GTM-MML4VXJ
Skip to main content

技術情報 : Si-R/Si-R brinシリーズ設定例

「FUJITSU Cloud Service S5」との接続

Si-R Gシリーズで「FUJITSU Cloud Service S5」とIPsec接続する場合の設定例です。

設定例のイメージ図です

対象機種と版数

  • Si-R Gシリーズ V2.03以降

設定内容

  • Si-R Gのether 2 1-4 をLAN側とします。
  • Si-R GのLAN側に10.1.1.1/24を割り当るとします。
  • オンプレミス側ネットワーク
    オンプレミス側ネットワークでは、固定のアドレスを使用して、FUJITSU Cloud Service S5ネットワークに対して、IPsec接続を動作させます。
項目 設定値
接続メディア ADSL/FTTHなど
GW グローバルIPアドレス xxx.xxx.xxx.xxx/(ISPより割当)
ISP側ゲートウェイアドレス xxx.xxx.xxx.xxz/(ISPより割当)
LAN側ネットワーク 10.1.1.0/24
  • FUJITSU Cloud Service S5側ネットワーク
    オンプレミス側とFUJITSU Cloud Service S5側でのIPsec により、IPsec トンネルを介して、オンプレミスからFUJITSU Cloud Service S5側の仮想システムネットワークに対して通信をすることが可能となります。
項目 設定値
グローバルIPアドレス yyy.yyy.yyy.yyy
ポータルサイトより確認
ローカルIPアドレス ZZZ.ZZZ.ZZZ.ZZZ
ポータルサイトより確認
仮想システムネットワーク 任意のネットワーク

FUJITSU Cloud Service S5での設定

オンプレミス側とのIPsec 接続をするためのFUJITSU Cloud Service S5での設定について説明します。

  1. マイポータルMenuで "IPsecVPNマネージャ" を選択して、 "新規追加" ボタンを押下
    説明図1
  2.  "IPsec VPN名" を入力し "次へ" ボタンを押下
    説明図2
  3.  "サービス利用規約及びサービス仕様" に同意し "確定" ボタンを押下
    説明図3
    IPsecVPNゲートウェイの配備が完了すると、グローバルIPアドレス、プライベートIPアドレスが自動的に1つずつ割り当てられます。
    次に、それぞれのリージョンでIPsecVPNゲートウェイの設定を行います。
  4. IPsecVPNマネージャ画面で設定対象のIPsecVPNゲートウェイを選択し "接続設定" ボタンを押下、その後、接続設定画面で "接続先GW登録" ボタンを押下
    説明図4
    説明図5
  5. それぞれの項目に設定値を入力後、 "確定" ボタンを押下
    説明図6
項目 設定値
ID 1
注)任意の数値(1から10まで設定可能)
注)このIPsecVPNゲートウェイで固有の値。対向GWの数だけ最大10まで設定可能
接続先GW グローバルIPアドレス xxx.xxx.xxx.xxx
認証鍵 abcdefghijklmnopqrstuvwxyz12345
Ping監視先 10.1.1.1
暗号スイート Chiper Suite A

IPsec通信では、IKEフェーズ1、IKEフェーズ2で必要となる認証アルゴリズム、暗号アルゴリズムなど情報を両端のIPsecVPNゲートウェイで個々に設定する必要がありますが、本サービスではこの情報を暗号セット化し、利用者がセットを選択する設定形態を採用しています。

以下に、各暗号セットの内容を示します。本サービスで提供する暗号セットは "Chiper Suite A" と "Chiper Suite B" の2つがあり、ハッシュアルゴリズムに違いがあります。

IKE フェーズ1
項目 設定値
Chiper Suite A Chiper Suite B
暗号情報 aes-cbc-256
認証(ハッシュ)情報 hmac-sha1 hmac-sha512
DHグループ group 5(modp1536)
認証方式 Pre-shared key
モード メインモード(アグレッシブ非対応)
IKE SA有効時間 86400秒
IKE フェーズ2
項目 設定値
Chiper Suite A Chiper Suite B
IPsec情報のセキュリティプロトコル esp
暗号情報 aes-cbc-256
認証(ハッシュ)情報 hmac-sha1 hmac-sha512
DHグループ group 5(modp1536)
モード クイックモード
IPsec SA有効時間 28800秒
NAT-TRAVERSAL ON

