ipr500a 設定例集¤‰更履歴 第1版 1.それぞれのipsec 設定時に「設定はipr...
TRANSCRIPT
IPR500A 設定例集
第1版
変更履歴 第1版 1.それぞれの IPSec設定時に「設定は IPR の再起動後(または IPSecの再起動後)に有効となります」 を追記
VPN設定例
VPN 設定時の注意点 ・ 設定値にはあらかじめ初期値が埋め込まれています。
使用しない項目は初期値のまま変更しないでください。 空白にするなど初期値から変更して設定すると正常に通信できなくなることがあります。
・ IPSec1~3のリモート(相手側)ネットワークアドレスには初期値として、
「172.16.200.0/24」が埋め込まれています。 もし、このアドレスを実際にローカルアドレスとして使用している場合は、ネットワークアドレス 設定を初期値から適当な値(使用していないネットワークアドレス)に変更する必要があります。
VPN 設定例一覧
例1:IPR同士の IPSec 通信
例2:対Windows との IPSec 通信
例3:NAT-Traversal を利用した IPR同士の IPSec 通信
例4:IPR同士の IPSec 通信(IPR1 が動的に IPアドレスを取得する場合)
例5:対Windows との IPSec+L2TP通信
例6:IPSec パススルー
例1:IPR同士のIPSec通信
WAN LAN
IPR1
(LAN) IP:192.168.9.254 M:255.255.255.0
(WAN) IP:100.100.100.100 DHCPから取得 サーバ IPアドレス 200.200.200.200
IP:192.168.9.1 M:255.255.255.0
PC 1
IPR2
IP:192.168.1.1 M:255.255.255.0
PC 2
LAN
(WAN) IP:101.101.101.101 PPPoE(1)で取得 サーバ IPアドレス 201.201.201.201
(LAN) IP:192.168.1.254 M:255.255.255.0
WAN
イ
ン
タ
ー
ネ
ッ
ト
IPSecトンネリング範囲
IPR1,IPR2 とも固定 IP アドレス時の設定例です。動的 IP[アドレスを使用する場合は、 例4:IPR同士の IPSec通信(IPR1が動的に IPアドレスを取得する場合)を参照してください
注意
!
・ IPR1 共通設定画面
・各種設定データを入力します。
① [IPSec機能] IPSec機能を[使用する]を選択します。
② [WAN インタフェース]
使用しているWANインタフェースの接続方式を選択します。 ここでは、WAN側 IPアドレスをDHCP方式で取得しているため、[DHCP/固定アドレス]を 選択します。
③ [ローカル ID]
③-1 [IP アドレス] 自分側(IPR1)のWAN側 IPアドレスを入力します。ここでは「100.100.100.100」を入力します
③-2 [ドメイン名] 使用しません。初期値のまま変更しないで下さい。 空白で設定すると IPSec通信できません。
③-3 [メールアドレス] 使用しません。初期値のまま変更しないで下さい。 空白で設定すると IPSec通信できません。
③-4 [キーID] 使用しません。初期値のまま変更しないで下さい。 空白で設定すると IPSec通信できません。
④ [NAT Traversel]
[使用しない]を選択します。
⑤ [NAT KEEP-ALIVE タイマ]
使用しません。初期値(270秒)のまま変更しないで下さい。
⑥ [L2TP と組み合わせて] [使用しない]を選択します。
⑦ [IPSec1~IPSec3]選択
使用しません。
⑧ [パススルー時設定] 使用しません。初期値のまま変更しないで下さい。
・ IPR1 IPSec1設定画面
・各種設定データを入力します。
① [リモートアドレス] リモート(相手側)の IPアドレスを入力します。ここでは「101.101.101.101」を入力します。
② [フェーズ1鍵交換モード]
自分側、相手側が固定アドレスの場合は[main]モードを使用します。
自分側、相手側のどちらかが動的アドレスの場合は[aggressive]モードを使用します。
ここでは、自分側、相手側とも固定 IPアドレスなので[main]モードを選択します。
③ [共有秘密鍵]
共有秘密鍵を入力します。ここでは「ipsec1」を入力します。 相手側装置にも同じ鍵を設定します。
④ [IKE SA 用プロポーザル]
「DH Group1(768bit)」を選択します。 ここでは、「DH Group1(768bit)」を使用していますが、より強固なセキュリティーが求められている 場合は[DH Group2(1024bit)]を選択します。相手側装置にも同じ値を設定します。
⑤ [IPSec SA 用プロポーザル]
ここでは「自動」を選択します。相手側の要求に合わせるモードです。 暗号方式を指定したい場合は[DES]または[3DES]を選択します。 その場合、相手側装置にも同じ値を設定します。
⑥ [ローカル ID識別子タイプ]
自分側(IPR1)が固定 IPアドレスで使用する場合は[IP アドレス]を選択します。 動的 IPアドレスで使用する場合は、[ドメイン名][メールアドレス][キーID]のいずれかを 選択します。ここでは、自分側 IPアドレスが固定 IPアドレスなので[IP アドレス]を選択します。
⑦ [リモート ID識別子]
相手側(IPR2)の識別子を入力します。ここでは「101.101.101.101」を入力します
⑧ [リモート ID識別子タイプ] 相手側(IPR2)が固定 IPアドレスで使用する場合は[IP アドレス]を選択します。 動的 IPアドレスで使用する場合は、[ドメイン名][メールアドレス][キーID]のいずれかを 選択します。ここでは、相手側 IPアドレスが固定 IPアドレスなので[IP アドレス]を選択します。
⑨ [ローカルネットワーク情報] 自分側のLAN側、またはDMZ側のネットワークアドレスを指定します。 ここではLAN側に接続されているので「192.168.9.0」「255.255.255.0」を入力します。
⑩ [リモートネットワーク情報]
相手側のLAN側、またはDMZ側のネットワークアドレスを指定します。 ここではLAN側に接続されているので「192.168.1.0」「255.255.255.0」を入力します。
⑪ [ネクストゲートウェイ]
本装置から見て1つ上位のルータ(主にサーバアドレス)の IPアドレスを入力します。 ここでは「200.200.200.200」を入力します。
⑫ [IPSec SA の寿命設定]
LIFE TIME: IKE SAの寿命時間を設定します。 この値は、相手側装置の設定と合っていないと正常に通信できないことがあります。 ここでは初期値(28800秒)のまま変更しません。 LIFE BYTE: IKE SAの寿命転送量を設定します。 この値は、相手側装置の設定と合っていないと正常に通信できないことがあります。 ここでは初期値(無制限)のまま変更しません。
⑬ [IKE SA の寿命設定]
LIFE TIME: IKE SAの寿命時間を設定します。 この値は、相手側装置の設定と合っていないと正常に通信できないことがあります。 ここでは初期値(28800秒)のまま変更しません。 LIFE BYTE: IKE SAの寿命転送量を設定します。 この値は、相手側装置の設定と合っていないと正常に通信できないことがあります。 ここでは初期値(無制限)のまま変更しません。
⑭ [SA 確立契機] [起動時]を選択した場合は、起動時にSAを確立します。 [データ通信時]を選択した場合は、起動時にSAを確立しません。 データ通信時にSAを確立させます。
ここでは初期値(データ通信時)のまま変更しません。
[送信]をクリックし「正常終了」した状態は、設定が正常に終了したことを示します。 設定は IPR の再起動後(または IPSecの再起動後)に有効となります。
注意
!
