技術情報 : Si-R/Si-R brinシリーズ設定例

本ページ記載の情報は公開当時の情報となります。最新の情報については「技術情報」ページからご確認ください。

＞技術情報

「Windows Vista」とのVPN(IPsec)接続-IPv4

Windows Vista とIPv4でVPN接続する場合の設定事例です。

設定内容

Windows VistaパソコンとSi-RのLAN（192.168.1.0/24）間の通信をIPsecでカプセル化します。

• Si-R LAN0側をIPsecトンネル起点用のアドレスとし、10.10.1.1/24にします。
• Si-R LAN1側を192.168.1.1/24とします。
• PC側のIPsecトンネル起点用のアドレスを10.1.1.100/24とします。
• PC側の通信用のアドレスを10.1.1.100/24とします。

設定例

以下の設定例を、コピー&ペーストでご利用いただくことができます。

lan 0 mode auto

lan 0 ip address 10.10.1.1/24 3

lan 0 ip route 0 10.1.1.0/24 10.10.1.2 1 0

lan 1 mode auto

lan 1 ip address 192.168.1.1/24 3

remote 0 name vistapc

remote 0 ap 0 name ipsec

remote 0 ap 0 datalink type ipsec

remote 0 ap 0 ipsec type ike

remote 0 ap 0 ipsec ike protocol esp

remote 0 ap 0 ipsec ike range 192.168.1.0/24 10.1.1.100/32

remote 0 ap 0 ipsec ike encrypt aes-cbc-128

remote 0 ap 0 ipsec ike auth hmac-sha1

remote 0 ap 0 ike mode main

remote 0 ap 0 ike shared key text test

remote 0 ap 0 ike proposal 0 encrypt aes-cbc-128

remote 0 ap 0 ike proposal 0 hash hmac-sha1

remote 0 ap 0 ike proposal 0 pfs modp1024

remote 0 ap 0 tunnel local 10.10.1.1

remote 0 ap 0 tunnel remote 10.1.1.100

remote 1 name olap

remote 1 ap 0 name olap

remote 1 ap 0 datalink type overlap

remote 1 ap 0 multiroute pattern 0 use any 500 any 500 17 any

remote 1 ap 0 multiroute pattern 1 use any any any any 50 any

remote 1 ap 0 overlap to lan 0

remote 1 ap 0 overlap nexthop 10.10.1.2

remote 1 ap 1 name olap1

remote 1 ap 1 datalink type overlap

remote 1 ap 1 multiroute pattern 0 use any any any any any any

remote 1 ap 1 overlap to remote 0

remote 1 ip route 0 10.1.1.100/32 1 0

syslog pri error,warn,info

syslog facility 23

time zone 0900

consoleinfo autologout 8h

telnetinfo autologout 5m

terminal charset SJIS

解説

lan 0 mode auto

lan0インターフェースの通信速度/モードをオートセンス／オートネゴシエーションに設定します。

lan 0 ip address 10.10.1.1/24 3

LAN0側IPアドレスを設定します。

• 10.10.1.1/24 : IPアドレス/マスクです。
• 3 : ブロードキャストアドレスのタイプです。通常は3で構いません。

lan 0 ip route 0 10.1.1.0/24 10.10.1.2 1 0

スタティックルートを設定します。

• 10.1.1.0/24 : 宛先ネットワーク/マスクです。
• 10.10.1.2 : ネクストホップです。
• 1 : metric値です。通常はこのままで構いません。
• 0 : distance値です。通常はこのままで構いません。

lan 1 mode auto

lan1インターフェースの通信速度/モードをオートセンス／オートネゴシエーションに設定します。

lan 1 ip address 192.168.1.1/24 3

LAN1側IPアドレスを設定します。

• 192.168.1.1/24 : IPアドレス/マスクです。
• 3 : ブロードキャストアドレスのタイプです。通常は3で構いません。

remote 0 name vistapc

インターフェースの名前(任意)を設定します。

remote 0 ap 0 name ipsec

アクセスポイントの名前(任意)を設定します。

remote 0 ap 0 datalink type ipsec

パケット転送方法としてIPsecを設定します。

remote 0 ap 0 ipsec type ike

IPsec情報のタイプにIPsec自動鍵交換を設定します。

remote 0 ap 0 ipsec ike protocol esp

自動鍵交換用IPsec情報のセキュリティプロトコルにESP（暗号）を設定します。

remote 0 ap 0 ipsec ike range 192.168.1.0/24 10.1.1.100/32

自動鍵交換用IPsec 情報の対象範囲を設定します。

• 192.168.1.0/24 : IPsec 対象となる送信元IP アドレス/マスクです。
• 10.1.1.100/32 : IPsec 対象となる宛先IP アドレス/マスクです。

