vyatta user case · pdf filevyattaでのipsec接続検証 •接続検証機器...
TRANSCRIPT
Vyatta User Case
株式会社IDCフロンティア
井上一清
IDCFクラウドのネットワーク
IDCFクラウド セルフタイプ
Internet
Filter
TCP/UDP/ICMP
IDCFクラウド マネージドタイプ
Filter
all protocolVirtualRouter
要は両方ともNAT環境
Vyattaの活用シーン
•VPN(くらいしかないでしょう。。もしくはIPv6トンネル系)
–Site-VPN
•IPsec、OpenVPN
–Remote Access VPN
•L2TP、PPTP、SSL-VPN
他に有用な使い方あったら教えて下さい
VyattaでのIPsec接続検証
•接続検証機器
–Yamaha RTX系
–Juniper SSG系
–Cisco IOS系、小箱系(RVS4000)
VyattaのIDCFクラウド向けチューニング
• CloudStackとの連携– SSH公開鍵設定
– パスワードリセットとの連携
• DHCP
• IPv6 disable
• Banner
• DNS
• NTP, TIME-Zone
• IPsec,NAT-T
苦労したこと
• YamahaとのIPsec接続
– YamahaはNAT-TをAggressive modeでしかサポートしない
– VyattaはIKE phase1でAggressive modeをサポートしない
IPsec over IPIPで回避
トラブル関連
• 接続先が複数セグメントのときにうまくIPsec接続できない
• ログインアカウントの問い合わせ(小ネタ)
Yamahaとの複数セグメント接続
• 通常はこんな設定でつながるはずtunnel 1 {
local {
subnet 10.1.0.0/22
}
remote {
subnet 192.168.5.0/24
}
}
tunnel 2 {
local {
subnet 10.1.0.0/22
}
remote {
subnet 192.168.6.0/24
}
}
tunnel 3 {
local {
subnet 10.1.0.0/22
}
remote {
subnet 192.168.17.0/24
}
}
Tunnelを複数設定すると、Proxy-ID関連の問題で、Yamahaとうまくつながらない
解決策
• Vyatta側で全宛先を包含するように一つで設定
• 又は、Yamaha側でもセグメント毎にIDを設定
tunnel 1 {
local {
subnet 10.1.0.0/22
}
remote {
subnet 192.168.0.0/16
}
}
ipsec ike remote id 1 192.168.1.0/24
ipsec ike local id 1 10.1.0.0/22
ipsec ike remote id 2 192.168.2.0/24
ipsec ike local id 2 10.1.0.0/22
ipsec ike remote id 3 192.168.3.0/24
ipsec ike local id 3 10.1.0.0/22
ログインアカウントの問い合わせ
ユーザ名は出ない”root”と思っているユーザが多いが、正解は”vyatta”
課題• サポート–無償ベースなのでどこまでやって良いか
– IPsecは難しい
• VPNでのBridge(同一セグメント)接続– Vyatta自体にはGREブリッジ、OpenVPNブリッジなどあるが、VMwareの仮想スイッチの設定で自分以外の宛先Macアドレスは破棄する設定にしている
–許可するとユーザの誤操作でループが発生する可能性大。。。