・ IPR2 共通設定画面
・各種設定データを入力します。
① [IPSec機能] IPSec機能を[使用する]を選択します。
② [WAN インタフェース]
使用しているWANインタフェースの接続方式を選択します。 ここでは、WAN側 IPアドレスをPPPoE(1)で取得しているため、[PPPoE(1)]を選択します。
③ [ローカル ID]
③-1 [IP アドレス] 自分側(IPR1)のWAN側 IPアドレスを入力します。ここでは「101.101.101.101」を入力します
③-2 [ドメイン名] 使用しません。初期値のまま変更しないで下さい。 空白で設定すると IPSec通信できません。
③-3 [メールアドレス] 使用しません。初期値のまま変更しないで下さい。 空白で設定すると IPSec通信できません。
③-4 [キーID] 使用しません。初期値のまま変更しないで下さい。 空白で設定すると IPSec通信できません。
④ [NAT Traversel]
[使用しない]を選択します。
⑤ [NAT KEEP-ALIVE タイマ]
使用しません。初期値(270秒)のまま変更しないで下さい。
⑥ [L2TP と組み合わせて] [使用しない]を選択します。
⑦ [IPSec1~IPSec3]選択
使用しません。
⑧ [パススルー時設定] 使用しません。初期値のまま変更しないで下さい。
・ IPR2 IPSec1設定画面
・各種設定データを入力します。
① [リモートアドレス] リモート(相手側)の IPアドレスを入力します。ここでは「100.100.100.100」を入力します。
② [フェーズ1鍵交換モード]
自分側、相手側が固定アドレスの場合は[main]モードを使用します。
自分側、相手側のどちらかが動的アドレスの場合は[aggressive]モードを使用します。
ここでは、自分側、相手側とも固定 IPアドレスなので[main]モードを選択します。
③ [共有秘密鍵]
共有秘密鍵を入力します。ここでは「ipsec1」を入力します。 相手側装置にも同じ鍵を設定します。
④ [IKE SA 用プロポーザル]
「DH Group1(768bit)」を選択します。 ここでは、「DH Group1(768bit)」を使用していますが、より強固なセキュリティーが求められている 場合は[DH Group2(1024bit)]を選択します。相手側装置にも同じ値を設定します。
⑤ [IPSec SA 用プロポーザル]
ここでは「自動」を選択します。相手側の要求に合わせるモードです。 暗号方式を指定したい場合は[DES]または[3DES]を選択します。 その場合、相手側装置にも同じ値を設定します。
⑥ [ローカル ID識別子タイプ]
自分側(IPR1)が固定 IPアドレスで使用する場合は[IP アドレス]を選択します。 動的 IPアドレスで使用する場合は、[ドメイン名][メールアドレス][キーID]のいずれかを 選択します。ここでは、自分側 IPアドレスが固定 IPアドレスなので[IP アドレス]を選択します。
⑦ [リモート ID識別子]
相手側(IPR1)の識別子を入力します。ここでは「100.100.100.100」を入力します
⑧ [リモート ID識別子タイプ] 相手側(IPR2)が固定 IPアドレスで使用する場合は[IP アドレス]を選択します。 動的 IPアドレスで使用する場合は、[ドメイン名][メールアドレス][キーID]のいずれかを 選択します。ここでは、相手側 IPアドレスが固定 IPアドレスなので[IP アドレス]を選択します。
⑨ [ローカルネットワーク情報] 自分側のLAN側、またはDMZ側のネットワークアドレスを指定します。 ここではLAN側に接続されているので「192.168.1.0」「255.255.255.0」を入力します。
⑩ [リモートネットワーク情報]
相手側のLAN側、またはDMZ側のネットワークアドレスを指定します。 ここではLAN側に接続されているので「192.168.9.0」「255.255.255.0」を入力します。
⑪ [ネクストゲートウェイ]
本装置から見て1つ上位のルータ(主にサーバアドレス)の IPアドレスを入力します。 ここでは「201.201.201.201」を入力します。
⑫ [IPSec SA の寿命設定]
LIFE TIME: IKE SAの寿命時間を設定します。 この値は、相手側装置の設定と合っていないと正常に通信できないことがあります。 ここでは初期値(28800秒)のまま変更しません。 LIFE BYTE: IKE SAの寿命転送量を設定します。 この値は、相手側装置の設定と合っていないと正常に通信できないことがあります。 ここでは初期値(無制限)のまま変更しません。
⑬ [IKE SA の寿命設定]
LIFE TIME: IKE SAの寿命時間を設定します。 この値は、相手側装置の設定と合っていないと正常に通信できないことがあります。 ここでは初期値(28800秒)のまま変更しません。 LIFE BYTE: IKE SAの寿命転送量を設定します。 この値は、相手側装置の設定と合っていないと正常に通信できないことがあります。 ここでは初期値(無制限)のまま変更しません。
⑭ [SA 確立契機] [起動時]を選択した場合は、起動時にSAを確立します。 [データ通信時]を選択した場合は、起動時にSAを確立しません。 データ通信時にSAを確立させます。
ここでは初期値(データ通信時)のまま変更しません。 [送信]をクリックし「正常終了」した状態は、設定が正常に終了したことを示します。
設定は IPR の再起動後(または IPSecの再起動後)に有効となります。 注意
!
例2:対Windowsとの IPSec通信
WAN LAN
IPR1
(LAN) IP:192.168.9.254 M:255.255.255.0
IP:192.168.9.1 M:255.255.255.0
PC 1
イ
ン
タ
ー
ネ
ッ
ト
(WAN) IP:100.100.100.100 DHCPから取得 サーバ IPアドレス 200.200.200.200
Windows2000またはXPIP:101.101.101.101 PPPoEで取得 サーバ IPアドレス 201.201.201.201
IPSecトンネリング範囲
IPR、Windows とも固定アドレス時のみ通信可能です。動的アドレスでは通信できません 注意 !
Windows2000 またはXP に実装されている IPSec機能を利用して、IPR-Windows 間で IPSec通信をする設定です。
注意
!
・ IPR1 の設定 IPR1の設定は、「例1:IPR 同士の IPSec通信」の IPR1の設定とほとんど同じです。 リモートネットワーク情報のみ「101.101.101.101」「255.255.255.255」に変更してください。 それ以外は、例1を参照してください。
[送信]をクリックし「正常終了」した状態は、設定が正常に終了したことを示します。 設定は IPR の再起動後(または IPSecの再起動後)に有効となります。
注意
!
