IX2025のVPN設定 – グローバルIP1本のサーバとの通信をトンネリングする | お名前.com、さくらのVPS等のサーバーでの開発・設定メモ

　我が家のVPNトンネリングの基本形態は、LANとVPSの間の通信暗号化で利用しています。
　RTXでの設定については以前の記事で書きましたが、先日導入したIX2025での設定について、我が家の利用形態(グローバルIP1本のサーバとLANのトンネリング)での設定例が見当たらないためここにメモっておきます。

ip access-list local2onamae permit ip src 192.168.0.0/24 dest 8.8.8.8/32
ip access-list onamae-ipsec-acl permit ip src any dest any
ip access-list onamae2local permit ip src 8.8.8.8/32 dest 192.168.0.0/24

ike proposal onamae-ike-proposal encryption 3des hash sha group 1024-bit
ike policy onamae-ike peer 8.8.8.8 key *SECRET* onamae-ike-proposal

ipsec autokey-proposal onamae-proposal esp-3des esp-sha lifetime both 43200 100000

ipsec autokey-map onamae-ipsec onamae-ipsec-acl peer 8.8.8.8 onamae-proposal

route-map rmap permit 10
  match ip address access-list local2onamae
  set interface Tunnel0.0

route-map rmap permit 20
  match ip address access-list onamae2local
  set interface FastEthernet1/0.0

interface FastEthernet1/0.0
  ip policy route-map rmap

interface FastEthernet0/0.1
  ip napt static FastEthernet0/0.1 udp 500

interface Tunnel0.0
  description OnamaeVPSTunnel
  tunnel mode ipsec
  ip unnumbered FastEthernet0/0.1
  ip tcp adjust-mss auto
  ipsec policy tunnel onamae-ipsec out
  no shutdown

ip access-list local2onamae permit ip src 192.168.0.0/24 dest 8.8.8.8/32

ip access-list onamae-ipsec-acl permit ip src any dest any

ip access-list onamae2local permit ip src 8.8.8.8/32 dest 192.168.0.0/24

ike proposal onamae-ike-proposal encryption 3des hash sha group 1024-bit

ike policy onamae-ike peer 8.8.8.8 key *SECRET* onamae-ike-proposal

ipsec autokey-proposal onamae-proposal esp-3des esp-sha lifetime both 43200 100000

ipsec autokey-map onamae-ipsec onamae-ipsec-acl peer 8.8.8.8 onamae-proposal

route-map rmap permit 10

match ip address access-list local2onamae

set interface Tunnel0.0

route-map rmap permit 20

match ip address access-list onamae2local

set interface FastEthernet1/0.0

interface FastEthernet1/0.0

ip policy route-map rmap

interface FastEthernet0/0.1

ip napt static FastEthernet0/0.1 udp 500

interface Tunnel0.0

description OnamaeVPSTunnel

tunnel mode ipsec

ip unnumbered FastEthernet0/0.1

ip tcp adjust-mss auto

ipsec policy tunnel onamae-ipsec out

no shutdown

　設定するトンネルはTunnel0.0、外はFE0/0.1で中はFE1/0.0です。　PPPoE固定IPグローバル1本のアクセス回線でNAPTを利用している前提でFE0/0.1にスタティックを設定してます。
　このメモではVPSのIPの代わりに8.8.8.8と表記しています。　同じく共通鍵について*SECRET*と表記しています。　それぞれ、環境に応じて適切な値を設定します。
　Windows側の設定については、RTXにて設定時の記事に同じです。
　基本的なIPSecの設定はIX設定例に従っていますが、最終的にポリシールーティングを使ってローカルとVPS間の通信をトンネル上に乗せています。

　onamae-ipsec-aclはIPSec受け入れ用のACLです。
　local2onamae,onamae2localのACLが通信をトンネルに乗せるためのACLです。　ローカル空間192.168.0.0/24からVPSのグローバル8.8.8.8/32を乗せる設定です。
　プロポーザルはPhase1/Phase2ともに3des-shaです。
※WS2008(Vista)以降ではPhase2のライフタイムはBothで有る必要があります。

　ルーティング設定をしていない状態でルータコンソールのshow ike sa, show ipsec saにて適切なSAが確立出来ていることを確認します。
　ルーティング設定を乗せる前の段階でtraceroute 8.8.8.8すると、通常のグローバルネットワーク経由の経路が表示されます。　乗せた段階でtracerouteすると、ルータのローカルIPの次が8.8.8.8になります。　これにより、トンネル上に通信が乗っていることが確認出来ます。
　お名前.com VPSとフレッツ光回線にZOOT NEXTの固定IPサービスを利用した状態でWindowsファイル共有のスループットが7.5MB/s（IPSec外側で80Mbps程度）出る状態です。
　NECのUNIVERGE IX2025につていは、8.11.11のファーム適用でアイドル時のCPU負荷は8％、上記通信状態で79％程度でハードウェア上限がFEであることを考えると、そこそこの設定のIPSecでは帯域いっぱいまで利用可能で、ちょっと複雑なフィルタ等を乗せても大丈夫そうです。
　最近のNASほどスピードは出ないものの、FE環境や150Mbps無線LAN(11n single)環境であれば十分なスピードで、TS録画の再生にも耐えるスピードです。　NASを常時稼働すると電気代が1000円くらいはかかることを考えると、常時必要なドキュメントなどはVPSに乗せてしまって、高速大容量が必要なときだけUSB外付けHDDを使うなどの利用がコストパフォーマンス的に良いですね。

(580)

はてなブックマーク - IX2025のVPN設定 – グローバルIP1本のサーバとの通信をトンネリングする

お名前.comやさくらのVPS等のレンタルサーバーでのLAMP設定や開発のメモ等

IX2025のVPN設定 – グローバルIP1本のサーバとの通信をトンネリングする

コメントを残すコメントをキャンセル

JVN

最近の投稿

アーカイブ

カテゴリー

さくらのVPS／お名前.com VPSとは

お名前.com、さくらのVPS等のサーバーでの開発・設定メモ