6. 接続設定画面で追加した接続先GWを選択して、 "宛先NW登録" ボタンを押下

説明図6

7. IPsecVPN通信対象の宛先ネットワークアドレスを入力して、 "確定" ボタンを押下

説明図6
項目 設定値
宛先ネットワークアドレス 10.1.1.0/24

以下の制限に含まれる宛先ネットワークは設定できません。

  • 0.0.0.0
  • 10.128.0.0 - 10.128.255.255の範囲内、またはクラスD、クラスEの範囲内の宛先ネットワーク
  • ネットワーク設定で設定したプライベートIPアドレス範囲内の宛先ネットワーク
    (ネットワーク設定が自動設定の方はクラスC範囲内の宛先ネットワーク)
  • 契約組織内ですでに設定している宛先ネットワーク
  • VPN接続用スタティックルート情報で設定しているネットワークアドレス
説明図6

設定例

  • 以下の設定例を、コピーペーストでご利用いただくことができます。

Si-R G設定例

ether 1 1 vlan untag 1

ether 2 1 vlan untag 2

lan 0 ip address xxx.xxx.xxx.xxx/xx 3

lan 0 ip route 0 yyy.yyy.yyy.yyy/32 xxx.xxx.xxx.xxz 1 1

lan 0 vlan 1

lan 1 ip address 10.1.1.1/24 3

lan 1 vlan 2

remote 0 name vpn

remote 0 ap 0 name ipsec

remote 0 ap 0 datalink type ipsec

remote 0 ap 0 ipsec type ike

remote 0 ap 0 ipsec ike protocol esp

remote 0 ap 0 ipsec ike encrypt aes-cbc-256

remote 0 ap 0 ipsec ike auth hmac-sha1

remote 0 ap 0 ipsec ike pfs modp1536

remote 0 ap 0 ike mode main

remote 0 ap 0 ike shared key text abcdefghijklmnopqrstuvwxyz12345

remote 0 ap 0 ike proposal 0 encrypt aes-cbc-256

remote 0 ap 0 ike proposal 0 hash hmac-sha1

remote 0 ap 0 ike proposal 0 pfs modp1536

remote 0 ap 0 ike nat-traversal use on

remote 0 ap 0 tunnel local xxx.xxx.xxx.xxx

remote 0 ap 0 tunnel remote yyy.yyy.yyy.yyy

remote 0 ap 0 sessionwatch address 10.1.1.1 zzz.zzz.zzz.zzz

remote 0 ip route 0 default 1 1

syslog pri error,warn,info

syslog facility 23

time zone 0900

consoleinfo autologout 8h

telnetinfo autologout 5m

terminal charset SJIS

解説

Si-R_G設定解説

ether 1 1 vlan untag 1

ポートをTag なしVLAN1に設定します。

ether 2 1-4 vlan untag 2

ポートをTag なしVLAN2に設定します。

lan 0 ip address xxx.xxx.xxx.xxx/xx 3

WAN側IPアドレス(ISPより割当)を設定します。
xxx.xxx.xxx.xxx/xx: WAN側のIPアドレス/マスクです。
3 :ブロードキャストアドレスのタイプです。通常は3で構いません。

lan 0 ip route 0 yyy.yyy.yyy.yyy/32 xxx.xxx.xxx.xxz 1 1

FUJITSU Cloud Service S5へのスタティックルートを設定します。
yyy.yyy.yyy.yyy/32 : FUJITSU Cloud Service S5側のグローバルIPアドレスです。 xxx.xxx.xxx.xxz:ISP側ゲートウェイアドレスです。
1 : metric値です。通常は1で構いません。
1 : distance値です。通常は1で構いません。

lan 0 vlan 1

VLAN ID とlan 定義番号の関連付けを行います。
LAN0にTag なしVLAN1を設定します。

lan 1 ip address  10.1.1.1/24 3

LAN側IPアドレスを設定します。
10.1.1.1/24: LAN側のIPアドレス/マスクです。
3 :ブロードキャストアドレスのタイプです。通常は3で構いません。