・ Windows の設定 WindowsXP-Home をお使いの方は、[手順1] からのスタート、 Windows2000、またはXP-Pro をお使いの方は [手順2] からのスタートとなります [手順1]ローカルセキュリティーポリシーの起動 1. Windows の「スタート」ボタンより「ファイル名を指定して実行」を起動します。
名前欄に「mmc」と入力して [OKボタン] をクリックします 2.コンソールが表示されますので「ファイル(F)」より「スナップインの追加と削除」を選択します。
3.「スナップインの追加と削除」画面の「スタンドアロン」の [追加ボタン] をクリックします 4.「スタンドアロン スナップインの追加」画面より、「IP セキュリティポリシーの管理」を選択し [追加ボタン] をクリックします
5.コンピュータまたはドメインの選択画面より、「ローカルコンピュータ」を選択し [完了ボタン] をクリックします 6.コンソール ルートに「ローカルコンピュータの IP セキュリティポリシー」が登録されたのを確認 します
[手順2]セキュリティーポリシーの登録 1.「ローカルコンピュータの IP セキュリティポリシー」をクリックしてポリシーを一覧表示します (Windows2000、XP-Proの場合はコントロールパネルより「管理ツール」を開き「ローカルセキュリ ティポリシー」を起動してください) 「操作」より「IP セキュリティポリシーの作成」を選択すると IP セキュリティポリシーウィザードを開始します 2.「次へボタン」をクリックします
3.新規で登録する IP セキュリティポリシー名を設定します。適当な名前をつけて 「次へ」ボタンを クリックします
4.セキュリティで保護された通信の要求設定を行います。「規定の応答規則をアクティブにする」の チェックボックスをOFF にして「次へ」ボタンをクリックします
5.IP セキュリティポリシーウィザードの完了画面の「プロパティを編集する」チェックボックスを OFF にして「次へ」ボタンをクリックします
6.名前をつけた IP セキュリティポリシー名が登録されていることを確認します。 IP セキュリティポリシー名をダブルクリックして[手順3]に進みます。
[手順3]セキュリティーポリシーのプロパティ変更 1.プロパティ変更画面の「全般」タブをクリックして、画面左下の「詳細設定」ボタンをクリックします 2.キー交換の設定画面が表示されますが、何も変更せず「メソッド」ボタンをクリックします。
3.キー交換セキュリティメソッドの設定を行います。リストビューに4つの設定が並んでいますが、 必要ないものは削除します。(削除しなくても正常に通信は行えますが、どの方式で通信を行っているのか
解らなくなります) ここでは、「暗号化=DES」「整合性=MD5」「Diffie-Hellman グループ=低」を使用することとします。
4. 必要ないキュリティメソッドを削除したら「OK」ボタンをクリックして、
[手順4]に進みます。
この設定は IPR と共通にする必要があります。「Diffie-Hellman グループ=低」に設定する場合、
IPR1のVPN 設定 IPSec1設定の IKE SA 用プロポーザルを「DH Group1(768bit)」に 設定します。「Diffie-Hellman グループ=中」に設定する場合は、IKE SA 用プロポーザルを 「DH Group2(1024bit)」に設定します
注意
!
[手順4]セキュリティ規則の追加(送信用フィルタの設定) 1.IP セキュリティポリシーのプロパティ画面で「規則」のタブを開きます。 送信用と受信用の2つの規則の登録を行います。画面右下の「追加ウィザードを使用」の
チェックボックスがON になっているのを確認してから 「追加」ボタンを押してください。 2.セキュリティの規則ウィザードが起動しますので、 「次へ」ボタンをクリックしてください。 まず、送信用フィルタの登録を行います。
3.トンネルエンドポイントの設定を行います。 「次の IP アドレスでトンネルのエンドポイントを指定する」を選択し、IP アドレスには対向側となる
IPR1のWAN 側の IP アドレス(ここでは100.100.100.100 となります)を入力して「次へ」ボタンを クリックしてください。
4.「すべてのネットワーク接続」を選択し「次へ」ボタンをクリックしてください。
5.「次の文字列をキー交換 (事前共有キー)の保護に使う」を選択し、すぐ下の入力フィールドに 事前共有キーを設定し「次へ」ボタンをクリックしてください。
6.「IP フィルタ一覧」画面が表示されます。画面右側の「追加」ボタンを押してください。
対Windows との事前共有キーは小文字のみ有効です 大文字を使用すると正常に IPSec通信できません
注意
!
7.「IP フィルタ一覧」と タイトルバーに表示された画面が開きますので、名前のフィールドに 適当な名前を入力し、 「追加ウィザードを使用」のチェックがON になっていることを確認して 「追加」ボタンを クリックしてください。
8.IP フィルタウィザードが起動しましたら「次へ」ボタンを押します。
9.IP トラフィックの発信元の設定を行います。 送信用の設定ですので、発信元アドレスには「このコンピュータの IP アドレス」を選択して「次へ」 ボタンをクリックしてください。 10.IP トラフィックの宛先の設定を行います。通信先のプライベートネットワークの設定を入力します。
ここでは宛先アドレスには 「特定の IP サブネット」を選択し、IP アドレスは「192.168.9.0」、 サブネットマスクには 「255.255.255.0」として「次へ」ボタンを押してください。
11.IP プロトコル種類の設定を行います。「任意」を選択して「次へ」ボタンをクリックしてください。 12.IP フィルタウィザードの 完了画面になりますので、「プロパティを編集する」のチェックをOFF
にして「完了」ボタンを クリックしてください。
13.IP フィルタの一覧画面に戻りますので、に戻りますので、 作成したフィルタを選択し「次へ」 ボタンをクリックしてください。
14.フィルタ操作画面になりますので、「追加ウィザードを使用」のチェックが ON になっていることを確認
して「追加」ボタンを クリックしてください。
15.フィルタ操作ウィザードが開始しますので「次へ」ボタンをクリックします。 16.フィルタ操作名の設定をします。適当な名前をつけて「次へ」ボタンをクリックしてください。
17.フィルタ操作の全般オプションの設定を行います。「セキュリティのネゴシエート」を選択して
「次へ」ボタンをクリックしてください。 18.IPSecをサポートしないコンピュータと通信中の設定を行います。 「IPSecをサポートしないコンピュータと通信しない」 を選択して「次へ」ボタンをクリックしてください。
19.IP トラフィックセキュリティの設定を行います。「カスタム」を選択し「設定」ボタンをクリック してください。
20.セキュリティメソッドのカスタム設定を行います。「データの整合性と暗号化」のチェックを
ON にして整合性アルゴリズムには「MD5」、暗号化アルゴリズムには「DES」を選択し、 セッションキーの設定では右側の「新しいキーの生成間隔(R)」をON にして鍵の寿命 を設定して ください。ここでは「28800」を入力します。設定が完了したら、「OK」ボタンをクリックします。
キーの生成間隔は IPR1と同一の値に設定してください。 設定値が異なる場合、正常につながらないことがあります。
注意
!
