Skip to main content

Fujitsu

Japan

技術情報 : Si-R/Si-R brinシリーズ設定例

「Amazon VPC 」との接続

本設定例は、弊社で独自に接続試験を行った結果を元に作成しており、
接続を保証するものではありません。

Si-R Gシリーズで「Amazon VPC 」とIPsec接続する場合の設定例です。

設定例のイメージ図です

対象機種と版数

  • Si-R Gシリーズ V2.03以降

設定内容

  • Si-R Gのether 2 1-4 をLAN側とします。
  • Si-R GのLAN側に192.168.100.1/24を割り当るとします。
  • DHCPサーバ機能を有効にします。
  • 下記の文書にしたがってAmazon VPCの設定を行います。
    https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPC_VPN.htmlOpen a new window
    主な設定内容は以下の通りです。
    -ルーターのIPアドレスの設定「Customer Gateway」にSi-RルータのWAN側IPアドレスを入力します。
    (本設定例内では、実IPアドレスではなく‹YOUR_UPLINK_ADDRESS›としています)
    -ネットワーク構成は「VPC with a Private Subnet Only and Hardware VPN Access」を選んでください。
    全ての入力が終わりましたら、設定をダウンロードしてください。ダウンロードしたパラメータ設定例を以下に示します。
・IPsec1 アドレス設定
項目 設定値
Virtual Private Gateway(WAN側) 72.21.209.193
Virtual Private Gateway(LAN側) 169.254.255.1
Customer Gateway(WAN側) ‹YOUR_UPLINK_ADDRESS›
Customer Gateway(LAN側) 169.254.255.2
・IPsec1 IPsec/IKE設定
項目 設定値
Authentication Method(IKE) Pre-Shared Key
Pre-Shared Key(IKE) abcdefghijklmn
Authentication Algorithm(IKE) sha1
Encryption Algorithm (IKE) aes-128-cbc
Lifetime (IKE) 28800 seconds
Phase 1 Negotiation Mode(IKE) main
Perfect Forward Secrecy(IKE) Diffie-Hellman Group 2
Protocol esp
Authentication Algorithm(IPsec) hmac-sha1-96
Encryption Algorithm(IPsec) aes-128-cbc
Lifetime(IPsec) 3600 seconds
Perfect Forward Secrecy(IPsec) Diffie-Hellman Group 2
DPD Interval 10
DPD Retries 3
TCP MSS Adjustment 1300 bytes
・IPSec1 BGP設定
項目 設定値
Customer Gateway ASN 65000
Virtual Private Gateway ASN 7224
Neighbor IP Address 169.254.255.1
Neighbor Hold Time 30
・IPSec2 アドレス設定
項目 設定値
Virtual Private Gateway(WAN側) 72.21.209.225
Virtual Private Gateway(LAN側) 169.254.255.5
Customer Gateway(WAN側) ‹YOUR_UPLINK_ADDRESS›
Customer Gateway(LAN側) 169.254.255.6
・IPSec2 IPsec/IKE設定
項目 設定値
Authentication Method(IKE) Pre-Shared Key
Pre-Shared Key(IKE) abcdefghijklmn
Authentication Algorithm(IKE) sha1
Encryption Algorithm (IKE) aes-128-cbc
Lifetime (IKE) 28800 seconds
Phase 1 Negotiation Mode(IKE) main
Perfect Forward Secrecy(IKE) Diffie-Hellman Group 2
Protocol esp
Authentication Algorithm(IPsec) hmac-sha1-96
Encryption Algorithm(IPsec) aes-128-cbc
Lifetime(IPsec) 3600 seconds
Perfect Forward Secrecy(IPsec) Diffie-Hellman Group 2
DPD Interval 10
DPD Retries 3
TCP MSS Adjustment 1300 bytes
・IPSec2 BGP設定
項目 設定値
Customer Gateway ASN 65000
Virtual Private Gateway ASN 7224
Neighbor IP Address 169.254.255.5
Neighbor Hold Time 30

設定例

  • 以下の設定例を、コピー&ペーストでご利用いただくことができます。
  • ダウンロードしたパラメータに従ってIPアドレス、IPsec/IKE、BGPを設定してください。
  • ‹YOUR_UPLINK_ADDRESS›には「Customer Gateway」で入力したSi-RルータのWAN側IPアドレスを設定してください。
  • id-a@isp にはSi-RのISPのIDを設定してください。
  • pwd-a@ispにはSi-RのISPのパスワードを設定してください。

