我が家のVPNトンネリングの基本形態は、LANとVPSの間の通信暗号化で利用しています。
RTXでの設定については以前の記事で書きましたが、先日導入したIX2025での設定について、我が家の利用形態(グローバルIP1本のサーバとLANのトンネリング)での設定例が見当たらないためここにメモっておきます。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 |
ip access-list local2onamae permit ip src 192.168.0.0/24 dest 8.8.8.8/32 ip access-list onamae-ipsec-acl permit ip src any dest any ip access-list onamae2local permit ip src 8.8.8.8/32 dest 192.168.0.0/24 ike proposal onamae-ike-proposal encryption 3des hash sha group 1024-bit ike policy onamae-ike peer 8.8.8.8 key *SECRET* onamae-ike-proposal ipsec autokey-proposal onamae-proposal esp-3des esp-sha lifetime both 43200 100000 ipsec autokey-map onamae-ipsec onamae-ipsec-acl peer 8.8.8.8 onamae-proposal route-map rmap permit 10 match ip address access-list local2onamae set interface Tunnel0.0 route-map rmap permit 20 match ip address access-list onamae2local set interface FastEthernet1/0.0 interface FastEthernet1/0.0 ip policy route-map rmap interface FastEthernet0/0.1 ip napt static FastEthernet0/0.1 udp 500 interface Tunnel0.0 description OnamaeVPSTunnel tunnel mode ipsec ip unnumbered FastEthernet0/0.1 ip tcp adjust-mss auto ipsec policy tunnel onamae-ipsec out no shutdown |
設定するトンネルはTunnel0.0、外はFE0/0.1で中はFE1/0.0です。 PPPoE固定IPグローバル1本のアクセス回線でNAPTを利用している前提でFE0/0.1にスタティックを設定してます。
このメモではVPSのIPの代わりに8.8.8.8と表記しています。 同じく共通鍵について*SECRET*と表記しています。 それぞれ、環境に応じて適切な値を設定します。
Windows側の設定については、RTXにて設定時の記事に同じです。
基本的なIPSecの設定はIX設定例に従っていますが、最終的にポリシールーティングを使ってローカルとVPS間の通信をトンネル上に乗せています。
onamae-ipsec-aclはIPSec受け入れ用のACLです。
local2onamae,onamae2localのACLが通信をトンネルに乗せるためのACLです。 ローカル空間192.168.0.0/24からVPSのグローバル8.8.8.8/32を乗せる設定です。
プロポーザルはPhase1/Phase2ともに3des-shaです。
※WS2008(Vista)以降ではPhase2のライフタイムはBothで有る必要があります。
ルーティング設定をしていない状態でルータコンソールのshow ike sa, show ipsec saにて適切なSAが確立出来ていることを確認します。
ルーティング設定を乗せる前の段階でtraceroute 8.8.8.8すると、通常のグローバルネットワーク経由の経路が表示されます。 乗せた段階でtracerouteすると、ルータのローカルIPの次が8.8.8.8になります。 これにより、トンネル上に通信が乗っていることが確認出来ます。
お名前.com VPSとフレッツ光回線にZOOT NEXTの固定IPサービスを利用した状態でWindowsファイル共有のスループットが7.5MB/s(IPSec外側で80Mbps程度)出る状態です。
NECのUNIVERGE IX2025につていは、8.11.11のファーム適用でアイドル時のCPU負荷は8%、上記通信状態で79%程度でハードウェア上限がFEであることを考えると、そこそこの設定のIPSecでは帯域いっぱいまで利用可能で、ちょっと複雑なフィルタ等を乗せても大丈夫そうです。
最近のNASほどスピードは出ないものの、FE環境や150Mbps無線LAN(11n single)環境であれば十分なスピードで、TS録画の再生にも耐えるスピードです。 NASを常時稼働すると電気代が1000円くらいはかかることを考えると、常時必要なドキュメントなどはVPSに乗せてしまって、高速大容量が必要なときだけUSB外付けHDDを使うなどの利用がコストパフォーマンス的に良いですね。
(591)