21.ウィザードの完了画面になりますので、そのまま「次へ」ボタンをクリックしてください。 22.フィルタ操作の設定画面に戻りますので、作成した新しいフィルタを選択して「次へ」ボタンを
クリックしてください。これで送信用フィルタの登録は完了です。「プロパティを編集する」の チェックがOFF になっていることを確認して「完了」ボタンをクリックしてウィザードを終了 してください。
[手順5]セキュリティ規則の追加(受信用フィルタの設定) 1.IP セキュリティポリシーのプロパティ画面で「規則」のタブを開きます。 受信用の規則の登録を行います。画面右下の「追加ウィザードを使用」の
チェックボックスがON になっているのを確認してから 「追加」ボタンを押してください。 2.セキュリティの規則ウィザードが起動しますので、 「次へ」ボタンをクリックしてください。
3.トンネルエンドポイントの設定を行います。 「次の IP アドレスでトンネルのエンドポイントを指定する」を選択し、IP アドレスには対向側となる
WindowsPC の IP アドレス(ここでは101.101.101.101 となります)を入力して「次へ」ボタンを クリックしてください。
4.「すべてのネットワーク接続」を選択し「次へ」ボタンをクリックしてください。
5.「次の文字列をキー交換 (事前共有キー)の保護に使う」を選択し、すぐ下の入力フィールドに 事前共有キーを設定し「次へ」ボタンをクリックしてください。
6.「IP フィルタ一覧」画面が表示されます。画面右側の「追加」ボタンを押してください。
対Windows との事前共有キーは小文字のみ有効です 大文字を使用すると正常に IPSec通信できません
注意
!
7.「IP フィルタ一覧」と タイトルバーに表示された画面が開きますので、名前のフィールドに 適当な名前を入力し、 「追加ウィザードを使用」のチェックがON になっていることを確認して 「追加」ボタンを クリックしてください。
8.IP フィルタウィザードが起動しましたら「次へ」ボタンを押します。
9.IP トラフィックの発信元の設定を行います。 受信用の設定ですので、発信元アドレスには通信先のプライベートネットワークの設定を入力します。
ここでは宛先アドレスには 「特定の IP サブネット」を選択し、IP アドレスは「192.168.9.0」、 サブネットマスクには 「255.255.255.0」として「次へ」ボタンを押してください。
10. IP トラフィックの宛先の設定を行います。受信用の設定ですので、宛先アドレスには
「このコンピュータの IP アドレス」を選択して「次へ」ボタンをクリックしてください。
11.IP プロトコル種類の設定を行います。「任意」を選択して「次へ」ボタンをクリックしてください。 12.IP フィルタウィザードの 完了画面になりますので、「プロパティを編集する」のチェックをOFF
にして「完了」ボタンを クリックしてください。
13.IP フィルタの一覧画面に戻りますので、に戻りますので、 作成したフィルタを選択し「次へ」 ボタンをクリックしてください。
14.フィルタ操作画面になりますので、送信用フィルタ登録時に作成したフィルタを選択します。
「次へ」ボタンをクリックしてください。(セキュリティ規則フィルタは送信用、受信用共通です)
15.「新しい規則ウィザード」の完了画面になりますので、「プロパティを編集する」チェックボタンが OFF となっていることを確認してから 「完了」ボタンをクリックしてください。
16.「送信用」「受信用」2つのフィルタがリスト上にチェックボタンがON になった状態で表示されて
いるので確認してください。「適用」ボタンを押し、「OK」ボタンを押してください。
17. IP セキュリティポリシー一覧画面に作成したポリシーが表示されますので、操作メニューより 「割り当て」を実行してください。これでWindows の設定は完了です。
例3:NAT-Traversalを利用した IPR同士の IPSec通信 ・ 設定している相手先 IPSec 装置との通信経路中に、NAT 動作を行うルータ(アドレス、ポート変換)が
存在していると、NAT 装置がアドレス変換時に IPSec データを破壊してしまい、正常に IPSec 通信でき
ないことがあります。 この場合は、NAT-Traversal 機能を使用することで IPSec通信が可能となります
[接続環境]
WAN LAN
IPR1
(LAN) IP:192.168.9.254 M:255.255.255.0
IP:192.168.9.1 M:255.255.255.0
PC 1
IPR2
IP:192.168.1.1 M:255.255.255.0
PC 2
LAN
(LAN) IP:192.168.1.254 M:255.255.255.0
WAN
イ
ン タ
ー
ネ
ッ
ト NAT 装置
(LAN) IP:192.168.3.254 M:255.255.255.0
(WAN) DHCPで取得(動的)
(WAN) IP:100.100.100.100 DHCPから取得 サーバ IPアドレス 200.200.200.200
(WAN) IP:101.101.101.101 PPPoE(1)で取得 サーバ IPアドレス 201.201.201.201
Windows はaggressiveモードを実装していないためWindowsPC との通信はできません。 注意 !
必ず、動的 IP 側(ここでは IPR1)がイニシエータ(発信者)となります。 注意 !
IPR1 共通設定画面
・各種設定データを入力します。
① [IPSec機能] IPSec機能を[使用する]を選択します。
② [WAN インタフェース]
WAN側 IPアドレスをDHCP方式で取得しているため、[DHCP/固定アドレス]を選択します。
③ [ローカル ID]
③-1 [IP アドレス] 自分側(IPR1)のWAN側 IPアドレスを入力します。ここでは「0.0.0.0」を入力します
③-2 [ドメイン名] 自分側の IDにドメイン名を使用します。ここでは「test.com」を入力します。
③-3 [メールアドレス] 使用しません。初期値のまま変更しないで下さい。
③-4 [キーID] 使用しません。初期値のまま変更しないで下さい。
④ [NAT Traversel] NAT Traverselを使用して IPSec通信を行うため[使用する]を選択します。
⑤ [NAT KEEP-ALIVE タイマ]
NAT装置のセッションを維持するための送信間隔を入力します。 通常は初期値(270秒)のまま変更しません。
⑥ [L2TP と組み合わせて]
[使用しない]を選択します。
⑦ [IPSec1~IPSec3]選択 使用しません。
⑧ [パススルー時設定] 使用しません。初期値のまま変更しないで下さい。
設定例では自分側の識別子をドメイン名を使用していますが、メールアドレス、または キーIDを使用することも可能です。
注意
!
