先日、RTX1000とさくらのVPS(Windows化済み)の間でアグレッシブモードのIPSecによるVPNを構築したが、3rdルータに固定IPがあるので、メインモードで再構築した(前回はShrewだったが、今回はWindows標準のVPN機能IPSecで実現)
3rdルータはOMRONのMR504DVである。
MR504DVのIPSecに関わる設定
ipsec 2 valid on
ipsec 2 policy localip 192.168.0.0/24
ipsec 2 policy remoteip さくらのip
ipsec 2 policy dstgwip さくらのip
ipsec 2 ike dir responder
ipsec 2 ike psk 事前共有鍵
ipsec 2 ike enc des
ipsec 2 ike keepalive on d=さくらのip
ipsec 2 ike autocon on
ipsec 2 ike lifetime isakmp 3600
ipsec 2 ike lifetime ipsec 3600
ipsec 2 esp enc des
ipsec 2 pmtud dfbit off
ipsec 2 mss mode on
ipsec 2 natt mode on
ipsec 2 natt nego on
Windows(さくらのVPS)側の設定
スタート>コンパネ>管理ツール>ローカルセキュリティの設定
左ツリー:IPセキュリティポリシー
右ペインで右クリック>IPセキュリティポリシーの作成
ウィザードが起動、名前と説明を適当に設定、既定の応答規則をアクティブにする:Checked、次の文字列をキー交換(事前共有キー)の保護に使う:Checked&事前共有鍵を設定、プロパティを編集する:Checked
既定の応答フィルタの編集
セキュリティメソッド>追加>カスタム>暗号化をしないデータとアドレスの整合性:Unchecked,データの整合性と暗号化:Checked,整合性アルゴリズム:MD5,暗号化アルゴリズム:DES,新しいキーの生成間隔:Checked&3600秒に1回
認証方法>追加>次の文字列を使う:Checked&事前共有鍵を設定
追加の規則の作成
規則>追加>次のIPアドレスでトンネルエンドポイントを指定する:Checked&MR504DVの固定IPを指定>全てのネットワーク接続:Checked>IPフィルタ:追加>名前と説明を適当に設定、追加>ミラー化:Checked>発信元アドレス:このコンピュータのIPアドレス>宛先アドレス:特定のIPアドレス:192.168.0.0&255.255.255.0>プロトコルの種類の選択:任意
作成したフィルタを選択>セキュリティが必要>事前共有鍵を設定して終了。
作ったポリシーを右クリックして、割り当てをすると即座に適用される。
ping 192.168.0.1
とか打つと
Negotiating IP Securityとか、何回か出てくるが、IPSecが確立すれば、後は普通にVPN通信できる。
(873)