Si-R G設定例

ether 1 1 vlan untag 1

ether 2 1-4 vlan untag 2

lan 0 ip address 192.168.100.1/24 3

lan 0 ip dhcp service server

lan 0 ip dhcp info dns 192.168.100.1

lan 0 ip dhcp info address 192.168.100.2/24 190

lan 0 ip dhcp info gateway 192.168.100.1

lan 0 vlan 2

remote 0 name PPPoE

remote 0 mtu 1454

remote 0 ap 0 name PPPoE

remote 0 ap 0 datalink bind vlan 1

remote 0 ap 0 ppp auth send id-a@isp pwd-a@isp

remote 0 ap 0 keep connect

remote 0 ppp ipcp vjcomp disable

remote 0 ip address local ‹YOUR_UPLINK_ADDRESS› 

remote 0 ip route 0 default 1 1

remote 0 ip nat mode multi any 1 5m

remote 0 ip nat static 0 ‹YOUR_UPLINK_ADDRESS› 500 ‹YOUR_UPLINK_
ADDRESS›
500 17 remote 0 ip nat static 1 ‹YOUR_UPLINK_ADDRESS› any ‹YOUR_UPLINK_
ADDRESS›
any 50 remote 0 ip msschange 1414 remote 1 name ipsec1 remote 1 ap 0 name ipsec1 remote 1 ap 0 datalink type ipsec remote 1 ap 0 ipsec type ike remote 1 ap 0 ipsec ike protocol esp remote 1 ap 0 ipsec ike encrypt aes-cbc-128 remote 1 ap 0 ipsec ike auth hmac-sha1 remote 1 ap 0 ipsec ike pfs modp1024 remote 1 ap 0 ipsec ike lifetime 1h remote 1 ap 0 ipsec ike newsa responder off 0 remote 1 ap 0 ike shared key text abcdefghijklmn remote 1 ap 0 ike proposal 0 encrypt aes-cbc-128 remote 1 ap 0 ike proposal 0 hash hmac-sha1 remote 1 ap 0 ike proposal 0 pfs modp1024 remote 1 ap 0 ike proposal 0 lifetime 8h remote 1 ap 0 ike dpd use on remote 1 ap 0 tunnel local ‹YOUR_UPLINK_ADDRESS› remote 1 ap 0 tunnel remote 72.21.209.193 remote 1 ip address local 169.254.255.2 remote 1 ip address remote 169.254.255.1 remote 1 ip msschange 1300 remote 2 name ipsec2 remote 2 ap 0 name ipsec2 remote 2 ap 0 datalink type ipsec remote 2 ap 0 ipsec type ike remote 2 ap 0 ipsec ike protocol esp remote 2 ap 0 ipsec ike encrypt aes-cbc-128 remote 2 ap 0 ipsec ike auth hmac-sha1 remote 2 ap 0 ipsec ike pfs modp1024 remote 2 ap 0 ipsec ike lifetime 1h remote 2 ap 0 ipsec ike newsa responder off 0 remote 2 ap 0 ike shared key text abcdefghijklmn remote 2 ap 0 ike proposal 0 encrypt aes-cbc-128 remote 2 ap 0 ike proposal 0 hash hmac-sha1 remote 2 ap 0 ike proposal 0 pfs modp1024 remote 2 ap 0 ike proposal 0 lifetime 8h remote 2 ap 0 ike dpd use on remote 2 ap 0 tunnel local ‹YOUR_UPLINK_ADDRESS› remote 2 ap 0 tunnel remote 72.21.209.225 remote 2 ip address local 169.254.255.6 remote 2 ip address remote 169.254.255.5 remote 2 ip msschange 1300 routemanage ip redist bgp static on routemanage ip redist bgp connected on bgp as 0.65000 bgp id 192.168.100.1 bgp neighbor 0 address 169.254.255.1 bgp neighbor 0 as 0.7224 bgp neighbor 0 timers 10s 30s bgp neighbor 0 source 169.254.255.2 bgp neighbor 1 address 169.254.255.5 bgp neighbor 1 as 0.7224 bgp neighbor 1 timers 10s 30s bgp neighbor 1 source 169.254.255.6 syslog facility 23 time zone 0900 proxydns domain 0 any * any to 0 proxydns address 0 any to 0 consoleinfo autologout 8h telnetinfo autologout 5m terminal charset SJIS

解説

Si-R_G設定解説

ether 1 1 vlan untag 1

ポートをTag なしVLAN1に設定します。


ether 2 1-4 vlan untag 2

ポートをTag なしVLAN2に設定します。

lan 0 ip address 192.168.100.1/24 3

LAN側IPアドレスを設定します。
192.168.100.1/24 : LAN側のIPアドレス/マスクです。
3 :ブロードキャストアドレスのタイプです。通常は3で構いません。

lan 0 ip dhcp service server

LAN0インターフェースに対して、DHCPサーバ機能を有効にします。

lan 0 ip dhcp info dns 192.168.100.1  
lan 0 ip dhcp info address 192.168.100.2/24 190
lan 0 ip dhcp info gateway 192.168.100.