・ IPR1 IPSec1設定画面
・各種設定データを入力します。
① [リモートアドレス] リモート(相手側)の IPアドレスを入力します。ここでは「101.101.101.101」を入力します。
② [フェーズ1鍵交換モード]
自分側のWAN側 IPアドレスが、動的アドレスなので[aggressive]モードを選択します。
③ [共有秘密鍵]
共有秘密鍵を入力します。ここでは「ipsec1」を入力します。 相手側装置にも同じ鍵を設定します。
④ [IKE SA 用プロポーサル]
ここでは「DH Group1(768bit)」を選択します。
⑤ [IPSec SA 用プロポーサル] ここでは「自動」を選択します。相手側の要求に合わせるモードです。
⑥ [ローカル ID識別子タイプ]
自分側(IPR1)の識別子にドメイン名を使用しているので[ドメイン名]を選択します。
⑦ [リモート ID識別子] 相手側(IPR2)の識別子を入力します。ここでは「101.101.101.101」を入力します
⑧ [リモート ID識別子タイプ]
相手側(IPR2)のWAN側 IPアドレスは固定アドレスなので[IP アドレス]を選択します。
⑨ [ローカルネットワーク情報] 自分側のLAN側、またはDMZ側のネットワークアドレスを指定します。 ここではLAN側に接続されているので「192.168.9.0」「255.255.255.0」を入力します。
⑩ [リモートネットワーク情報]
相手側のLAN側、またはDMZ側のネットワークアドレスを指定します。 ここではLAN側に接続されているので「192.168.1.0」「255.255.255.0」を入力します。
⑪ [ネクストゲートウェイ]
本装置から見て1つ上位のルータ(主にサーバアドレス)の IPアドレスを入力します。 ここでは「192.168.3.254」を入力します。
⑫ [IPSec SA の寿命設定]
LIFE TIME: IKE SAの寿命時間を設定します。 ここでは初期値(28800秒)のまま変更しません。 LIFE BYTE: IKE SAの寿命転送量を設定します。 ここでは初期値(無制限)のまま変更しません。
⑬ [IKE SA の寿命設定]
LIFE TIME: IKE SAの寿命時間を設定します。 ここでは初期値(28800秒)のまま変更しません。 LIFE BYTE: IKE SAの寿命転送量を設定します。 ここでは初期値(無制限)のまま変更しません。
⑭ [SA 確立契機] ここでは初期値(データ通信時)のまま変更しません。
[送信]をクリックし「正常終了」した状態は、設定が正常に終了したことを示します。 設定は IPR の再起動後(または IPSecの再起動後)に有効となります。
注意
!
・ IPR2 共通設定画面
・各種設定データを入力します。
① [IPSec機能] IPSec機能を[使用する]を選択します。
② [WAN インタフェース]
WAN側 IPアドレスをPPPoE(1)で取得しているため、[PPPoE(1)]を選択します。
③ [ローカル ID]
③-1 [IP アドレス] 自分側(IPR2)のWAN側 IPアドレスを入力します。ここでは「101.101.101.101」を入力します
③-2 [ドメイン名] 使用しません。初期値のまま変更しないで下さい。
③-3 [メールアドレス] 使用しません。初期値のまま変更しないで下さい。
③-4 [キーID] 使用しません。初期値のまま変更しないで下さい。
④ [NAT Traversel]
NAT Traverselを使用して IPSec通信を行うため[使用する]を選択します。
⑤ [NAT KEEP-ALIVE タイマ]
NAT装置のセッションを維持するための送信間隔を入力します。 通常は初期値(270秒)のまま変更しません。
⑥ [L2TP と組み合わせて]
[使用しない]を選択します。
⑦ [IPSec1~IPSec3]選択 使用しません。
⑧ [パススルー時設定] 使用しません。初期値のまま変更しないで下さい。
・ IPR2 IPSec1設定画面
・各種設定データを入力します。
① [リモートアドレス] リモート(相手側)の IPアドレスを入力します。ここでは「0.0.0.0」を入力します。
② [フェーズ1鍵交換モード]
相手側のWAN側 IPアドレスが、動的アドレスなので[aggressive]モードを選択します。
③ [共有秘密鍵]
共有秘密鍵を入力します。ここでは「ipsec1」を入力します。 相手側装置にも同じ鍵を設定します。
④ [IKE SA 用プロポーサル]
ここでは「DH Group1(768bit)」を選択します。
⑤ [IPSec SA 用プロポーサル] ここでは「自動」を選択します。相手側の要求に合わせるモードです。
⑥ [ローカル ID識別子タイプ]
WAN側 IPアドレスが、固定アドレスなので[IP アドレス]を選択します。
⑦ [リモート ID識別子] 相手側(IPR1)の識別子を入力します。ここでは「test.com」を入力します
⑧ [リモート ID識別子タイプ]
相手側(IPR1)の識別子にドメイン名を使用しているので[ドメイン名]を選択します。
⑨ [ローカルネットワーク情報] 自分側のLAN側、またはDMZ側のネットワークアドレスを指定します。 ここではLAN側に接続されているので「192.168.1.0」「255.255.255.0」を入力します。
⑩ [リモートネットワーク情報]
相手側のLAN側、またはDMZ側のネットワークアドレスを指定します。 ここではLAN側に接続されているので「192.168.9.0」「255.255.255.0」を入力します。
⑪ [ネクストゲートウェイ]
本装置から見て1つ上位のルータ(主にサーバアドレス)の IPアドレスを入力します。 ここでは「201.201.201.201」を入力します。
⑫ [IPSec SA の寿命設定]
LIFE TIME: IKE SAの寿命時間を設定します。 ここでは初期値(28800秒)のまま変更しません。 LIFE BYTE: IKE SAの寿命転送量を設定します。 ここでは初期値(無制限)のまま変更しません。
⑬ [IKE SA の寿命設定]
LIFE TIME: IKE SAの寿命時間を設定します。 ここでは初期値(28800秒)のまま変更しません。 LIFE BYTE: IKE SAの寿命転送量を設定します。 ここでは初期値(無制限)のまま変更しません。
⑭ [SA 確立契機] ここでは初期値(データ通信時)のまま変更しません。
一方を動的アドレスで取得している接続の場合、固定アドレス側のSA 確立契機を[起動時]に 設定してしまうと正常に通信できません。固定アドレス側(ここでは IPR2)は必ず [データ通信時]に設定して下さい
注意 !
[送信]をクリックし「正常終了」した状態は、設定が正常に終了したことを示します。 設定は IPR の再起動後(または IPSecの再起動後)に有効となります。
注意
!
例4:IPR同士の IPSec通信(IPR1が動的に IPアドレスを取得する場合)
WAN LAN
IPR1
(LAN) IP:192.168.9.254 M:255.255.255.0
IP:192.168.9.1 M:255.255.255.0
PC 1
IPR2
IP:192.168.1.1 M:255.255.255.0
PC 2
LAN
(LAN) IP:192.168.1.254 M:255.255.255.0
WAN
イ
ン
タ
ー
ネ
ッ
ト
(WAN) IP:101.101.101.101 PPPoE(1)で取得 サーバ IPアドレス 201.201.201.201
Windows はaggressiveモードを実装していないためWindowsPC との通信はできません。 注意 !
必ず、動的 IP 側(ここでは IPR1)がイニシエータ(発信者)となります。 注意 !
