本ページ記載の情報は公開当時の情報となります。最新の情報については「技術情報」ページからご確認ください。
>技術情報
Windows7 とIPv4でVPN接続する場合の設定事例です。
以下の設定例を、コピー&ペーストでご利用いただくことができます。
lan 0 mode auto lan 0 ip address 10.10.1.1/24 3 lan 0 ip route 0 10.1.1.0/24 10.10.1.2 1 0 lan 1 mode auto lan 1 ip address 192.168.1.1/24 3 remote 0 name windows7 remote 0 ap 0 name ipsec remote 0 ap 0 datalink type ipsec remote 0 ap 0 ipsec type ike remote 0 ap 0 ipsec ike protocol esp remote 0 ap 0 ipsec ike range 192.168.1.0/24 10.1.1.100/32 remote 0 ap 0 ipsec ike encrypt aes-cbc-128 remote 0 ap 0 ipsec ike auth hmac-sha1 remote 0 ap 0 ike mode main remote 0 ap 0 ike shared key text t9idRF/rDrkL encrypted remote 0 ap 0 ike proposal 0 encrypt aes-cbc-128 remote 0 ap 0 ike proposal 0 hash hmac-sha1 remote 0 ap 0 ike proposal 0 pfs modp1024 remote 0 ap 0 tunnel local 10.10.1.1 remote 0 ap 0 tunnel remote 10.1.1.100 remote 1 name olap remote 1 ap 0 name olap remote 1 ap 0 datalink type overlap remote 1 ap 0 multiroute pattern 0 use any 500 any 500 17 any remote 1 ap 0 multiroute pattern 1 use any any any any 50 any remote 1 ap 0 overlap to lan 0 remote 1 ap 0 overlap nexthop 10.10.1.2 remote 1 ap 1 name olap1 remote 1 ap 1 datalink type overlap remote 1 ap 1 multiroute pattern 0 use any any any any any any remote 1 ap 1 overlap to remote 0 remote 1 ip route 0 10.1.1.100/32 1 0 syslog pri error,warn,info syslog facility 23 time zone 0900 consoleinfo autologout 8h telnetinfo autologout 5m terminal charset SJIS
lan 0 mode auto
lan0インターフェースの通信速度/モードをオートセンス/オートネゴシエーションに設定します。
lan 0 ip address 10.10.1.1/24 3
LAN0側IPアドレスを設定します。
lan 0 ip route 0 10.1.1.0/24 10.10.1.2 1 0
スタティックルートを設定します。
lan 1 mode auto
lan1インターフェースの通信速度/モードをオートセンス/オートネゴシエーションに設定します。
lan 1 ip address 192.168.1.1/24 3
LAN1側IPアドレスを設定します。
remote 0 name windows7
インターフェースの名前(任意)を設定します。
remote 0 ap 0 name ipsec
アクセスポイントの名前(任意)を設定します。
remote 0 ap 0 datalink type ipsec
パケット転送方法としてIPsecを設定します。
remote 0 ap 0 ipsec type ike
IPsec情報のタイプにIPsec自動鍵交換を設定します。
remote 0 ap 0 ipsec ike protocol esp
自動鍵交換用IPsec情報のセキュリティプロトコルにESP(暗号)を設定します。
remote 0 ap 0 ipsec ike range 192.168.1.0/24 10.1.1.100/32
自動鍵交換用IPsec 情報の対象範囲を設定します。
remote 0 ap 0 ipsec ike encrypt aes-cbc-128
自動鍵交換用IPsec情報の暗号情報にAES128ビットを設定します。
remote 0 ap 0 ipsec ike auth hmac-sha1
自動鍵交換用IPsec情報の認証情報にSHA1を設定します。
remote 0 ap 0 ike mode mainIKE
情報の交換モードを設定します。
main : IKE 情報の交換モードとしてMain Mode を使用します。
remote 0 ap 0 ike shared key text test
IKEセッション確立時の共有鍵(Pre-shared key)を設定します。
