技術情報 : Si-R/Si-R brinシリーズ設定例

「Windows Azure」との接続 複数セグメントからの接続

本設定例は、弊社で独自に接続試験を行った結果を元に作成しており、
接続を保証するものではありません。

Si-R Gシリーズで「Windows Azure」と複数セグメントからIPsec接続する場合の設定例です。

対象機種と版数

• Si-R Gシリーズ V2.03以降

設定内容

• Si-R Gのether 2 1-4 をLAN側とします。
• Si-R GのLAN側に192.168.100.1/24を割り当るとします。
• 192.168.20.0/24,192.168.30.0/24ネットワークへのゲートウェイ（ルータ）アドレスは、192.168.10.254を割り当るとします。

• 本設定例では、Windows Azure側の設定については、省略します。
  Windows Azure側の設定については、「Windows Azure」との接続を参照ください。

設定例

• 以下の設定例を、コピー&ペーストでご利用いただくことができます。

Si-R G設定例

ether 1 1 vlan untag 1

ether 2 1-4 vlan untag 2

lan 0 ip address xxx.xxx.xxx.xxx/xx 3

lan 0 ip route 0 yyy.yyy.yyy.yyy/32 xxx.xxx.xxx.xxz 1 1

lan 0 ip nat mode multi xxx.xxx.xxx.xxx 1 5m

lan 0 ip nat static 0 xxx.xxx.xxx.xxx 500 xxx.xxx.xxx.xxx 500 17

lan 0 ip nat static 1 xxx.xxx.xxx.xxx any xxx.xxx.xxx.xxx any 50

lan 0 vlan 1

lan 1 ip address 192.168.10.1/24 3

lan 1 ip route 0 192.168.20.0/24 192.168.10.254 1 1

lan 1 ip route 1 192.168.30.0/24 192.168.10.254 1 1

lan 1 vlan 2

remote 0 name MS-Azure

remote 0 ap 0 name NET1

remote 0 ap 0 datalink type ipsec

remote 0 ap 0 multiroute pattern 0 use 192.168.10.0/24 any

 172.16.10.0/24 any any any

remote 0 ap 0 ipsec type ike

remote 0 ap 0 ipsec ike protocol esp

remote 0 ap 0 ipsec ike range 192.168.10.0/24 172.16.10.0/24

remote 0 ap 0 ipsec ike encrypt aes-cbc-256

remote 0 ap 0 ipsec ike auth hmac-sha256

remote 0 ap 0 ipsec ike lifetime 1h

remote 0 ap 0 ipsec ike lifebyte 100000m

remote 0 ap 0 ike mode main

remote 0 ap 0 ike shared key text abcdefghijklmnopqrstuvwxyz12345

remote 0 ap 0 ike proposal 0 encrypt aes-cbc-256

remote 0 ap 0 ike proposal 0 hash hmac-sha256

remote 0 ap 0 ike proposal 0 pfs modp1024

remote 0 ap 0 ike proposal 0 lifetime 8h

remote 0 ap 0 tunnel local xxx.xxx.xxx.xxx

remote 0 ap 0 tunnel remote yyy.yyy.yyy.yyy

remote 0 ap 1 name NET2

remote 0 ap 1 datalink type ipsec

remote 0 ap 1 multiroute pattern 0 use 192.168.20.0/24 any

 172.16.10.0/24 any any any

remote 0 ap 1 ipsec type ike

remote 0 ap 1 ipsec ike protocol esp

remote 0 ap 1 ipsec ike range 192.168.20.0/24 172.16.10.0/24

remote 0 ap 1 ipsec ike encrypt aes-cbc-256

remote 0 ap 1 ipsec ike auth hmac-sha256

remote 0 ap 1 ipsec ike lifetime 1h

remote 0 ap 1 ipsec ike lifebyte 100000m

remote 0 ap 1 ike bind ap 0

remote 0 ap 2 name NET3

remote 0 ap 2 datalink type ipsec

remote 0 ap 2 ipsec type ike

remote 0 ap 2 ipsec ike protocol esp

remote 0 ap 2 ipsec ike range 192.168.30.0/24 172.16.10.0/24

remote 0 ap 2 ipsec ike encrypt aes-cbc-256

remote 0 ap 2 ipsec ike auth hmac-sha256

remote 0 ap 2 ipsec ike lifetime 1h

remote 0 ap 2 ipsec ike lifebyte 100000m

remote 0 ap 2 ike bind ap 0

remote 0 ip route 0 172.16.10.0/24 1 1

syslog facility 23

time zone 0900

consoleinfo autologout 8h

telnetinfo autologout 5m

terminal charset SJIS

解説

Si-R_G設定解説

ether 1 1 vlan untag 1

ポートをTag なしVLAN1に設定します。

ether 2 1-4 vlan untag 2

ポートをTag なしVLAN2に設定します。

lan 0 ip address xxx.xxx.xxx.xxx/xx 3

WAN側IPアドレス（ISPより割当）を設定します。
xxx.xxx.xxx.xxx/xx : WAN側のIPアドレス/マスクです。
3 :ブロードキャストアドレスのタイプです。通常は3で構いません。