(WAN) PPPoE(1)で取得(動的)
サーバ IPアドレス (動的)
IPR1 共通設定画面
・各種設定データを入力します。
① [IPSec機能] IPSec機能を[使用する]を選択します。
② [WAN インタフェース]
WAN側 IPアドレスをPPPoE(1)で取得しているため、[PPPoE(1)]を選択します。
③ [ローカル ID]
③-1 [IP アドレス] 自分側(IPR1)のWAN側 IPアドレスを入力します。ここでは「0.0.0.0」を入力します
③-2 [ドメイン名] 使用しません。初期値のまま変更しないで下さい。
③-3 [メールアドレス] 自分側の IDにメールアドレスを使用します。ここでは「[email protected]」を入力します。
③-4 [キーID] 使用しません。初期値のまま変更しないで下さい。
④ [NAT Traversel] [使用しない]を選択します。
⑤ [NAT KEEP-ALIVE タイマ]
使用しません。初期値(270秒)のまま変更しないで下さい。
⑥ [L2TP と組み合わせて] [使用しない]を選択します。
⑦ [IPSec1~IPSec3]選択
使用しません。
⑧ [パススルー時設定] 使用しません。初期値のまま変更しないで下さい。
設定例では自分側の識別子をメールアドレスを使用していますが、ドメイン名、または キーIDを使用することも可能です。
注意
!
・ IPR1 IPSec1設定画面
各種設定データを入力します。
① [リモートアドレス] リモート(相手側)の IPアドレスを入力します。ここでは「101.101.101.101」を入力します。
② [フェーズ1鍵交換モード]
自分側のWAN側 IPアドレスが、動的アドレスなので[aggressive]モードを選択します。
③ [共有秘密鍵]
共有秘密鍵を入力します。ここでは「ipsec1」を入力します。 相手側装置にも同じ鍵を設定します。
④ [IKE SA 用プロポーサル]
ここでは「DH Group1(768bit)」を選択します。
⑤ [IPSec SA 用プロポーサル] ここでは「自動」を選択します。相手側の要求に合わせるモードです。
⑥ [ローカル ID識別子タイプ]
自分側(IPR1)の識別子にメールアドレスを使用しているので[メールアドレス]を選択します。
⑦ [リモート ID識別子] 相手側(IPR2)の識別子を入力します。ここでは「101.101.101.101」を入力します
⑧ [リモート ID識別子タイプ]
相手側(IPR2)のWAN側 IPアドレスは固定アドレスなので[IP アドレス]を選択します。
⑨ [ローカルネットワーク情報] 自分側のLAN側、またはDMZ側のネットワークアドレスを指定します。 ここではLAN側に接続されているので「192.168.9.0」「255.255.255.0」を入力します。
⑩ [リモートネットワーク情報]
相手側のLAN側、またはDMZ側のネットワークアドレスを指定します。 ここではLAN側に接続されているので「192.168.1.0」「255.255.255.0」を入力します。
⑪ [ネクストゲートウェイ]
本装置から見て1つ上位のルータ(主にサーバアドレス)の IPアドレスを入力します。 ここでは、「0.0.0.0」を入力します。
⑫ [IPSec SA の寿命設定]
LIFE TIME: IKE SAの寿命時間を設定します。 ここでは初期値(28800秒)のまま変更しません。 LIFE BYTE: IKE SAの寿命転送量を設定します。 ここでは初期値(無制限)のまま変更しません。
⑬ [IKE SA の寿命設定]
LIFE TIME: IKE SAの寿命時間を設定します。 ここでは初期値(28800秒)のまま変更しません。 LIFE BYTE: IKE SAの寿命転送量を設定します。 ここでは初期値(無制限)のまま変更しません。
⑭ [SA 確立契機] ここでは初期値(データ通信時)のまま変更しません。
[送信]をクリックし「正常終了」した状態は、設定が正常に終了したことを示します。 設定は IPR の再起動後(または IPSecの再起動後)に有効となります。
注意
!
・ IPR2 共通設定画面
各種設定データを入力します。
① [IPSec機能] IPSec機能を[使用する]を選択します。
② [WAN インタフェース]
WAN側 IPアドレスをPPPoE(1)で取得しているため、[PPPoE(1)]を選択します。
③ [ローカル ID]
③-1 [IP アドレス] 自分側(IPR2)のWAN側 IPアドレスを入力します。ここでは「101.101.101.101」を入力します
③-2 [ドメイン名] 使用しません。初期値のまま変更しないで下さい。
③-3 [メールアドレス] 使用しません。初期値のまま変更しないで下さい。
③-4 [キーID] 使用しません。初期値のまま変更しないで下さい。
④ [NAT Traversel]
[使用しない]を選択します。
⑤ [NAT KEEP-ALIVE タイマ]
使用しません。初期値(270秒)のまま変更しないで下さい。
⑥ [L2TP と組み合わせて] [使用しない]を選択します。
⑦ [IPSec1~IPSec3]選択
使用しません。
⑧ [パススルー時設定] 使用しません。初期値のまま変更しないで下さい。
・ IPR2 IPSec1設定画面
各種設定データを入力します。
① [リモートアドレス] リモート(相手側)の IPアドレスを入力します。ここでは「0.0.0.0」を入力します。
② [フェーズ1鍵交換モード]
相手側のWAN側 IPアドレスが、動的アドレスなので[aggressive]モードを選択します。
③ [共有秘密鍵]
共有秘密鍵を入力します。ここでは「ipsec1」を入力します。 相手側装置にも同じ鍵を設定します。
④ [IKE SA 用プロポーサル]
ここでは「DH Group1(768bit)」を選択します。
⑤ [IPSec SA 用プロポーサル] ここでは「自動」を選択します。相手側の要求に合わせるモードです。
⑥ [ローカル ID識別子タイプ]
WAN側 IPアドレスが、固定アドレスなので[IP アドレス]を選択します。
⑦ [リモート ID識別子] 相手側(IPR1)の識別子を入力します。ここでは「[email protected]」を入力します
⑧ [リモート ID識別子タイプ]
相手側(IPR1)の識別子にメールアドレスを使用しているので[メールアドレス]を選択します。
⑨ [ローカルネットワーク情報] 自分側のLAN側、またはDMZ側のネットワークアドレスを指定します。 ここではLAN側に接続されているので「192.168.1.0」「255.255.255.0」を入力します。
⑩ [リモートネットワーク情報]
相手側のLAN側、またはDMZ側のネットワークアドレスを指定します。 ここではLAN側に接続されているので「192.168.9.0」「255.255.255.0」を入力します。
⑪ [ネクストゲートウェイ]
本装置から見て1つ上位のルータ(主にサーバアドレス)の IPアドレスを入力します。 ここでは「201.201.201.201」を入力します。
⑫ [IPSec SA の寿命設定]
LIFE TIME: IKE SAの寿命時間を設定します。 ここでは初期値(28800秒)のまま変更しません。 LIFE BYTE: IKE SAの寿命転送量を設定します。 ここでは初期値(無制限)のまま変更しません。
⑬ [IKE SA の寿命設定]
LIFE TIME: IKE SAの寿命時間を設定します。 ここでは初期値(28800秒)のまま変更しません。 LIFE BYTE: IKE SAの寿命転送量を設定します。 ここでは初期値(無制限)のまま変更しません。
⑭ [SA 確立契機] ここでは初期値(データ通信時)のまま変更しません。
一方を動的アドレスで取得している接続の場合、固定アドレス側のSA 確立契機を[起動時]に 設定してしまうと正常に通信できません。固定アドレス側(ここでは IPR2)は必ず [データ通信時]に設定して下さい
注意 !
