本設定例は、弊社で独自に接続試験を行った結果を元に作成しており、
接続を保証するものではありません。
Si-R Gシリーズで「Windows Azure」と複数セグメントからIPsec接続する場合の設定例です。
項目 | 設定値 |
---|---|
自側トンネルエンドポイントアドレス | xxx.xxx.xxx.xxx/(ISPより割当) |
ISP側ゲートウェイアドレス | xxx.xxx.xxx.xxz/(ISPより割当) |
相手側トンネルエンドポイントアドレス | yyy.yyy.yyy.yyy
ポータルサイトより確認 |
IKE交換モード | main |
lan側ローカルアドレス | 192.168.10.1/24 |
暗号情報 | aes-cbc-256 |
認証(ハッシュ)情報 | hmac-sha256 |
DHグループ | group 2(modp1024) |
IKE SA有効時間 | 8h |
IKEセッション共有鍵 | ポータルサイトより確認 |
項目 | 設定値 |
---|---|
IPsec情報のセキュリティプロトコル | esp |
暗号情報 | aes-cbc-256 |
認証(ハッシュ)情報 | hmac-sha256 |
DHグループ | off |
IPsec SA有効時間 | 1h |
IPsec SA有効パケット量 | 100000m |
IPsec対象範囲(送信元1) | 192.168.10.0/24 |
IPsec対象範囲(送信元2) | 192.168.20.0/24 |
IPsec対象範囲(送信元3) | 192.168.30.0/24 |
IPsec対象範囲(宛先) | 172.16.10.0/24 |
IPsec情報のセキュリティプロトコル | esp |
暗号情報 | aes-cbc-256 |
認証(ハッシュ)情報 | hmac-sha256 |
Si-R G設定例
ether 1 1 vlan untag 1 ether 2 1-4 vlan untag 2 lan 0 ip address xxx.xxx.xxx.xxx/xx 3 lan 0 ip route 0 yyy.yyy.yyy.yyy/32 xxx.xxx.xxx.xxz 1 1 lan 0 ip nat mode multi xxx.xxx.xxx.xxx 1 5m lan 0 ip nat static 0 xxx.xxx.xxx.xxx 500 xxx.xxx.xxx.xxx 500 17 lan 0 ip nat static 1 xxx.xxx.xxx.xxx any xxx.xxx.xxx.xxx any 50 lan 0 vlan 1 lan 1 ip address 192.168.10.1/24 3 lan 1 ip route 0 192.168.20.0/24 192.168.10.254 1 1 lan 1 ip route 1 192.168.30.0/24 192.168.10.254 1 1 lan 1 vlan 2 remote 0 name MS-Azure remote 0 ap 0 name NET1 remote 0 ap 0 datalink type ipsec remote 0 ap 0 multiroute pattern 0 use 192.168.10.0/24 any
172.16.10.0/24 any any any remote 0 ap 0 ipsec type ike remote 0 ap 0 ipsec ike protocol esp remote 0 ap 0 ipsec ike range 192.168.10.0/24 172.16.10.0/24 remote 0 ap 0 ipsec ike encrypt aes-cbc-256 remote 0 ap 0 ipsec ike auth hmac-sha256 remote 0 ap 0 ipsec ike lifetime 1h remote 0 ap 0 ipsec ike lifebyte 100000m remote 0 ap 0 ike mode main remote 0 ap 0 ike shared key text abcdefghijklmnopqrstuvwxyz12345 remote 0 ap 0 ike proposal 0 encrypt aes-cbc-256 remote 0 ap 0 ike proposal 0 hash hmac-sha256 remote 0 ap 0 ike proposal 0 pfs modp1024 remote 0 ap 0 ike proposal 0 lifetime 8h remote 0 ap 0 tunnel local xxx.xxx.xxx.xxx remote 0 ap 0 tunnel remote yyy.yyy.yyy.yyy remote 0 ap 1 name NET2 remote 0 ap 1 datalink type ipsec remote 0 ap 1 multiroute pattern 0 use 192.168.20.0/24 any
172.16.10.0/24 any any any remote 0 ap 1 ipsec type ike remote 0 ap 1 ipsec ike protocol esp remote 0 ap 1 ipsec ike range 192.168.20.0/24 172.16.10.0/24 remote 0 ap 1 ipsec ike encrypt aes-cbc-256 remote 0 ap 1 ipsec ike auth hmac-sha256 remote 0 ap 1 ipsec ike lifetime 1h remote 0 ap 1 ipsec ike lifebyte 100000m remote 0 ap 1 ike bind ap 0 remote 0 ap 2 name NET3 remote 0 ap 2 datalink type ipsec remote 0 ap 2 ipsec type ike remote 0 