タグ別アーカイブ: IPSec

お名前.com VPS(KVM)でWindows Server 2012の評価を開始、RTX1100との間にメインモードIPSecでVPNを設定した – WindowsServer2012

 そんなわけで期待していたWindows Server 2012の評価版公開されたので、先日のつぶやき通りさくらVPSを1本解約して新規に契約したお名前.com VPS(KVM)に導入して評価することにした。
 で、今回の導入環境は、お名前.com VPS(KVM) 2GBプラン。
 お名前.com環境はWindows化は超容易で、さくらのVPSのように面倒なことをする必要はない。

1,MSのサイトからWindowsServer2012評価版のISOイメージをダウンロードしてくる
2,お名前のコントロールパネルでSSL鍵をダウンロード、サーバ設定画面でVirtioをOffに設定しておく
3,ダウンロードした鍵を認証に使ってSFTP接続してISOをアップロード(Filezillaとかで)
4,お名前のコンソール上にアップロードしたISOが登場するから選択して再起動
5,普通のPCと同じようにインストーラが立ち上がってくるから、普通にインストールしておしまい。

 ネットワークは1000MTレミュレートだから標準ドライバだし、他のデバイスも何も気にすることはない。
 IPアドレスなんかもDHCPで払い出されるから本当にデフォルトで良い。
 完了後にお名前コンソールで管理用リモートデスクトップの設定を入れてやれば、後は普通にリモートデスクトップで快適操作。

 とりあえず、先日導入したRTX1100とIPSecを設定する。
 しかし、従来通りローカルセキュリティポリシーのIPセキュリティの設定からポリシーを設定して割り当てを行ったが全然始動しない・・・
2008(R2も)はいけたんだけど、何かGPOの構成とか必要なのかな・・・? とりあえず、2008以降推奨手段であるセキュリティが強化されたWindowsファイアウォール(WFAS)にある機能で設定した。
WFASのIPSecは殆ど触ったことがないのでつまずいたが、最終的には設定項目にPFSが無いけど、PFS必須だったと言う点だけだった。
RTX1100のIPSec周りの設定

tunnel select 10
tunnel name “WS2012Eval”
ipsec tunnel 10
ipsec sa policy 10 10 esp aes-cbc sha-hmac
ipsec ike always-on 10 on
ipsec ike encryption 10 aes-cbc
ipsec ike group 10 modp1024
ipsec ike hash 10 sha
ipsec ike keepalive use 10 off
ipsec ike local address 10 RTXの内側IP
ipsec ike payload type 10 3
ipsec ike pfs 10 on
ipsec ike pre-shared-key 10 text 事前共有鍵
ipsec ike remote address 10 VPSのグローバルIP
ipsec auto refresh 10 on
ip tunnel tcp mss limit auto
tunnel enable 10

