以下のような条件でLINUXサーバをルータがわりに使って拠点1-2間でIPsec VPN通信をしたいと思っています。
・(拠点1ネットワーク)---LINUXサーバ---(インターネット)---LINUXサーバ---(拠点2ネットワーク)
・グローバルIPアドレスは拠点1では非固定、拠点2では固定。
まずは、拠点1側のLinuxにipsec-toolsをインストールして以下のように設定しました。
・IKE使用
・セキュリティプロトコルはESP
・カプセル化モードはトンネルモード。
・phase1の鍵交換タイプはagressiveモード。
ここでSPDの設定時についてお聞きしたいことがあります。
SPDの設定時に
spdadd B.B.B.B/24 A.A.A.A/24 any -P out ipsec esp/tunnel/Y.Y.Y.Y-X.X.X.X//require;
spdadd A.A.A.A/24 B.B.B.B/24 any -P in ipsec esp/tunnel/X.X.X.X-Y.Y.Y.Y/require;
というコマンドを打つ必要があるようなのですが、拠点1では非固定IPアドレスなので、X.X.X.Xの部分を指定できません。ipsec-toolsを使う場合は両側固定グローバルアドレスがないどいけないのでしょうか?
ただし、A.A.A.A/24が拠点1ネットワークアドレス、B.B.B.B/24が拠点2ネットワークアドレス、Y.Y.Y.Yを拠点B側の固定グローバルアドレスとします。
わかりにくい説明で申し訳ないのですが、何卒よろしくお願いいたします。
A 回答 (4件)
- 最新から表示
- 回答順に表示
No.2
- 回答日時:
お尋ねの件ですが、ご存知の通りIPSEC・アグレッシブモードでの接続とメインモード接続がありますが、ご指定回線形態ですと、アグレッシブモードでの接続に相違ありません。
動的IP側回線からの接続には、アクセスする端末からの通信をIPSECパススルー(IPSEC透過)させなければいけませんので、動的IP側については利用ルーター等ネットワーク機器にてUDP500番とESPパケットを透過する設定(静的IPマスカレード登録)にて、ルーターWAN/LAN通信において実施しなければルーターのNAPT変換にて破棄されてしまいます。
それと、ルーターの静的ルート設定(スタティック・ルーティング)にて端末側プライベートLAN-IPへ経路確保するようにする点、若しくはARP代理応答(ProxyARP)設定が可能なルーターであれば実施していただければ、VPN経路確保は可能です。
UnixサーバやOS等のIptables設定も必要ですが、取りあえずIPSEC通信については全開放、「TCP-Wrapper」等についても確認する必要があるかと存じます。
この回答への補足
返信ありがとうございます。ルータをつかえばうまくいくのですが、ルーターは使わないでlinuxサーバをルータとして使いたいと思っています。
補足日時:2011/05/24 17:08No.3
- 回答日時:
追加補足拝見しました。
Unixサーバ等での静的ルート設定がポイントとなるかと存じます。コマンドとしては、「A.A.A.A/24 via B.B.B.B dev eth0」、「B.B.B.B/24 via A.A.A.A dev eth0」といった記述を双方拠点、「/etc/sysconfig/network-scripts/route-eth0」の中、ファイル名は route-INTERFACE 形式にて作成します。
設定後、「service network restart」にて再起動を実施します。
双方拠点にて、VPNセグメントでの通信がそれぞれIPベース経路確保される点、iptables記述での許可にてUDP500番とespパケット転送する記述にて、パケットベースでの転送する規則が生きる形となるはずです。
espパケットだけでは、ipsecパススルーされませんので、UDP500転送記述(iptables -t filter -A INPUT -p udp --dport 500 -j ACCEPT)や(iptables -t filter -A INPUT -p udp --sport 500 -j ACCEPT )、(iptables -t filter -A INPUT -p 50 -j ACCEPT)等の設定も必要かと存じます。
この回答への補足
回答ありがとうございます。
「A.A.A.A/24 via B.B.B.B dev eth0」、「B.B.B.B/24 via A.A.A.A dev eth0」