ap 2 ipsec ike protocol esp remote 0 ap 2 ipsec ike range 192.168.30.0/24 172.16.10.0/24 remote 0 ap 2 ipsec ike encrypt aes-cbc-256 remote 0 ap 2 ipsec ike auth hmac-sha256 remote 0 ap 2 ipsec ike lifetime 1h remote 0 ap 2 ipsec ike lifebyte 100000m remote 0 ap 2 ike bind ap 0 remote 0 ip route 0 172.16.10.0/24 1 1 syslog facility 23 time zone 0900 consoleinfo autologout 8h telnetinfo autologout 5m terminal charset SJIS
ether 1 1 vlan untag 1
ポートをTag なしVLAN1に設定します。
ether 2 1-4 vlan untag 2
ポートをTag なしVLAN2に設定します。
lan 0 ip address xxx.xxx.xxx.xxx/xx 3
WAN側IPアドレス(ISPより割当)を設定します。
xxx.xxx.xxx.xxx/xx : WAN側のIPアドレス/マスクです。
3 :ブロードキャストアドレスのタイプです。通常は3で構いません。
lan 0 ip route 0 yyy.yyy.yyy.yyy/32 xxx.xxx.xxx.xxz 1 1
Azureへのスタティックルートを設定します。
yyy.yyy.yyy.yyy/32 : Azure側のトンネルエンドポイントです。
xxx.xxx.xxx.xxz : ISP側ゲートウェイアドレスです。
1 : metric値です。通常は1で構いません。
1 : distance値です。通常は1で構いません。
lan 0 ip nat mode multi xxx.xxx.xxx.xxx 1 5m
マルチNATを設定します。
lan 0 ip nat static 0 xxx.xxx.xxx.xxx 500 xxx.xxx.xxx.xxx 500 17
lan 0 ip nat static 1 xxx.xxx.xxx.xxx any xxx.xxx.xxx.xxx any 50
スタティックNATにより、IKE,ESPパケットを通す設定をします。
lan 0 vlan 1
VLAN ID とlan 定義番号の関連付けを行います。
LAN0にTag なしVLAN1を設定します。
lan 1 ip address 192.168.10.1/24 3
LAN側IPアドレスを設定します。
192.168.10.1/24 : LAN側のIPアドレス/マスクです。
3 : ブロードキャストアドレスのタイプです。通常は3で構いません。
lan 1 ip route 0 192.168.20.0/24 192.168.10.254 1 1
lan 1 ip route 1 192.168.30.0/24 192.168.10.254 1 1
LAN側のスタティックルートを設定します。
192.168.10.254 : ゲートウェイアドレスです。
lan 0 vlan 2
VLAN ID とlan 定義番号の関連付けを行います。
LAN0にTag なしVLAN2を設定します。
remote 0 name MS-Azure
IPsecインターフェースの名前(任意)を設定します。
remote 0 ap 0 name NET1
アクセスポイントの名前(任意、remote nameと同じでも可)を設定します。
remote 0 ap 0 datalink type ipsec
パケット転送方法としてIPSecを設定します。
remote 0 ap 0 multiroute pattern 0 use 192.168.10.0/24 any
172.16.10.0/24 any any any
マルチルートパターンでこのap定義を利用して送信するネットワークを設定します。
対象送信元アドレス/ネットワーク : 192.168.10.0/24
対象あて先アドレス/ネットワーク : 172.16.10.0/24
remote 0 ap 0 ipsec type ike
IPSec情報タイプにIPSec自動鍵交換を設定します。
remote 0 ap 0 ipsec ike protocol esp
自動鍵交換用Ipsec情報のセキュリティプロトコルにESP(暗号)を設定します。
remote 0 ap 0 ipsec ike range 192.168.10.0/24 172.16.10.0/24
自動鍵交換用Ipsec情報の対象範囲を設定します。
対象送信元アドレス/ネットワーク : 192.168.10.0/24
対象あて先アドレス/ネットワーク : 172.16.10.0/24
remote 0 ap 0 ipsec ike encrypt aes-cbc-256
自動鍵交換用IPSec情報の暗号情報にAES256ビットを設定します。
remote 0 ap 0 ipsec ike auth hmac-sha256
自動鍵交換用IPSec情報の認証情報にSHA256を設定します。
remote 0 ap 0 ipsec ike lifetime 1h
自動鍵交換用IPSec情報のSA有効時間に1hを設定します。
remote 0 ap 0 ipsec ike lifebyte 100000m
自動鍵交換用IPSec情報のSA 有効パケット量に100000mを設定します。
remote 0 ap 0 ike mode main
IKE ネゴシエーションの交換モードにメインモードを設定します。
remote 0 ap 0 ike shared key text abcdefghijklmnopqrstuvwxyz12345
IKEセッション確立時の共有鍵(Pre-shared key)を設定します。
remote 0 ap 0 ike proposal 0 encrypt aes-cbc-256