DHCP配布情報の設定をします。
dns 192.168.100.1 : DHCPクライアントに配布する、DNSサーバのIPアドレスです。
address 192.168.100.2 : 割り当て開始IPアドレスです。
190 : 割り当てアドレス数です。
gateway 192.168.100.1 : デフォルトゲートウェイアドレスです。

lan 0 vlan 2

VLAN ID とlan 定義番号の関連付けを行います。
LAN0にTag なしVLAN2を設定します。

remote 0 name PPPoE

インターネット接続用インターフェースの名前(任意)を設定します。

remote 0 mtu 1454

MTU長を1454byteに設定します。

remote 0 ap 0 name PPPoE

アクセスポイントの名前(任意、remote nameと同じでも可)を設定します。

remote 0 ap 0 datalink bind vlan 1

インターネット向けパケットの転送先をVLAN1インターフェースに設定します。

remote 0 ap 0 ppp auth send id-a@isp pwd-a@isp 

認証ID、パスワードを設定します。

remote 0 ap 0 keep connect

インターネットへ常時接続します。

remote 0 ppp ipcp vjcomp disable

VJヘッダー圧縮を使用しない設定にします。

remote 0 ip address local ‹YOUR_UPLINK_ADDRESS›

VPN装置IPアドレスを設定します。

remote 0 ip route 0 default 1 1

インターネット接続用インターフェースにデフォルトルートを設定します。
1 : metric値です。通常は1で構いません。
1 : distance値です。通常は1で構いません。

remote 0 ip nat mode multi any 1 5m

マルチNATを設定します。

remote 0 ip nat static 0 ‹YOUR_UPLINK_ADDRESS› 500 ‹YOUR_UPLINK_
AADDRESS› 500 17
remote 0 ip nat static 1 ‹YOUR_UPLINK_ADDRESS› any ‹YOUR_UPLINK_
ADDRESS› any 50