ip routeとかフィルタは以前の記事と同じ

WFASでのIPSec設定

試験企画:GUI操作は動画説明してみるテスト(動画中では試験用にDES/MD5を選択している)
操作ステップ1
操作ステップ2

1,’コントロールパネル’から’Windowsファイアウォール’を開き、左リストにある’詳細設定’を開く
2,左リストの、’ローカルコンピューターのセキュリティが強化されたWindowsファイアウォール’を右クリックして、’プロパティ’を開く
3,’IPSecの設定’タブを開いて’IPSec既定’の’カスタマイズ’を開く
4,’キー交換(メインモード)’を’詳細設定’ラジオボタンを選択して、’カスタマイズ’を開く
5,’セキュリティメソッド’の’追加’を開いて、’整合性アルゴリズム’で’SHA-1’を選択、’暗号化アルゴリズム’で’AES-CBC 128’を選択、’キー交換アルゴリズム’で’Diffie-Hellman Group 2’を選択してOKで閉じる
6,追加された項目を選択して、右側にある上下矢印で追加したメソッドを一番上にしてOKで閉じる
7,4番の画面で’データ保護(クイックモード)’も’詳細設定’ラジオボタンを選択して、こちらの’カスタマイズ’を開く
8,’この設定を使用するすべての接続セキュリティ規則に暗号化を要求する’をチェック、’データの整合性と暗号化’の’追加’を開く
9,’プロトコル’で’ESP’ラジオボタンを選択、’アルゴリズム’の’暗号化アルゴリズム’で’AES-CBC 128’を選択、’整合性アルゴリズム’で’SHA-1’を選択してOKで閉じる
10,追加された項目を選択して、右側にある上下矢印で追加したメソッドを一番上にしてOKで閉じる
11,’認証方法’も’詳細設定’ラジオボタンを選択し、’カスタマイズ’を開く
12,’1番目の認証’の’追加’を開く
13,’事前共有キー’ラジオボタンを選択し、テキストボックスにRTXに設定した’事前共有鍵’を入力してOKで閉じる
14,追加された項目を選択して、右側にある上下矢印で追加したメソッドを一番上にしてOKで閉じる。
 ’IPSecの規定値のカスタマイズ’画面もOKで閉じる。
 ’ローカルコンピューターのセキュリティが強化されたWindow・・・’(切れてる・・・)の画面もOKで閉じる。
 これで1の画面まで戻ってきたはず。
15,左リストの’接続セキュリティの規則’を右クリックして’新しい規則’を開く
16,ステップ’規則の種類’で’カスタム’を選択して次へ
17,ステップ’エンドポイント’で、’エンドポイント1にあるコンピュータを指定してください’は’任意のIPアドレス’を選択。
 ’エンドポイント2にあるコンピュータを指定してください’は’これらのIPアドレス’を選択し、’追加’を開く。
 ’このIPアドレスまたはサブネット’を選択し、テキストボックスにRTX内側ネットワークを入力(192.168.10.1/24とか)してOKで閉じて、次へ
19,ステップ’要件’で’受信接続と送信接続に対して認証を要求する’を選択して次へ
20,ステップ’認証方法’で’既定’を選択して次へ(詳細設定で12/13/14同様の設定をしても良い)
21,ステップ’プロトコルおよびポート’で、’プロトコルの種類’で’任意’を選択して次へ
22,ステップ’プロファイル’で、’ドメイン’・’プライベート’・’パブリック’をチェックして次へ
23.’名前’に適当な名前を設定(必須項目)して、’完了’
24,作成された規則を右クリックして、’プロパティ’を開く
25,’全般’タブの’有効’をチェック、’詳細設定’タブの’IPsecトンネリング’の’カスタマイズ’を開く
26,’IPsecトンネリングを使用する’をチェック、’リモートトンネルエンドポイント’の’編集’を開く
27,’特定のアドレス’を選択して、’IPv4’テキストボックスにRTXの外側固定IPを入力してOKで閉じて、OKで閉じて、OKで閉じる(接続名のプロパティまで閉じる)

 長かったけど、コレで完了。

 お名前.com VPS(KVM)からフレッツ光ネクスト回線+固定IPプロバイダで接続したRTX1100経由でLAN上のWindowsHomeServer2011なProliant ML110 G7との間でWindowsファイル共有のコピーで、4.5MB/s(36Mbps位)が実効レートだった。 このスピードならかなり快適に作業できるだろう(下手なUSBメモリ程度だ)

 と言うわけで、LANのサブネットにWindowsファイル共有を開けて、インターネット上のファイルサーバに仕立ててみた。
 外からでも使えるように、VPN(RRAS)も構成してL2TP/IPSecで入れるようにして、仮想ネットワークからもファイル共有を開けるようにした。
 しかし、WFASのポリシーを何度かいじっているといきなり消えることがあるようだ。 やはり出たばかりでまだまだ安定に難があるかもしれない。

(84)


カテゴリー: Windows VPS, サーバ設定 | タグ: , , , , , | コメントをどうぞ

お名前.comのVPSとRTX1000の間にOpenswanを使ってIPSec方式のVPNを設定した

 Windows化したさくらVPSサーバー固定IPプロバイダでつないだRTX1000の間にアグレッシブモードメインモードIPSecを張っていたわけだけど、今回はCentOS 6環境のお名前.com VPS(KVM)サーバーとの間にメインモードのIPSec VPNの設定を行った。

 IPSecはオープンな規格であるものの、独自実装が多くて、なかなか相互互換が得られない困ったちゃん。
 特にLinuxのIPSec実装には色々なソフトがあって、つながる組み合わせ、つながらない組み合わせが難しい。
 今回使ったLinuxのIPSec実装であるOpenswanは、CentOS標準パッケージなのでメジャー系ではあるものの、あまり普及しているとはいえず、ネット上で情報収集してもL2TPと組み合わせてスマホを接続するような情報ばかりで、最終的にソースコードを眺めつつ、設定を詰めるのに1週間以上かかってしまったが、何とか構築することが出来たのでメモしておく。