[送信]をクリックし「正常終了」した状態は、設定が正常に終了したことを示します。 設定は IPR の再起動後(または IPSecの再起動後)に有効となります。
注意
!
例5:対Windowsとの IPSec+L2TP通信 ・対Windowsとの IPSec通信にて、より強固なセキュリティが要求されている場合は L2TPと組み合わせて接続することができます。
WAN LAN
IPR1
(LAN) IP:192.168.9.254 M:255.255.255.0
IP:192.168.9.1 M:255.255.255.0
PC 1
Windows2000またはXPIP:101.101.101.101 PPPoEで取得
イ
ン
タ
ー
ネ
ッ
ト
(WAN) IP:100.100.100.100 PPPoE(1)で取得 サーバ IPアドレス 200.200.200.200
Windows2000,XP 側がイニシエータ(発信者)とした場合のみ対応しています。 注意 !
IPR1、WindowsPC がともに固定的に IP アドレスを持っている必要があります。 (動的アドレスでは接続できません)
注意
!
IPR1 共通設定画面
各種設定データを入力します。
① [IPSec機能] IPSec機能を[使用する]を選択します。
② [WAN インタフェース]
WAN側 IPアドレスをPPPoE(1)で取得しているため、[PPPoE(1)]を選択します。
③ [ローカル ID]
③-1 [IP アドレス] 自分側(IPR1)のWAN側 IPアドレスを入力します。ここでは「100.100.100.100」を入力します
③-2 [ドメイン名] 使用しません。初期値のまま変更しないで下さい。
③-3 [メールアドレス] 使用しません。初期値のまま変更しないで下さい。
③-4 [キーID] 使用しません。初期値のまま変更しないで下さい。
④ [NAT Traversel]
[使用しない]を選択します。
⑤ [NAT KEEP-ALIVE タイマ]
使用しません。初期値(270秒)のまま変更しないで下さい。
⑥ [L2TP と組み合わせて] [使用する]を選択します。
⑦ [IPSec1~IPSec3]選択
ここでは、IPSec1を選択します。
⑧ [パススルー時設定] 使用しません。初期値のまま変更しないで下さい。
・ IPR1 IPSec1設定画面
各種設定データを入力します。
① [リモートアドレス] リモート(相手側)の IPアドレスを入力します。ここでは「101.101.101.101」を入力します。
② [フェーズ1鍵交換モード]
WAN側 IPアドレスが、自分側、相手側とも固定アドレスなので[main]モードを選択します。
③ [共有秘密鍵]
共有秘密鍵を入力します。ここでは「ipsec1」を入力します。 相手側装置にも同じ鍵を設定します。
④ [IKE SA 用プロポーサル]
ここでは「DH Group1(768bit)」を選択します。
⑤ [IPSec SA 用プロポーサル] ここでは「自動」を選択します。相手側の要求に合わせるモードです。
⑥ [ローカル ID識別子タイプ]
WAN側 IPアドレスが、固定アドレスなので[IP アドレス]を選択します。
⑦ [リモート ID識別子] 相手側(IPR2)の識別子を入力します。ここでは「101.101.101.101」を入力します
⑧ [リモート ID識別子タイプ]
相手側(IPR2)のWAN側 IPアドレスも固定アドレスなので[IP アドレス]を選択します。
⑨ [ローカルネットワーク情報] L2TPと組み合わせて使用するときは、自分側(IPR1)のWAN側 IPアドレスを入力します。 ここでは「100.100.100.100」「255.255.255.255」を入力します
⑩ [リモートネットワーク情報]
L2TPと組み合わせて使用するときは、相手側(IPR2)の IPアドレスを入力します。 ここでは「101.101.101.101」「255.255.255.255」を入力します
⑪ [ネクストゲートウェイ]
本装置から見て1つ上位のルータ(主にサーバアドレス)の IPアドレスを入力します。 ここでは「200.200.200.200」を入力します。
⑫ [IPSec SA の寿命設定]
LIFE TIME: IKE SAの寿命時間を設定します。 ここでは初期値(28800秒)のまま変更しません。 LIFE BYTE: IKE SAの寿命転送量を設定します。 ここでは初期値(無制限)のまま変更しません。
⑬ [IKE SA の寿命設定]
LIFE TIME: IKE SAの寿命時間を設定します。 ここでは初期値(28800秒)のまま変更しません。 LIFE BYTE: IKE SAの寿命転送量を設定します。 ここでは初期値(無制限)のまま変更しません。
⑭ [SA 確立契機] ここでは初期値(データ通信時)のまま変更しません。
[送信]をクリックし「正常終了」した状態は、設定が正常に終了したことを示します。 設定は IPR の再起動後(または IPSecの再起動後)に有効となります。
注意
!
IPR1 L2TP設定画面
各種設定データを入力します。
① [L2TP トンネルローカルアドレス] L2TPトンネルのローカル(自分側)のアドレスを入力します。 ここでは「172.16.0.1」を入力します。
② [L2TP トンネルリモート割り当てアドレス] L2TPトンネルリモート(相手側)に割り当てるアドレスを入力します。
ここでは「172.16.0.20」を入力します。
③ [認証方式] L2TP接続するための認証方式を指定します。認証なしでも構いませんが、ここでは「PAP」を 選択します。
④ [ユーザ名]
認証に必要なユーザ名を登録します。ここでは「user」を入力します。
⑤ [パスワード] 認証に必要なパスワードを登録します。ここでは「pass」を入力します。
L2TP トンネルアドレスは仮想的なアドレスなので何でも構いませんが、別のアドレス(WAN 側の
アドレスや、LAN,DMZ 配下のPC のアドレス)と混同しないように注意してください。 注意
!
・ Windows の設定 次の3つの設定が必要になります。 ① レジストリの変更 ② IPSecの設定 ③ L2TP の設定 [レジストリの変更]
レジストリに追加 レジストリ鍵: HKEY_LOCAL_MACHINE¥System¥CurrentControlSet¥Services¥Rsman¥Parameters レジストリ値 Value Name : ProhibitIpSec Data Type : REG_DWOWD Value : 1
追加した値
レジストリの変更は慎重さが要求されます。操作を誤ると、Windowsが正常に動作しなくなった
り、起動しなくなったりしてしまいます。間違えないように注意して行ってください。 注意
!