remote 0 ap 0 ike proposal 0 encrypt aes-cbc-128
IKEセッション用暗号情報の暗号アルゴリズムにAES128ビットを設定します。
remote 0 ap 0 ike proposal 0 hash hmac-sha1
IKE セッション用認証(ハッシュ) 情報にSHA1を設定します。
remote 0 ap 0 ike proposal 0 pfs modp1024
IKE セッション用DH(Diffie-Hellman) グループにmodp1024を設定します。
remote 0 ap 0 tunnel local 10.10.1.1
IPsecトンネルの送信元アドレスの設定をします。
remote 0 ap 0 tunnel remote 10.1.1.100
IPsecトンネルの送信先アドレスの設定をします。
remote 1 name olap
インターフェースの名前(任意)を設定します。
remote 1 ap 0 name olap
アクセスポイント0の名前(任意)を設定します。
remote 1 ap 0 datalink type overlap
パケット転送方法にoverlapを設定します。
remote 1 ap 0 multiroute pattern 0 use any 500 any 500 17 any
remote 1 ap 0 multiroute pattern 1 use any any any any 50 any
remote 1 ap 0 overlap to lan 0
remote 1 ap 0 overlap nexthop 10.10.1.2
IKE,ESPパケットをlan 0から10.1.1.2に転送します。
remote 1 ap 1 name olap1
アクセスポイント1の名前(任意)を設定します。
remote 1 ap 1 datalink type overlap
パケット転送方法にoverlapを設定します。
remote 1 ap 1 multiroute pattern 0 use any any any any any any
remote 1 ap 1 overlap to remote 0
IKE,ESP以外の全てのパケットをremote 0から送出します。
remote 1 ip route 0 10.1.1.100/32 1 0
スタティックルートを設定します。
syslog pri error,warn,info
syslog facility 23
システムログ情報の出力情報/出力対象ファシリティの設定をします。通常はこのままで構いません。
time zone 0900
タイムゾーンを設定します。通常はこのままで構いません。
consoleinfo autologout 8h
telnetinfo autologout 5m
シリアルコンソール、TELNETコネクションの入出力がない場合のコネクション切断時間を設定します。通常はこのままで構いません。
terminal charset SJIS
ターミナルで使用する漢字コードをShift JISコードに設定します。
「コントロールパネル」→「管理ツール」→「ローカルセキュリティポリシ」の順にクリックします。
「セキュリティが強化されたWindowsファイアーウォール」をダブルクリックします。
「Windowsファイアーウォールのプロパティ」をクリックします。
「IPsecの設定」カスタマイズをクリックします。
各項目を設定します。
1. 「キー交換(メインモード)」詳細設定→カスタマイズをクリックします。
2. 「データ保護(クイックモード)」詳細設定→カスタマイズをクリックします。
3.「認証方法」詳細設定→カスタマイズをクリックします。
1. キー交換(詳細)
Si-Rとセキュリティメソッドとキー交換アルゴリズムを合わせます。
追加もしくは編集を行います。
キーの有効時間はデフォルトの設定で問題ありません。
(remote ap ike)
2. データ保護(詳細)
データの整合性と暗号化でSi-Rとアルゴリズムを合わせます。
追加もしくは編集を行います。
(remote ap ispec ike)
3. 認証
1番目の認証で事前共有キーを設定します。
「接続セキュリティの規則」を設定します。
最初は何も設定が無いので追加して下さい。
「エンドポイント」
エンドポイント1はwindows7側のIPsec暗号化対象パケットの範囲です。
エンドポイント2はSi-R側のIPsec暗号化対象パケットの範囲です。
(remote ap ipsec ike range)
「要件」
要件で「受信接続と送信接続の認証を要求する」を選択します。
「認証方式」
詳細設定でカスタマイズを選択します。
1番目の認証方法に事前共有キーを追加します。
「プロファイル」
ドメイン、プライベート、パブリックにチェックがついている事を確認します。
「名前」
ipsecという名前でセキュリティ規則を追加します。
先ほど追加したセキュリティ規則のプロパティを開きます。
詳細設定タブのIPsecトンネリングのカスタマイズをクリックします。
IPsecトンネリングを使用するをチェックします。
ローカルはwindows7側、IPsecトンネルの起点アドレスです。
リモートはSi-R側、IPsecトンネルの起点アドレスです。
Si-Rシリーズ、Si-R brinシリーズに関する資料請求やお見積り、購入のご相談などお気軽にお問い合わせください。
Si-Rシリーズ、Si-R brinシリーズに関し、お客様から寄せられた主なご質問とその回答です。