RTX1000の設定

ip route VPSのグローバルIPアドレス gateway tunnel 1 filter 1001 1002 1999

ip filter 1001 reject * * udp * 500
ip filter 1002 reject * * esp
ip filter 1999 pass * *

tunnel select 1
tunnel name VPN2VPS
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike always-on 1 on
ipsec ike encryption 1 3des-cbc
ipsec ike esp-encapsulation 1 off
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike local address 1 192.168.0.1
ipsec ike local id 1 192.168.0.1
ipsec ike payload type 1 3
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text 秘密だよ
ipsec ike remote address 1 固定IPだよ
ipsec auto refresh 1 on
ip tunnel tcp mss limit auto
tunnel enable 1

3des-sha1の組み合わせで、ESP有効、MODP1024設定でPFS有効のポリシー(軽いdes-md5を試みたが、yumパッケージ版ではdesはサポートされておらずビルドし直さなければならない)

Openswanの導入は、CentOS標準のyumからの導入でOK(yum install openswan)

Openswanの設定
/etc/ipsec.conf

 auto=startだと起動時に接続にいく。 addにすると、コマンドラインから ipsec auto –up homenetwork のようにコマンドを打つことでリンクアップできる。
 今回は認証がsecret(事前共有鍵)なので、/etc/ipsec.secretsに
: PSK “事前共有鍵”
 のように記述しておく。
 電子証明書認証も出来る。

 VPN接続がうまくいくと、LAN側のPCで”traceroute VPSサーバーの固定IP”とか実行すると、デフォルトゲートウェイVPSサーバーのIPの順で表示される(VPNが無いと、デフォルトゲートウェイ対向ルータインターネットVPSサーバーのIPというように、中間のアドレスが表示される=トンネルモードVPNだと仮想的に1ホップになる)
VPSサーバー側でnetstatを実行すると、VPNで繋がっていないとルータの外側IPが表示されるが、繋がっているとLAN内部のIPがそのまま表示されることでも確認できる。

 VPNを設定しておくと、VPSサーバーからsambaを経由してLAN上のWindowsマシンの共有ストレージを利用したり、LAN上のマシンからPOP3接続したりしたときに、VPSサーバー<=>ルーター間の情報はすべて暗号化されるためセキュアで良い。

参考
参考
RTXのIPSec設定参考
新しいRTXだとこんな事も出来る

(246)


カテゴリー: サーバ設定 | タグ: , , , , , | 1件のコメント

RTX1000とWindows VPS間でIPSec方式VPN(メインモード)を構築する

 VPNのパターンとして、一般的なのは↓図の上のパターンだけど、お名前.com VPSでもさくらのVPSでもグローバルIPでネットに直結されているから、下のパターンを構築しなければいけない。

 しかし、この下のパターンの設定例がイマイチ見つからないので、色々試行してみた。
 MR504DVの場合はごくごく普通に設定を書けば下のパターンで動くんだけど、RTX1000の場合には普通の設定だとHost Aへの暗号化されたルートが自動で生成されないために、Host AからPINGを送るとRTXに受信されるけど、応答が宛先不明になる。
 ならば静的ルートを設定すればいいと言うことになるけど、

ip route XXX.XXX.XXX.XXX gateway tunnel 1

 とか書いてみる事になるけど、これっておかしい。 だって、XXX.XXX.XXX.XXXとの間に設定されているのがトンネル1だけど、XXX.XXX.XXX.XXXとの経路はそのトンネルを必要とする訳だから、鶏と卵になってしまう気がする。 で、実際、これじゃ動作しない。
 色々調べた結果、

ip route XXX.XXX.XXX.XXX gateway tunnel 1 filter 1001 1002 1999
ip filter 1001 reject * * udp * 500
ip filter 1002 reject * * esp
ip filter 1999 pass * *

 みたいに、フィルターを付けてやる事で通信できるようになった。

 IPSecまわりの設定のみ抜き出した

ip route XXX.XXX.XXX.XXX gateway tunnel 1 filter 1001 1002 1999
tunnel select 1
tunnel name VPSIPSec
ipsec tunnel 1
ipsec sa policy 1 1 esp des-cbc md5-hmac
ipsec ike always-on 1 on
ipsec ike encryption 1 des-cbc
ipsec ike esp-encapsulation 1 off
ipsec ike group 1 modp1024
ipsec ike hash 1 md5
ipsec ike local address 1 192.168.0.1
ipsec ike local id 1 YYY.YYY.YYY.YYY
ipsec ike payload type 1 3
ipsec ike pfs 1 off
ipsec ike pre-shared-key 1 text 事前共有鍵
ipsec ike remote address 1 XXX.XXX.XXX.XXX
ipsec auto refresh 1 on
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 1001 reject * * udp * 500
ip filter 1002 reject * * esp
ip filter 1999 pass * *

