![Page 1: Vyatta User Case · PDF fileVyattaでのIPsec接続検証 •接続検証機器 –Yamaha RTX系 –Juniper SSG 系 –Cisco IOS系、小箱系(RVS4000)](https://reader034.vdocuments.pub/reader034/viewer/2022052209/5a7c91cb7f8b9a49588cdcf3/html5/thumbnails/1.jpg)
Vyatta User Case
株式会社IDCフロンティア
井上一清
![Page 2: Vyatta User Case · PDF fileVyattaでのIPsec接続検証 •接続検証機器 –Yamaha RTX系 –Juniper SSG 系 –Cisco IOS系、小箱系(RVS4000)](https://reader034.vdocuments.pub/reader034/viewer/2022052209/5a7c91cb7f8b9a49588cdcf3/html5/thumbnails/2.jpg)
IDCFクラウドのネットワーク
IDCFクラウド セルフタイプ
Internet
Filter
TCP/UDP/ICMP
IDCFクラウド マネージドタイプ
Filter
all protocolVirtualRouter
要は両方ともNAT環境
![Page 3: Vyatta User Case · PDF fileVyattaでのIPsec接続検証 •接続検証機器 –Yamaha RTX系 –Juniper SSG 系 –Cisco IOS系、小箱系(RVS4000)](https://reader034.vdocuments.pub/reader034/viewer/2022052209/5a7c91cb7f8b9a49588cdcf3/html5/thumbnails/3.jpg)
Vyattaの活用シーン
•VPN(くらいしかないでしょう。。もしくはIPv6トンネル系)
–Site-VPN
•IPsec、OpenVPN
–Remote Access VPN
•L2TP、PPTP、SSL-VPN
他に有用な使い方あったら教えて下さい
![Page 4: Vyatta User Case · PDF fileVyattaでのIPsec接続検証 •接続検証機器 –Yamaha RTX系 –Juniper SSG 系 –Cisco IOS系、小箱系(RVS4000)](https://reader034.vdocuments.pub/reader034/viewer/2022052209/5a7c91cb7f8b9a49588cdcf3/html5/thumbnails/4.jpg)
VyattaでのIPsec接続検証
•接続検証機器
–Yamaha RTX系
–Juniper SSG系
–Cisco IOS系、小箱系(RVS4000)
![Page 5: Vyatta User Case · PDF fileVyattaでのIPsec接続検証 •接続検証機器 –Yamaha RTX系 –Juniper SSG 系 –Cisco IOS系、小箱系(RVS4000)](https://reader034.vdocuments.pub/reader034/viewer/2022052209/5a7c91cb7f8b9a49588cdcf3/html5/thumbnails/5.jpg)
VyattaのIDCFクラウド向けチューニング
• CloudStackとの連携– SSH公開鍵設定
– パスワードリセットとの連携
• DHCP
• IPv6 disable
• Banner
• DNS
• NTP, TIME-Zone
• IPsec,NAT-T
![Page 6: Vyatta User Case · PDF fileVyattaでのIPsec接続検証 •接続検証機器 –Yamaha RTX系 –Juniper SSG 系 –Cisco IOS系、小箱系(RVS4000)](https://reader034.vdocuments.pub/reader034/viewer/2022052209/5a7c91cb7f8b9a49588cdcf3/html5/thumbnails/6.jpg)
苦労したこと
• YamahaとのIPsec接続
– YamahaはNAT-TをAggressive modeでしかサポートしない
– VyattaはIKE phase1でAggressive modeをサポートしない
IPsec over IPIPで回避
![Page 7: Vyatta User Case · PDF fileVyattaでのIPsec接続検証 •接続検証機器 –Yamaha RTX系 –Juniper SSG 系 –Cisco IOS系、小箱系(RVS4000)](https://reader034.vdocuments.pub/reader034/viewer/2022052209/5a7c91cb7f8b9a49588cdcf3/html5/thumbnails/7.jpg)
トラブル関連
• 接続先が複数セグメントのときにうまくIPsec接続できない
• ログインアカウントの問い合わせ(小ネタ)
![Page 8: Vyatta User Case · PDF fileVyattaでのIPsec接続検証 •接続検証機器 –Yamaha RTX系 –Juniper SSG 系 –Cisco IOS系、小箱系(RVS4000)](https://reader034.vdocuments.pub/reader034/viewer/2022052209/5a7c91cb7f8b9a49588cdcf3/html5/thumbnails/8.jpg)
Yamahaとの複数セグメント接続
• 通常はこんな設定でつながるはずtunnel 1 {
local {
subnet 10.1.0.0/22
}
remote {
subnet 192.168.5.0/24
}
}
tunnel 2 {
local {
subnet 10.1.0.0/22
}
remote {
subnet 192.168.6.0/24
}
}
tunnel 3 {
local {
subnet 10.1.0.0/22
}
remote {
subnet 192.168.17.0/24
}
}
Tunnelを複数設定すると、Proxy-ID関連の問題で、Yamahaとうまくつながらない
![Page 9: Vyatta User Case · PDF fileVyattaでのIPsec接続検証 •接続検証機器 –Yamaha RTX系 –Juniper SSG 系 –Cisco IOS系、小箱系(RVS4000)](https://reader034.vdocuments.pub/reader034/viewer/2022052209/5a7c91cb7f8b9a49588cdcf3/html5/thumbnails/9.jpg)
解決策
• Vyatta側で全宛先を包含するように一つで設定
• 又は、Yamaha側でもセグメント毎にIDを設定
tunnel 1 {
local {
subnet 10.1.0.0/22
}
remote {
subnet 192.168.0.0/16
}
}
ipsec ike remote id 1 192.168.1.0/24
ipsec ike local id 1 10.1.0.0/22
ipsec ike remote id 2 192.168.2.0/24
ipsec ike local id 2 10.1.0.0/22
ipsec ike remote id 3 192.168.3.0/24
ipsec ike local id 3 10.1.0.0/22
![Page 10: Vyatta User Case · PDF fileVyattaでのIPsec接続検証 •接続検証機器 –Yamaha RTX系 –Juniper SSG 系 –Cisco IOS系、小箱系(RVS4000)](https://reader034.vdocuments.pub/reader034/viewer/2022052209/5a7c91cb7f8b9a49588cdcf3/html5/thumbnails/10.jpg)
ログインアカウントの問い合わせ
ユーザ名は出ない”root”と思っているユーザが多いが、正解は”vyatta”
![Page 11: Vyatta User Case · PDF fileVyattaでのIPsec接続検証 •接続検証機器 –Yamaha RTX系 –Juniper SSG 系 –Cisco IOS系、小箱系(RVS4000)](https://reader034.vdocuments.pub/reader034/viewer/2022052209/5a7c91cb7f8b9a49588cdcf3/html5/thumbnails/11.jpg)
課題• サポート–無償ベースなのでどこまでやって良いか
– IPsecは難しい
• VPNでのBridge(同一セグメント)接続– Vyatta自体にはGREブリッジ、OpenVPNブリッジなどあるが、VMwareの仮想スイッチの設定で自分以外の宛先Macアドレスは破棄する設定にしている
–許可するとユーザの誤操作でループが発生する可能性大。。。