IKEセッション用暗号情報の暗号アルゴリズムにAES256を設定します。
remote 0 ap 0 ike proposal 0 hash hmac-sha256
IKEセッション用認証情報にSHA256を設定します。
remote 0 ap 0 ike proposal 0 pfs modp1024
IKEセッション用DH(Diffie-Hellman)グループにmodp1024を設定します。
remote 0 ap 0 ike proposal 0 lifetime 8h
IKE情報のSA有効時間を8hに設定します。
remote 0 ap 0 tunnel local xxx.xxx.xxx.xxx
IPSecトンネルの送信元アドレスの設定をします。
remote 0 ap 0 tunnel remote yyy.yyy.yyy.yyy
IPSecトンネルのあて先アドレスの設定をします。
remote 0 ap 1 name NET2
アクセスポイントの名前(任意、remote nameと同じでも可)を設定します。
remote 0 ap 1 datalink type ipsec
パケット転送方法としてIPSecを設定します。
remote 0 ap 1 multiroute pattern 0 use 192.168.20.0/24 any
172.16.10.0/24 any any any
マルチルートパターンでこのap定義を利用して送信するネットワークを設定します。
対象送信元アドレス/ネットワーク : 192.168.20.0/24
対象あて先アドレス/ネットワーク : 172.16.10.0/24
remote 0 ap 1 ipsec type ike
IPSec情報タイプにIPSec自動鍵交換を設定します。
remote 0 ap 1 ipsec ike protocol esp
自動鍵交換用Ipsec情報のセキュリティプロトコルにESP(暗号)を設定します。
remote 0 ap 1 ipsec ike range 192.168.20.0/24 172.16.10.0/24
自動鍵交換用Ipsec情報の対象範囲を設定します。
対象送信元アドレス/ネットワーク : 192.168.20.0/24
対象あて先アドレス/ネットワーク : 172.16.10.0/24
remote 0 ap 1 ipsec ike encrypt aes-cbc-256
自動鍵交換用IPSec情報の暗号情報にAES256ビットを設定します。
remote 0 ap 1 ipsec ike auth hmac-sha256
自動鍵交換用IPSec情報の認証情報にSHA256を設定します。
remote 0 ap 1 ipsec ike lifetime 1h
自動鍵交換用IPSec情報のSA有効時間に1hを設定します。
remote 0 ap 1 ipsec ike lifebyte 100000m
自動鍵交換用IPSec情報のSA 有効パケット量に100000mを設定します。
remote 0 ap 1 ike bind ap 0
利用するIKE 定義がされている接続先情報定義番号を設定します。
remote 0 ap 2 name NET3
アクセスポイントの名前(任意、remote nameと同じでも可)を設定します。
remote 0 ap 2 datalink type ipsec
パケット転送方法としてIPSecを設定します。
remote 0 ap 2 ipsec type ike
IPSec情報タイプにIPSec自動鍵交換を設定します。
remote 0 ap 2 ipsec ike protocol esp
自動鍵交換用Ipsec情報のセキュリティプロトコルにESP(暗号)を設定します。
remote 0 ap 2 ipsec ike range 192.168.30.0/24 172.16.10.0/24
自動鍵交換用Ipsec情報の対象範囲を設定します。
対象送信元アドレス/ネットワーク : 192.168.30.0/24
対象あて先アドレス/ネットワーク : 172.16.10.0/24
remote 0 ap 2 ipsec ike encrypt aes-cbc-256
自動鍵交換用IPSec情報の暗号情報にAES256ビットを設定します。
remote 0 ap 2 ipsec ike auth hmac-sha256
自動鍵交換用IPSec情報の認証情報にSHA256を設定します。
remote 0 ap 2 ipsec ike lifetime 1h
自動鍵交換用IPSec情報のSA有効時間に1hを設定します。
remote 0 ap 2 ipsec ike lifebyte 100000m
自動鍵交換用IPSec情報のSA 有効パケット量に100000mを設定します。
remote 0 ap 2 ike bind ap 0
利用するIKE 定義がされている接続先情報定義番号を設定します。
remote 0 ip route 0 172.16.10.0/24 1 1
Azure LAN側ネットワークへのスタティックルートを設定します。
172.16.10.0/24 : Azure側のLAN側ネットワークです。
1 : metric値です。通常は1で構いません。
1 : distance値です。通常は1で構いません。
remote 1 ip msschange 1350
MSS値に1350byteを設定します。
syslog facility 23
システムログ情報の出力情報/出力対象ファシリティを設定します。通常はこのままで構いません。
time zone 0900
タイムゾーンを設定します。通常はこのままで構いません。
consoleinfo autologout 8h
telnetinfo autologout 5m
シリアルコンソール、TELNETコネクションの入出力がない場合のコネクション切断時間を設定します。通常はこのままで構いません。
terminal charset SJIS
ターミナルで使用する漢字コードをShift JISコードに設定します。
このページを共有 |
![]() |
![]() |
![]() |