remote 0 ap 0 ipsec ike encrypt aes-cbc-128

自動鍵交換用IPsec情報の暗号情報にAES128ビットを設定します。

remote 0 ap 0 ipsec ike auth hmac-sha1

自動鍵交換用IPsec情報の認証情報にSHA1を設定します。

remote 0 ap 0 ike mode main

IKE情報の交換モードを設定します。

• main : IKE 情報の交換モードとしてMain Mode を使用します。

remote 0 ap 0 ike shared key text test

IKEセッション確立時の共有鍵（Pre-shared key）を設定します。

remote 0 ap 0 ike proposal 0 encrypt aes-cbc-128

IKEセッション用暗号情報の暗号アルゴリズムにAES128ビットを設定します。

remote 0 ap 0 ike proposal 0 hash hmac-sha1

IKE セッション用認証(ハッシュ) 情報にSHA1を設定します。

remote 0 ap 0 ike proposal 0 pfs modp1024

IKE セッション用DH(Diffie-Hellman) グループにmodp1024を設定します。

remote 0 ap 0 tunnel local 10.10.1.1

IPsecトンネルの送信元アドレスの設定をします。

remote 0 ap 0 tunnel remote 10.1.1.100

IPsecトンネルの送信先アドレスの設定をします。

remote 1 name olap

インターフェースの名前(任意)を設定します。

remote 1 ap 0 name olap

アクセスポイント0の名前(任意)を設定します。

remote 1 ap 0 datalink type overlap

パケット転送方法にoverlapを設定します。

remote 1 ap 0 multiroute pattern 0 use any 500 any 500 17 any

remote 1 ap 0 multiroute pattern 1 use any any any any 50 any

remote 1 ap 0 overlap to lan 0

remote 1 ap 0 overlap nexthop 10.10.1.2

IKE,ESPパケットをlan 0から10.1.1.2に転送します。

remote 1 ap 1 name olap1

アクセスポイント1の名前(任意)を設定します。

remote 1 ap 1 datalink type overlap

パケット転送方法にoverlapを設定します。

remote 1 ap 1 multiroute pattern 0 use any any any any any any

remote 1 ap 1 overlap to remote 0

IKE,ESP以外の全てのパケットをremote 0から送出します。

remote 1 ip route 0 10.1.1.100/32 1 0

スタティックルートを設定します。

• 10.1.1.100/32 : 宛先ネットワーク/マスクです。
• 1 : metric値です。通常は1で構いません。
• 0 : distance値です。通常は0で構いません。

syslog pri error,warn,info

syslog facility 23

システムログ情報の出力情報／出力対象ファシリティの設定をします。通常はこのままで構いません。

time zone 0900

タイムゾーンを設定します。通常はこのままで構いません。

consoleinfo autologout 8h

telnetinfo autologout 5m

シリアルコンソール、TELNETコネクションの入出力がない場合のコネクション切断時間を設定します。通常はこのままで構いません。

terminal charset SJIS

ターミナルで使用する漢字コードをShift JISコードに設定します。

Windows Vista 設定例

「コントロールパネル」→「管理ツール」→「ローカルセキュリティポリシ」の順にクリックします。

画像を拡大する (50KB / JPEG)

「セキュリティが強化されたWindowsファイアーウォール」をダブルクリックします。

「Windowsファイアーウォールのプロパティ」をクリックします。

画像を拡大する (61KB / JPEG)

「IPsecの設定」カスタマイズをクリックします。

各項目を設定します。

1．「キー交換（メインモード）」詳細設定→カスタマイズをクリックします。

2．「データ保護（クイックモード）」詳細設定→カスタマイズをクリックします。

3．「認証方法」詳細設定→カスタマイズをクリックします。

1．キー交換（詳細）

Si-Rとセキュリティメソッドとキー交換アルゴリズムを合わせます。

追加もしくは編集を行います。

キーの有効時間はデフォルトの設定で問題ありません。

（remote ap ike ）

画像を拡大する (72KB / JPEG)

2．データ保護（詳細）

「この設定を使用するすべての接続セキュリティ規則に暗号化を要求する」をチェックします。

データの整合性と暗号化でSi-Rとアルゴリズムを合わせます。

追加もしくは編集を行います。

（remote ap ispec ike ）

画像を拡大する (44KB / JPEG)

画像を拡大する (68KB / JPEG)

3．認証

1番目の認証で事前共有キーを設定します。

画像を拡大する (41KB / JPEG)

「接続セキュリティの規則」を設定します。

最初は何も設定が無いので追加して下さい。

画像を拡大する (34KB / JPEG)

ipsecという名前でセキュリティ規則を追加します。

以下は画面です。

「コンピュータ」を設定します。

エンドポイント1はVista側のIPsec暗号化対象パケットの範囲です。

エンドポイント2はSi-R側のIPsec暗号化対象パケットの範囲です。

（remote ap ipsec ike range）

「認証」

要件で認証モードの「受信および送信で必須」を選択します。

「詳細設定」→カスタマイズをクリックします。

画像を拡大する (40KB / JPEG)

「詳細設定」

IPsecトンネリングでカスタマイズを選択します。

IPsecトンネリングを使用するをチェックします。

ローカルはVista側、IPsecトンネルの起点アドレスです。

リモートはSi-R側、IPsecトンネルの起点アドレスです。