VPNのパターンとして、一般的なのは↓図の上のパターンだけど、お名前.com VPS
でもさくらのVPS
でもグローバルIPでネットに直結されているから、下のパターンを構築しなければいけない。
しかし、この下のパターンの設定例がイマイチ見つからないので、色々試行してみた。
MR504DVの場合はごくごく普通に設定を書けば下のパターンで動くんだけど、RTX1000の場合には普通の設定だとHost Aへの暗号化されたルートが自動で生成されないために、Host AからPINGを送るとRTXに受信されるけど、応答が宛先不明になる。
ならば静的ルートを設定すればいいと言うことになるけど、
ip route XXX.XXX.XXX.XXX gateway tunnel 1
とか書いてみる事になるけど、これっておかしい。 だって、XXX.XXX.XXX.XXXとの間に設定されているのがトンネル1だけど、XXX.XXX.XXX.XXXとの経路はそのトンネルを必要とする訳だから、鶏と卵になってしまう気がする。 で、実際、これじゃ動作しない。
色々調べた結果、
ip route XXX.XXX.XXX.XXX gateway tunnel 1 filter 1001 1002 1999
ip filter 1001 reject * * udp * 500
ip filter 1002 reject * * esp
ip filter 1999 pass * *
みたいに、フィルターを付けてやる事で通信できるようになった。
IPSecまわりの設定のみ抜き出した
ip route XXX.XXX.XXX.XXX gateway tunnel 1 filter 1001 1002 1999
tunnel select 1
tunnel name VPSIPSec
ipsec tunnel 1
ipsec sa policy 1 1 esp des-cbc md5-hmac
ipsec ike always-on 1 on
ipsec ike encryption 1 des-cbc
ipsec ike esp-encapsulation 1 off
ipsec ike group 1 modp1024
ipsec ike hash 1 md5
ipsec ike local address 1 192.168.0.1
ipsec ike local id 1 YYY.YYY.YYY.YYY
ipsec ike payload type 1 3
ipsec ike pfs 1 off
ipsec ike pre-shared-key 1 text 事前共有鍵
ipsec ike remote address 1 XXX.XXX.XXX.XXX
ipsec auto refresh 1 on
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 1001 reject * * udp * 500
ip filter 1002 reject * * esp
ip filter 1999 pass * *
これで、IPSecを実装したVPSと、RTX1000ルータ間でIPSec VPNが実現した。
この状態だと、RTX1000側のLANにあるPCからVPSに平文通信を行ってもネット上では全て暗号化されるので、かなりセキュアである。
RTX1000はかなり安く入手できて高機能&コンパクトでなかなかの優良ルータだ。 帯域制御とか優先制御とかも入れたくなると
CISCO 1812Jあたりが良い。
どちらも、業務用だから設定がコマンドを基本としていてなかなか取っつきにくいところもあるが、色々と高度なことが出来るので導入して損はないと思う。 エンジニアとしては、CISCOがいじれるというのは一種のステータスでもあるし。
なお、メインモードIPSecでは両端に固定IPが必要である。
VPS側は普通に固定IPだからお名前.com VPSやさくらのVPSあたりを利用して構築して、RTX1000側は固定IPが月額1,155円と激安のGMOとくとくBB
を利用した。
Linuxのままの場合は、L2TPの記事、OpenVPNの記事が参考になる。 OpenVPNはCISCOのSSL-VPNと通信可能だったかな・・・?
(562)
