片側非固定IPアドレス時のIPsec

以下のような条件でLINUXサーバをルータがわりに使って拠点1-2間でIPsec VPN通信をしたいと思っています。
・(拠点1ネットワーク)---LINUXサーバ---(インターネット)---LINUXサーバ---(拠点2ネットワーク)
・グローバルIPアドレスは拠点1では非固定、拠点2では固定。

まずは、拠点1側のLinuxにipsec-toolsをインストールして以下のように設定しました。
・ＩＫＥ使用
・セキュリティプロトコルはESP
・カプセル化モードはトンネルモード。
・phase1の鍵交換タイプはagressiveモード。

ここでSPDの設定時についてお聞きしたいことがあります。
SPDの設定時に
spdadd B.B.B.B/24 A.A.A.A/24 any -P out ipsec esp/tunnel/Y.Y.Y.Y-X.X.X.X//require;
spdadd A.A.A.A/24 B.B.B.B/24 any -P in ipsec esp/tunnel/X.X.X.X-Y.Y.Y.Y/require;
というコマンドを打つ必要があるようなのですが、拠点1では非固定IPアドレスなので、X.X.X.Xの部分を指定できません。ipsec-toolsを使う場合は両側固定グローバルアドレスがないどいけないのでしょうか？

ただし、A.A.A.A/24が拠点1ネットワークアドレス、B.B.B.B/24が拠点2ネットワークアドレス、Y.Y.Y.Yを拠点B側の固定グローバルアドレスとします。

わかりにくい説明で申し訳ないのですが、何卒よろしくお願いいたします。

No.1 回答者： hrsmmhr 回答日時： 2011/05/18 12:23

リナックスのコマンドは知らないのですが、

IPSECは2点間だけでなく、より多くの地点を結べたはずなので
非固定とはいえ、割り当てられた複数のアドレスが固定なら
それぞれのエントリーを入れればいいのではないのかと思います
DHCPのような場合だと、セキュリティの問題があるのでお勧めできません

この回答への補足

返信ありがとうございます。
非固定IPアドレスは、接続時にプロバイダから毎回割り当てられるものなので、
>割り当てられた複数のアドレスが固定
ではないのです。

補足日時：2011/05/18 18:23

No.2 回答者： nnori7142 回答日時： 2011/05/21 21:12

　お尋ねの件ですが、ご存知の通りIPSEC・アグレッシブモードでの接続とメインモード接続がありますが、ご指定回線形態ですと、アグレッシブモードでの接続に相違ありません。

　動的IP側回線からの接続には、アクセスする端末からの通信をIPSECパススルー（IPSEC透過）させなければいけませんので、動的IP側については利用ルーター等ネットワーク機器にてUDP500番とESPパケットを透過する設定（静的IPマスカレード登録）にて、ルーターWAN/LAN通信において実施しなければルーターのNAPT変換にて破棄されてしまいます。
　それと、ルーターの静的ルート設定（スタティック・ルーティング）にて端末側プライベートLAN-IPへ経路確保するようにする点、若しくはARP代理応答（ProxyARP）設定が可能なルーターであれば実施していただければ、VPN経路確保は可能です。
　UnixサーバやOS等のIptableｓ設定も必要ですが、取りあえずIPSEC通信については全開放、「TCP-Wrapper」等についても確認する必要があるかと存じます。　

この回答への補足

返信ありがとうございます。ルータをつかえばうまくいくのですが、ルーターは使わないでlinuxサーバをルータとして使いたいと思っています。

補足日時：2011/05/24 17:08

No.3 回答者： nnori7142 回答日時： 2011/05/24 22:00

　追加補足拝見しました。

Unixサーバ等での静的ルート設定がポイントとなるかと存じます。
　コマンドとしては、「A.A.A.A/24 via B.B.B.B dev eth0」、「B.B.B.B/24 via A.A.A.A dev eth0」といった記述を双方拠点、「/etc/sysconfig/network-scripts/route-eth0」の中、ファイル名は route-INTERFACE 形式にて作成します。
　設定後、「service network restart」にて再起動を実施します。
　双方拠点にて、VPNセグメントでの通信がそれぞれIPベース経路確保される点、iptables記述での許可にてUDP500番とespパケット転送する記述にて、パケットベースでの転送する規則が生きる形となるはずです。
　espパケットだけでは、ipsecパススルーされませんので、UDP500転送記述（iptables -t filter -A INPUT -p udp --dport 500 -j ACCEPT）や（iptables -t filter -A INPUT -p udp --sport 500 -j ACCEPT ）、（iptables -t filter -A INPUT -p 50 -j ACCEPT）等の設定も必要かと存じます。
　

この回答への補足

回答ありがとうございます。
「A.A.A.A/24 via B.B.B.B dev eth0」、「B.B.B.B/24 via A.A.A.A dev eth0」
のviaの右側のIPアドレスはグローバルアドレスを記述するということでしょうか？となりますと片方が非固定IPなどでちょっと苦しいです。

補足日時：2011/05/29 16:18

No.4 回答者： nnori7142 回答日時： 2011/05/29 18:37

　追加補足（２）確認しました。

そうすると、「ProxyARP」記述が必要になるかと存じます。
　Unixサーバ設定となるのですが、設定例とすると「/proc/sys/net/ipv4/ip_forward」→「/proc/sys/net/ipv4/conf/eth0/proxy_arp」、/etc/sysctl.conf に以下を追加・「net.ipv4.ip_forward = 1」、「net.ipv4.conf.eth0.proxy_arp = 1」
　eth0の部分はインターネット接続I/Fですが、任意にて併せて設定して下さい。
　なお、ProxyARP設定を夫々のサーバへ設定するのですが、UDP500番とESP透過設定は勿論実施するようにiptables記述して下さい。