[IPSecの設定] 基本的には、「例2:対Windowsとの IPSec通信」のWidows設定と変わりありませんが、一部相違する 箇所が存在しますので相違点を以下に記します。
[手順4] 10.IP トラフィックの宛先の設定を行います。 通信先のWAN 側 IP アドレスを入力します。 ここでは宛先アドレスには 「特定の IPアドレス」を選択し、IPアドレスは「100.100.100.100」 として「次へ」ボタンを押してください。
[手順5] 9.IP トラフィックの発信元の設定を行います。 通信先のWAN 側 IP アドレスを入力します。
ここでは発信本アドレスには 「特定の IPアドレス」を選択し、IPアドレスは「100.100.100.100」 として「次へ」ボタンを押してください。
[L2TP の設定] 1.コントロールパネルの「ネットワーク接続」を開き、現在のネットワーク接続画面を表示します。
ネットワークタスクから「新しい接続を作成する」をクリックしてください。 2.接続ウィザードが開始されるので「次へ」をクリックします。
3.ネットワーク接続の種類は「職場のネットワークへ接続する」を選択し「次へ」をクリックします。 4.ネットワーク接続は「仮想プライベートネットワーク接続」を選択し「次へ」をクリックします。
5.接続名を入力します。適当な名前をつけて「次へ」をクリックします。 6.パブリックネットワークの設定を行います。ここでは「最初の接続にダイヤルしない」を選択し、 「次へ」をクリックします。
7.VPN サーバの選択をします。ここでは、IPR1のWAN 側の IP アドレス「100.100.100.100」を 入力し、「次へ」をクリックします。 7.接続ウィザードの完了画面です。そのまま「次へ」をクリックします。
8.L2TP の接続画面が表示されるので「プロパティ」をクリックします。 9.プロパティの「オプション」タブでリダイヤル回数を0回にします。
10.プロパティの「セキュリティ」タブで詳細(カスタム設定)を選択し「設定」をクリックします。 11.データの暗号化を「暗号化は省略可能(暗号化なしでも接続します)」を選択します。 「次のプロトコルを許可する」に、「PAP」「CHAP」を追加します。
12.VPN の種類を「L2TP IPSec VPN」を選択し、「OK」をクリックします。 13.ユーザ名に「user」を、パスワードに「pass」を入力し、「接続」をクリックします。
正常に「L2TP IPSec」が接続できれば、「172.16.0.20」が割り当てられます。
ユーザ名とパスワードは、IPR1のL2TP 設定画面で設定したのと同じものを入力します。 「認証なし」に設定している場合は、任意の文字列を入力してください。
注意
!
14.確認するためコントロールパネルの「ネットワーク接続」を開き、現在のネットワーク
接続画面を表示します。「L2TP_IPSec」を右クリックして「状態」を開きます。
15.「詳細」タブを開き、正常に「L2TP IPSec」が接続できていれば、クライアント IP アドレスに
「172.16.0.20」が割り当てられるはずです。この状態で、PC1にping(ping 192.168.9.1)を 実行して返答があれば正常に接続できたことを確認できます。
L2TP 接続画面
例6:IPSecパススルー IPR が IPSecのサーバやクライアントとして動作するのではなく、別の端末がサーバやクライアント として動作する場合に、IPSecパケットをスルーすることができます。
WAN
IPR1
(LAN) IP:192.168.9.254 M:255.255.255.0
Windows2000またはXP IP:192.168.9.1 DHCPで取得
イ
ン
タ
ー
ネ
ッ
ト
(WAN) IP:100.100.100.100 DHCPから取得 サーバ IPアドレス 200.200.200.200
Windows2000またはXPIP:101.101.101.101 PPPoEで取得 サーバ IPアドレス 201.201.201.201
PC1 PC2
IPR1 共通設定画面
・各種設定データを入力します。
① [IPSec機能] IPSec機能を[パススルーで使用する]を選択します。
② [WAN インタフェース]
使用しません。初期値のまま変更しないで下さい。
③ [ローカル ID]
③-1 [IP アドレス] 使用しません。初期値のまま変更しないで下さい。
③-2 [ドメイン名] 使用しません。初期値のまま変更しないで下さい。
③-3 [メールアドレス] 使用しません。初期値のまま変更しないで下さい。
③-4 [キーID] 使用しません。初期値のまま変更しないで下さい。
④ [NAT Traversel]
[使用しない]を選択します。
⑤ NAT KEEP-ALIVE タイマ]
使用しません。初期値(270秒)のまま変更しないで下さい。
⑥ [L2TP と組み合わせて] [使用しない]を選択します。
⑦ [IPSec1~IPSec3]選択
使用しません。
⑧ [パススルー時設定] IPSecパケットを転送するローカル側のPC1の IPアドレスを入力します。 ここでは、「192.168.9.1」を入力します。
・ Windows の設定 基本的には、「例2:対Windowsとの IPSec通信」のWidows設定と変わりありませんが、一部相違する 箇所が存在しますので相違点を以下に記します。
・ 相違点(PC1) [手順4] 3.トンネルエンドポイントの設定を行います。 「次の IPアドレスでトンネルのエンドポイントを指定する」を選択し、IPアドレスには対向側となる
PC の IP アドレス(ここでは101.101.101.101 となります)を入力して「次へ」ボタンを クリックしてください。
[手順4] 10.IP トラフィックの宛先の設定を行います。通信先のアドレスを入力します。 ここでは宛先アドレスには 「特定の IP アドレス」を選択し、IP アドレスは「101.101.101.101」、 を入力し「次へ」ボタンを押してください。
[手順5] 3.トンネルエンドポイントの設定を行います。 「次の IPアドレスでトンネルのエンドポイントを指定する」を選択し、IPアドレスには対向側となる
PC の IP アドレス(ここでは192.168.9.1となります)を入力して「次へ」ボタンを クリックしてください。
[手順5] 9.IP トラフィックの発信元の設定を行います。 受信用の設定ですので、発信元アドレスには「特定の IP アドレス」を選択し、 IP アドレスは「101.101.101.101」、を入力し「次へ」ボタンをクリックしてください。
相違点(PC2) [手順4] 10.IP トラフィックの宛先の設定を行います。通信先のアドレスを入力します。
ここでは宛先アドレスには 「特定の IP アドレス」を選択し、IP アドレスは「192.168.9.1」、 を入力し「次へ」ボタンを押してください。
[手順5] 3.トンネルエンドポイントの設定を行います。 「次の IPアドレスでトンネルのエンドポイントを指定する」を選択し、IPアドレスには対向側となる
PC の IP アドレス(ここでは101.101.101.101 となります)を入力して「次へ」ボタンを クリックしてください。
[手順5] 9.IP トラフィックの発信元の設定を行います。 受信用の設定ですので、発信元アドレスには「特定の IP アドレス」を選択し、 IP アドレスは「192.168.9.1」、を入力し「次へ」ボタンをクリックしてください。