のviaの右側のIPアドレスはグローバルアドレスを記述するということでしょうか?となりますと片方が非固定IPなどでちょっと苦しいです。
No.4
- 回答日時:
追加補足(2)確認しました。
そうすると、「ProxyARP」記述が必要になるかと存じます。Unixサーバ設定となるのですが、設定例とすると「/proc/sys/net/ipv4/ip_forward」→「/proc/sys/net/ipv4/conf/eth0/proxy_arp」、/etc/sysctl.conf に以下を追加・「net.ipv4.ip_forward = 1」、「net.ipv4.conf.eth0.proxy_arp = 1」
eth0の部分はインターネット接続I/Fですが、任意にて併せて設定して下さい。
なお、ProxyARP設定を夫々のサーバへ設定するのですが、UDP500番とESP透過設定は勿論実施するようにiptables記述して下さい。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- サーバー ネットワークの構成に困っています 3 2023/07/05 11:55
- VPN DNS「8.8.8.8」とは何なのでしょうか? 固定 IP アドレスで光回線の代わりに使えますか? 4 2022/10/17 16:30
- FTTH・光回線 グローバルIPアドレスの変更について 1 2022/04/23 05:32
- その他(クラウドサービス・オンラインストレージ) VPN通信に遜色ないクラウドサービスはありますか? 4 2022/08/05 16:19
- 固定IP ケーブルテレビはなぜ固定IPアドレスではないのですか メリットがあるのでしょうか 6 2023/06/19 03:58
- SoftBank(ソフトバンク) スマホ ipアドレス 4 2022/08/24 01:26
- 通信機器・周辺機器 ネットワーク分割について 3 2022/10/24 09:23
- その他(OS) Windows11のファイル共有 1 2022/12/08 10:42
- セキュリティホール・脆弱性 テレワークで会社支給パソコン以外でVPN接続を制限するやり方 教えて下さい 3 2022/08/31 12:40
- Windows 10 外部ドライブにマウントできない問題について 9 2022/03/22 18:08
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
VPN通信に遜色ないクラウドサー...
-
VPNが繋がらない(YAMAHA RTX1100)
-
P-MP構成によるINS接続について
-
WAN越えのネットワーク全体表示...
-
PLANEX ルータBRC-14VGにてVPN...
-
YAMAHA RT57i を使ったIP-VPN
-
広域イーサに向けてのマルチキ...
-
Teraterm で、「シリアル」の方...
-
IPアドレスのセグメント
-
COMポートが表示されない
-
このネットワークを使うには手...
-
受信パケット0でIPアドレスが取...
-
同一セグメントって何?
-
プロキシの設定が戻る
-
スイッチングハブにセグメント...
-
別セグメントADへのドメイン参加
-
MACアドレスからIPアドレスを割...
-
エクセルを開くと、「プリンタ...
-
VPNは設定した方がいいですか?...
-
ルータ無しで家庭内LANの接続
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
VPNが繋がらない(YAMAHA RTX1100)
-
VPN通信に遜色ないクラウドサー...
-
VPN接続間でLinkStationが見れ...
-
いつも決まった時間に回線が落ちる
-
往復でパケットの経路が変わっ...
-
RT58iでのVPNのLAN間接続について
-
VTN(共有フォルダ?)
-
センタールータ経由のインター...
-
広域イーサに向けてのマルチキ...
-
WAN越えのネットワーク全体表示...
-
NIC 2枚差しの設定
-
YAMAHA ルータRTX3000について...
-
FortiGate50B VPN-IPSECの接続...
-
RT107eというルータの設定について
-
YAMAHAルーターでのVPNにおける...
-
拠点間VPNについて
-
P-MP構成によるINS接続について
-
都市や街の拠点性、求心力とは...
-
excel で売上を集計しているの...
-
拠点間通信について
おすすめ情報