lan 0 ip route 0 yyy.yyy.yyy.yyy/32 xxx.xxx.xxx.xxz 1 1

Azureへのスタティックルートを設定します。
yyy.yyy.yyy.yyy/32 : Azure側のトンネルエンドポイントです。
xxx.xxx.xxx.xxz : ISP側ゲートウェイアドレスです。
1 : metric値です。通常は1で構いません。
1 : distance値です。通常は1で構いません。

lan 0 ip nat mode multi xxx.xxx.xxx.xxx 1 5m

マルチNATを設定します。

lan 0 ip nat static 0 xxx.xxx.xxx.xxx 500 xxx.xxx.xxx.xxx 500 17 

lan 0 ip nat static 1 xxx.xxx.xxx.xxx any xxx.xxx.xxx.xxx any 50

スタティックNATにより、IKE,ESPパケットを通す設定をします。

lan 0 vlan 1

VLAN ID とlan 定義番号の関連付けを行います。
LAN0にTag なしVLAN1を設定します。

lan 1 ip address 192.168.10.1/24 3

LAN側IPアドレスを設定します。
192.168.10.1/24 : LAN側のIPアドレス/マスクです。
3 : ブロードキャストアドレスのタイプです。通常は3で構いません。

lan 1 ip route 0 192.168.20.0/24 192.168.10.254 1 1 

lan 1 ip route 1 192.168.30.0/24 192.168.10.254 1 1

LAN側のスタティックルートを設定します。
192.168.10.254 : ゲートウェイアドレスです。

lan 0 vlan 2

VLAN ID とlan 定義番号の関連付けを行います。
LAN0にTag なしVLAN2を設定します。

remote 0 name MS-Azure

IPsecインターフェースの名前(任意)を設定します。

remote 0 ap 0 name NET1

アクセスポイントの名前(任意、remote nameと同じでも可)を設定します。

remote 0 ap 0 datalink type ipsec

パケット転送方法としてIPSecを設定します。

remote 0 ap 0 multiroute pattern 0 use 192.168.10.0/24 any

 172.16.10.0/24 any any any

マルチルートパターンでこのap定義を利用して送信するネットワークを設定します。
対象送信元アドレス/ネットワーク : 192.168.10.0/24
対象あて先アドレス/ネットワーク : 172.16.10.0/24

remote 0 ap 0 ipsec type ike

IPSec情報タイプにIPSec自動鍵交換を設定します。

remote 0 ap 0 ipsec ike protocol esp

自動鍵交換用Ipsec情報のセキュリティプロトコルにESP(暗号)を設定します。

remote 0 ap 0 ipsec ike range 192.168.10.0/24 172.16.10.0/24

自動鍵交換用Ipsec情報の対象範囲を設定します。
対象送信元アドレス/ネットワーク : 192.168.10.0/24
対象あて先アドレス/ネットワーク : 172.16.10.0/24