スタティックNATにより、IKE,ESPパケットを通す設定をします。

remote 0 ip msschange 1414

MSS値です。1414byteを設定します。

remote 1 name ipsec1

IPsecインタフェースの名前(任意)を設定します。

remote 1 ap 0 name ipsec1

アクセスポイントの名前(任意、remote nameと同じでも可)を設定します。

remote 1 ap 0 datalink type ipsec

パケット転送方法としてIPSecを設定します。

remote 1 ap 0 ipsec type ike

IPSec情報タイプにIPSec自動鍵交換を設定します。

remote 1 ap 0 ipsec ike protocol esp

自動鍵交換用Ipsec情報のセキュリティプロトコルにESP(暗号)を設定します。

remote 1 ap 0 ipsec ike encrypt aes-cbc-128

自動鍵交換用IPSec情報の暗号情報にAES128ビットを設定します。

remote 1 ap 0 ipsec ike auth hmac-sha1

自動鍵交換用IPSec情報の認証情報にSHA1を設定します。

remote 1 ap 0 ipsec ike pfs modp1024

自動鍵交換用IPSec情報のPFS使用時のDH(Diffie-Hellman)グループにmodp1024を設定します。

remote 1 ap 0 ipsec ike lifetime 1h

自動鍵交換用IPSec情報のSA有効時間に1hを設定します。

remote 1 ap 0 ipsec ike newsa responder off 0

自動鍵交換用IPSec情報のNew SA Responderにoffを設定します。

remote 1 ap 0 ike shared key text abcdefghijklmn

IKEセッション確立時の共有鍵(Pre-shared key)を設定します。

remote 1 ap 0 ike proposal 0 encrypt aes-cbc-128

IKEセッション用暗号情報の暗号アルゴリズムにAES128を設定します。

remote 1 ap 0 ike proposal 0 hash hmac-sha1

IKEセッション用認証情報にSHA1を設定します。

remote 1 ap 0 ike proposal 0 pfs modp1024

IKEセッション用DH(Diffie-Hellman)グループにmodp1024を設定します。

remote 1 ap 0 ike proposal 0 lifetime 8h

IKE情報のSA有効時間を8hに設定します。

remote 1 ap 0 ike dpd use on

IKE情報のDead Peer Detection(DPD)利用可否をonに設定します。

remote 1 ap 0 tunnel local ‹YOUR_UPLINK_ADDRESS›

IPSecトンネルの送信元アドレスの設定をします。

rremote 1 ap 0 tunnel remote 72.21.209.193

IPSecトンネルの送信先アドレスの設定をします。

remote 1 ip address local 169.254.255.2

自側IPアドレスを設定します。

remote 1 ip address remote 169.254.255.1

相手側IPアドレスを設定します。

remote 1 ip msschange 1300

MSS値に1300byteを設定します。

remote 2 name ipsec2

IPsecインタフェースの名前(任意)を設定します。

remote 2 ap 0 name ipsec2

アクセスポイントの名前(任意、remote nameと同じでも可)を設定します。

remote 2 ap 0 datalink type ipsec

パケット転送方法としてIPSecを設定します。

remote 2 ap 0 ipsec type ike

IPSec情報タイプにIPSec自動鍵交換を設定します。

remote 2 ap 0 ipsec ike protocol esp

自動鍵交換用Ipsec情報のセキュリティプロトコルにESP(暗号)を設定します。

remote 2 ap 0 ipsec ike encrypt aes-cbc-128

自動鍵交換用IPSec情報の暗号情報にAES128ビットを設定します。

remote 2 ap 0 ipsec ike auth hmac-sha1

自動鍵交換用IPSec情報の認証情報にSHA1を設定します。

remote 2 ap 0 ipsec ike pfs modp1024

自動鍵交換用IPSec情報のPFS使用時のDH(Diffie-Hellman)グループにmodp1024を設定します。

remote 2 ap 0 ipsec ike lifetime 1h

自動鍵交換用IPSec情報のSA有効時間に1hを設定します。

remote 2 ap 0 ipsec ike newsa responder off 0

自動鍵交換用IPSec情報のNew SA Responderにoffを設定します。

remote 2 ap 0 ike shared key text abcdefghijklmn

IKEセッション確立時の共有鍵(Pre-shared key)を設定します。

remote 2 ap 0 ike proposal 0 encrypt aes-cbc-128

IKEセッション用暗号情報の暗号アルゴリズムにAES128を設定します。

remote 2 ap 0 ike proposal 0 hash hmac-sha1

IKEセッション用認証情報にSHA1を設定します。

remote 2 ap 0 ike proposal 0 pfs modp1024

IKEセッション用DH(Diffie-Hellman)グループにmodp1024を設定します。

remote 2 ap 0 ike proposal 0 lifetime 8h

IKE情報のSA有効時間を8hに設定します。

remote 2 ap 0 ike dpd use on

IKE情報のDead Peer Detection(DPD)利用可否をonに設定します。

remote 2 ap 0 tunnel local ‹YOUR_UPLINK_ADDRESS›

IPSecトンネルの送信元アドレスの設定をします。

remote 2 ap 0 tunnel remote 72.21.209.225

IPSecトンネルの送信先アドレスの設定をします。

remote 2 ip address local 169.254.255.6

自側IPアドレスを設定します。

remote 2 ip address remote 169.254.255.5

相手側IPアドレスを設定します。

remote 2 ip msschange 1300

MSS値に1300byteを設定します。

routemanage ip redist bgp static on

BGPにstatic経路情報を再配布する設定をします。

utemanage ip redist bgp connected on

BGPにインタフェース経路情報を再配布する設定をします。

bgp as 0.65000

BGP AS番号を0.65000に設定します。

bgp id 192.168.100.1

BGP IDを192.168.100.1に設定します。

bgp neighbor 0 address 169.254.255.1

BGP 相手側アドレスを169.254.255.1に設定します。

bgp neighbor 0 as 0.7224

BGP 相手側AS番号を0.7224に設定します。

bgp neighbor 0 timers 10s 30s

BGP 無通信監視タイマの設定をします。

  • 10s:keepalive
  • 30s:holdtime
bgp neighbor 0 source 169.254.255.2

BGP自側アドレスを169.254.255.2に設定します。

bgp neighbor 1 address 169.254.255.5

BGP 相手側アドレスを169.254.255.5に設定します。

bgp neighbor 1 as 0.7224

BGP 相手側AS番号を0.7224に設定します。

bgp neighbor 1 timers 10s 30s

BGP 無通信監視タイマの設定をします。

  • 10s:keepalive
  • 30s:holdtime
bgp neighbor 1 source 169.254.255.6

BGP自側アドレスを169.254.255.6に設定します。

syslog facility 23

システムログ情報の出力情報/出力対象ファシリティを設定します。通常はこのままで構いません。

time zone 0900

タイムゾーンを設定します。通常はこのままで構いません。

proxydns domain 0 any ∗ any to 0
proxydns address 0 any to 0

プロキシDNSの(順引き/逆引き)動作条件を設定します。通常はこのままで構いません。

consoleinfo autologout 8h
telnetinfo autologout 5m

シリアルコンソール、TELNETコネクションの入出力がない場合のコネクション切断時間を設定します。通常はこのままで構いません。

terminal charset SJIS

ターミナルで使用する漢字コードをShift JISコードに設定します。

ルータに関するお問い合わせ

Webでのお問い合わせ

資料請求・購入相談

技術お問い合わせ

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-933-200 富士通コンタクトライン(総合窓口)

受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)