lan 1 vlan 2

VLAN ID とlan 定義番号の関連付けを行います。
LAN1にTag なしVLAN2を設定します。

remote 0 name vpn

IPsecインタフェースの名前(任意)を設定します。

remote 0 ap 0 name ipsec

アクセスポイントの名前(任意、remote nameと同じでも可)を設定します。

remote 0 ap 0 datalink type ipsec

パケット転送方法としてIPSecを設定します。

remote 0 ap 0 ipsec type ike

IPSec情報タイプにIPSec自動鍵交換を設定します。

remote 0 ap 0 ipsec ike protocol esp

自動鍵交換用Ipsec情報のセキュリティプロトコルにESP(暗号)を設定します。

remote 0 ap 0 ipsec ike encrypt aes-cbc-256

自動鍵交換用IPSec情報の暗号情報にAES256ビットを設定します。

remote 0 ap 0 ipsec ike auth hmac-sha1

自動鍵交換用IPSec情報の認証情報にSHA1を設定します。

remote 0 ap 0 ipsec ike pfs modp1536

自動鍵交換用IPSec情報のPFS使用時のDH(Diffie-Hellman)グループにmodp1536を設定します。

remote 0 ap 0 ike mode main

IKE ネゴシエーションの交換モードにメインモードを設定します。

remote 0 ap 0 ike shared key text abcdefghijklmnopqrstuvwxyz12345

IKEセッション確立時の共有鍵(Pre-shared key)を設定します。

remote 0 ap 0 ike proposal 0 encrypt aes-cbc-256

IKEセッション用暗号情報の暗号アルゴリズムにAES256を設定します。

remote 0 ap 0 ike proposal 0 hash hmac-sha1

IKEセッション用認証情報にSHA1を設定します。

remote 0 ap 0 ike proposal 0 pfs modp1536

IKEセッション用DH(Diffie-Hellman)グループにmodp1536を設定します。

remote 0 ap 0 ike nat-traversal use on

NATトラバーサルを利用する設定をします。

remote 0 ap 0 tunnel local xxx.xxx.xxx.xxx

IPSecトンネルの送信元アドレスの設定をします。

remote 0 ap 0 tunnel remote yyy.yyy.yyy.yyy

IPSecトンネルのあて先アドレスの設定をします。

remote 0 ap 0 sessionwatch address 10.1.1.1 zzz.zzz.zzz.zzz

接続先セッション監視の設定をします。
・10.1.1.1 : ICMP ECHOパケットの送信元IPアドレスです。
・zzz.zzz.zzz.zzz : ICMP ECHOパケットの宛先IPアドレスです。

remote 0 ip route 0 default 1 1

FUJITSU Cloud Service S5側へデフォルトルートを設定します。
1 : metric値です。通常は1で構いません。
1 : distance値です。通常は1で構いません。

syslog pri error,warn,info
syslog facility 23

システムログ情報の出力情報/出力対象ファシリティを設定します。通常はこのままで構いません。

time zone 0900

タイムゾーンを設定します。通常はこのままで構いません。

consoleinfo autologout 8h
telnetinfo autologout 5m

シリアルコンソール、TELNETコネクションの入出力がない場合のコネクション切断時間を設定します。通常はこのままで構いません。

terminal charset SJIS

ターミナルで使用する漢字コードをShift JISコードに設定します。

IPsec確立確認方法

FUJITSU Cloud Service S5での接続状況確認方法を示します。

  1. IPsecVPNマネージャで "接続状況確認" ボタンを押下
    説明図1
  2. 接続状況画面で、 "Security Parameter Index" 、 "ステータス" を確認
    必要に応じて接続状況を正常化するために "強制切断" の実行を行います。
     "再表示" ボタンを押下することで、表示状態が更新されます。
    説明図1

オンプレミス側(Si-R Gシリーズ)での接続状況確認方法を示します。

  1. show access-pointコマンドを実行して確認してください。
    正常にIPsecが確立できていれば下記のような結果が得られます。
    IKE SA,IPsec SAともにestablished、status connectedとなっていれば接続ができています。
Si-R G100(config)# show access-point
remote 0 ap 0 : vpn.ipsec
status : connected
since : Feb 13 11:26:40 2014
speed : not available
send traffic : not available
receive traffic : not available
type : IPsec/IKE
IKE Version : 1
exchange type : main
IKE SA : established
IPsec SA : established

ルータに関するお問い合わせ

Webでのお問い合わせ

資料請求・購入相談

技術お問い合わせ

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-933-200 富士通コンタクトライン(総合窓口)

受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)