remote 0 ap 0 ipsec ike encrypt aes-cbc-256

自動鍵交換用IPSec情報の暗号情報にAES256ビットを設定します。

remote 0 ap 0 ipsec ike auth hmac-sha256

自動鍵交換用IPSec情報の認証情報にSHA256を設定します。

remote 0 ap 0 ipsec ike lifetime 1h

自動鍵交換用IPSec情報のSA有効時間に1hを設定します。

remote 0 ap 0 ipsec ike lifebyte 100000m

自動鍵交換用IPSec情報のSA 有効パケット量に100000mを設定します。

remote 0 ap 0 ike mode main

IKE ネゴシエーションの交換モードにメインモードを設定します。

remote 0 ap 0 ike shared key text abcdefghijklmnopqrstuvwxyz12345

IKEセッション確立時の共有鍵(Pre-shared key)を設定します。

remote 0 ap 0 ike proposal 0 encrypt aes-cbc-256

IKEセッション用暗号情報の暗号アルゴリズムにAES256を設定します。

remote 0 ap 0 ike proposal 0 hash hmac-sha256

IKEセッション用認証情報にSHA256を設定します。

remote 0 ap 0 ike proposal 0 pfs modp1024

IKEセッション用DH(Diffie-Hellman)グループにmodp1024を設定します。

remote 0 ap 0 ike proposal 0 lifetime 8h

IKE情報のSA有効時間を8hに設定します。

remote 0 ap 0 tunnel local xxx.xxx.xxx.xxx

IPSecトンネルの送信元アドレスの設定をします。

remote 0 ap 0 tunnel remote yyy.yyy.yyy.yyy

IPSecトンネルのあて先アドレスの設定をします。

remote 0 ap 1 name NET2

アクセスポイントの名前(任意、remote nameと同じでも可)を設定します。

remote 0 ap 1 datalink type ipsec

パケット転送方法としてIPSecを設定します。

remote 0 ap 1 multiroute pattern 0 use 192.168.20.0/24 any

 172.16.10.0/24 any any any

マルチルートパターンでこのap定義を利用して送信するネットワークを設定します。
対象送信元アドレス/ネットワーク : 192.168.20.0/24
対象あて先アドレス/ネットワーク : 172.16.10.0/24

remote 0 ap 1 ipsec type ike

IPSec情報タイプにIPSec自動鍵交換を設定します。

remote 0 ap 1 ipsec ike protocol esp

自動鍵交換用Ipsec情報のセキュリティプロトコルにESP(暗号)を設定します。

remote 0 ap 1 ipsec ike range 192.168.20.0/24 172.16.10.0/24

自動鍵交換用Ipsec情報の対象範囲を設定します。
対象送信元アドレス/ネットワーク : 192.168.20.0/24
対象あて先アドレス/ネットワーク : 172.16.10.0/24

remote 0 ap 1 ipsec ike encrypt aes-cbc-256

自動鍵交換用IPSec情報の暗号情報にAES256ビットを設定します。

remote 0 ap 1 ipsec ike auth hmac-sha256

自動鍵交換用IPSec情報の認証情報にSHA256を設定します。

remote 0 ap 1 ipsec ike lifetime 1h

自動鍵交換用IPSec情報のSA有効時間に1hを設定します。

remote 0 ap 1 ipsec ike lifebyte 100000m

自動鍵交換用IPSec情報のSA 有効パケット量に100000mを設定します。

remote 0 ap 1 ike bind ap 0

利用するIKE 定義がされている接続先情報定義番号を設定します。

remote 0 ap 2 name NET3

アクセスポイントの名前(任意、remote nameと同じでも可)を設定します。

remote 0 ap 2 datalink type ipsec

パケット転送方法としてIPSecを設定します。

remote 0 ap 2 ipsec type ike

IPSec情報タイプにIPSec自動鍵交換を設定します。

remote 0 ap 2 ipsec ike protocol esp

自動鍵交換用Ipsec情報のセキュリティプロトコルにESP(暗号)を設定します。

remote 0 ap 2 ipsec ike range 192.168.30.0/24 172.16.10.0/24

自動鍵交換用Ipsec情報の対象範囲を設定します。
対象送信元アドレス/ネットワーク : 192.168.30.0/24
対象あて先アドレス/ネットワーク : 172.16.10.0/24

remote 0 ap 2 ipsec ike encrypt aes-cbc-256

自動鍵交換用IPSec情報の暗号情報にAES256ビットを設定します。

remote 0 ap 2 ipsec ike auth hmac-sha256

自動鍵交換用IPSec情報の認証情報にSHA256を設定します。

remote 0 ap 2 ipsec ike lifetime 1h

自動鍵交換用IPSec情報のSA有効時間に1hを設定します。

remote 0 ap 2 ipsec ike lifebyte 100000m

自動鍵交換用IPSec情報のSA 有効パケット量に100000mを設定します。

remote 0 ap 2 ike bind ap 0

利用するIKE 定義がされている接続先情報定義番号を設定します。

remote 0 ip route 0 172.16.10.0/24 1 1

Azure LAN側ネットワークへのスタティックルートを設定します。
172.16.10.0/24 : Azure側のLAN側ネットワークです。
1 : metric値です。通常は1で構いません。
1 : distance値です。通常は1で構いません。

remote 1 ip msschange 1350

MSS値に1350byteを設定します。

syslog facility 23

システムログ情報の出力情報／出力対象ファシリティを設定します。通常はこのままで構いません。

time zone 0900

タイムゾーンを設定します。通常はこのままで構いません。

consoleinfo autologout 8h

telnetinfo autologout 5m

シリアルコンソール、TELNETコネクションの入出力がない場合のコネクション切断時間を設定します。通常はこのままで構いません。

terminal charset SJIS

ターミナルで使用する漢字コードをShift JISコードに設定します。