP同士ということでKeepaliveしておいたほうがいいですね。
双方のルータに
ipsec ike keepalive use 1 on
を追加。
KeepaliveのLogを残したくないたら
ipsec ike keepalive log 1 off
も追加。

B拠点にLocal Address指定しているので、
A拠点に
ipsec ike local address 1 192.168.33.254
を追加。

あとはFilterを適用させてください。
※Filterのかけ方を間違えるとつながらなくなるので注意

では。

No.2 回答者： maesen 回答日時： 2011/03/28 10:40

>AB双方で独自にプロバイダ契約しており、インターネット接続も必要なのでNAT設定は必須です。

>が、「適切な」が私にとっては問題なので、もう少し勉強しなければなりませんね(汗)

申し訳ありませんが、「適切な」と書いたのはこのケースでNATの設定が出来ないと思いましたので、このように書きました。

今回やりたい動的IPでA地点の設定で、「自分側セキュリティ・ゲートウェイのIP アドレス」が動的なグローバルIPになります。
（こうしないとB地点での相手側のセキュリティ・ゲートウェイ設定と合わなくなるため）
NAT環境下でIPSecを行うためには、ルータ自身がIPSecの通信を占有するため、この「自分側セキュリティ・ゲートウェイのIP アドレス」に対して静的IPマスカレードを設定する必要があります。
しかし、マニュアルを見る限り静的IPマスカレードにはIPアドレスを指定しますが動的IPなので設定が出来ません。
このようなことから、YAMAHAルータの公式Webサイトでは動的IP－動的IPは設定出来るとは書いていないのかなと思います。
私が知らない設定方法があるという可能性もありますけれど。

参考にされたWebサイトの例ではA地点はNATの設定が無かったと思いますので、A地点をNATを使用しない状態で通信が出来るかを確認するのも一つの手だと思います。
最終的にやりたいことが出来るかとは別ですが。

>認証方式と暗号化に関しては、おっしゃるとおりコピペです(汗)
>どこか参考になるサイトがあれば紹介いただけますでしょうか？

http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/faq_2 …

俗にいう暗号の2010年問題などにありますように、トリプルDES、MD5は望ましくないと思いますのでAES、SHAを使用したほうがいいのではと言いたかっただけです。
なおSHA1は既に脆弱性が報告されていますが、YAMAHAルータはSHA2が使えないのでより良い方を使うということで。

ipsec sa policy 101 1 esp aes-cbc sha-hmac

>説明書とサイトを調べまくってまだこの状態です。
>どこかこの関係のフォーラムかメーリングリストなんかがあればいいのですが・・・

基本的にはYAMAHAルータのWebサイトで解決出来ると思っています。
ただ、あくまでもルータの設定ということで、そこで使用している技術（IPSecやNAT）などについては理解しているのが前提になってしまいます。
IPSecなどの設定は業者に頼むと結構なお金を取られると思います。
なかなか、個別事情に合った回答を得るのは難しいですね。

この回答へのお礼

ご教授ありがとうございます。
その後、勉強しまして ip filter や、natの設定を行いました。
また、やはりセンター動的でのVPNは出来ないのでしょうかね・・・

nat descriptor address outer 1 TEST.aa1.netvolante.jp

と設定しようとすると、はねられてしまいました。

Configを書き直して、Filter設定などをすると、とてもこの記事欄には収まらなくなってしまいました。

Configを見ていただいて指摘を受けられるようなサイトを探していますが、なかなか見つからないものですね(汗)

現状は、センターだけでも固定IPにしていただけるよう交渉中です。
固定IPになればかなり参考になるConfigもありますので、がんばって見ます。

また、解らないことがあればご教授ください。
ありがとうございました。

お礼日時：2011/03/28 18:19

No.1 回答者： maesen 回答日時： 2011/03/25 15:33

いきなりPPTPがIPSecに変わったようですね。

状態がどこまで進んでいるのかを見るためにもログはほしいところですね。

間違っていたらごめんなさいです。
ぱっと見は、A地点で
ip pp nat descriptor 1
および
nat descriptor type 1 masquerade
でNATを使用するとコマンドを入れているのに、その設定が無いということでしょうか。
NAT設定をやめるか、適切に設定をいれてあげる必要がありそうです。
NAT設定をやめるとVPN以外の通信は実質出来なくります。

YAMAHAルータのWebサイトによると動的IP-動的IPでのIPSecは出来ないような記述がありますので、一旦は接続出来ても運用に耐えられるかは不明ですね。
やりかたを紹介しているサイトはあるようですがね。
（YAMAHAからの正式な回答はわからないです）

あと余談ですが、
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
どこからかのコピペだと思いますが、実際に運用するのであれば、せっかくもっと強力な方式が使えるのでこの認証方式と暗号化方式はやめましょう。

この回答へのお礼

早速の回答ありがとうございます。
まずPPTPですが、現地に行かなくてもルーター設定が出来ないかと考えておりました。
あまり時間が無いので、まずはVPNを片付けてからPPTPに進むことにしました。

AB双方で独自にプロバイダ契約しており、インターネット接続も必要なのでNAT設定は必須です。
が、「適切な」が私にとっては問題なので、もう少し勉強しなければなりませんね(汗)

将来的には、センタ固定IPで接続の予定ですが、現状で早々に接続が必要で動的IP－動的IPに
せざるを得ません。

認証方式と暗号化に関しては、おっしゃるとおりコピペです(汗)
どこか参考になるサイトがあれば紹介いただけますでしょうか？

説明書とサイトを調べまくってまだこの状態です。
どこかこの関係のフォーラムかメーリングリストなんかがあればいいのですが・・・

質問ばかりで申し訳ありません。
コメントありがとうございましたm(._.)m

お礼日時：2011/03/26 08:44