 これで、IPSecを実装したVPSと、RTX1000ルータ間でIPSec VPNが実現した。
 この状態だと、RTX1000側のLANにあるPCからVPSに平文通信を行ってもネット上では全て暗号化されるので、かなりセキュアである。

 RTX1000はかなり安く入手できて高機能&コンパクトでなかなかの優良ルータだ。 帯域制御とか優先制御とかも入れたくなるとCISCO 1812Jあたりが良い。
 どちらも、業務用だから設定がコマンドを基本としていてなかなか取っつきにくいところもあるが、色々と高度なことが出来るので導入して損はないと思う。 エンジニアとしては、CISCOがいじれるというのは一種のステータスでもあるし。

 なお、メインモードIPSecでは両端に固定IPが必要である。
 VPS側は普通に固定IPだからお名前.com VPSさくらのVPSあたりを利用して構築して、RTX1000側は固定IPが月額1,155円と激安のGMOとくとくBBを利用した。

 Linuxのままの場合は、L2TPの記事OpenVPNの記事が参考になる。 OpenVPNはCISCOのSSL-VPNと通信可能だったかな・・・?

(93)


カテゴリー: Windows VPS, サーバ設定 | タグ: , | コメントをどうぞ

Windows化したさくらVPSでVPNを利用する – IPSec メインモード MR504DV

 先日、RTX1000とさくらのVPS(Windows化済み)の間でアグレッシブモードのIPSecによるVPNを構築したが、3rdルータに固定IPがあるので、メインモードで再構築した(前回はShrewだったが、今回はWindows標準のVPN機能IPSecで実現)
3rdルータはOMRONのMR504DVである。

MR504DVのIPSecに関わる設定
ipsec 2 valid on
ipsec 2 policy localip 192.168.0.0/24
ipsec 2 policy remoteip さくらのip
ipsec 2 policy dstgwip さくらのip
ipsec 2 ike dir responder
ipsec 2 ike psk 事前共有鍵
ipsec 2 ike enc des
ipsec 2 ike keepalive on d=さくらのip
ipsec 2 ike autocon on
ipsec 2 ike lifetime isakmp 3600
ipsec 2 ike lifetime ipsec 3600
ipsec 2 esp enc des
ipsec 2 pmtud dfbit off
ipsec 2 mss mode on
ipsec 2 natt mode on
ipsec 2 natt nego on

Windows(さくらのVPS)側の設定
スタート>コンパネ>管理ツール>ローカルセキュリティの設定
左ツリー:IPセキュリティポリシー
右ペインで右クリック>IPセキュリティポリシーの作成
ウィザードが起動、名前と説明を適当に設定、既定の応答規則をアクティブにする:Checked、次の文字列をキー交換(事前共有キー)の保護に使う:Checked&事前共有鍵を設定、プロパティを編集する:Checked

既定の応答フィルタの編集
セキュリティメソッド>追加>カスタム>暗号化をしないデータとアドレスの整合性:Unchecked,データの整合性と暗号化:Checked,整合性アルゴリズム:MD5,暗号化アルゴリズム:DES,新しいキーの生成間隔:Checked&3600秒に1回
認証方法>追加>次の文字列を使う:Checked&事前共有鍵を設定

追加の規則の作成
規則>追加>次のIPアドレスでトンネルエンドポイントを指定する:Checked&MR504DVの固定IPを指定>全てのネットワーク接続:Checked>IPフィルタ:追加>名前と説明を適当に設定、追加>ミラー化:Checked>発信元アドレス:このコンピュータのIPアドレス>宛先アドレス:特定のIPアドレス:192.168.0.0&255.255.255.0>プロトコルの種類の選択:任意
作成したフィルタを選択>セキュリティが必要>事前共有鍵を設定して終了。

作ったポリシーを右クリックして、割り当てをすると即座に適用される。
ping 192.168.0.1
とか打つと
Negotiating IP Securityとか、何回か出てくるが、IPSecが確立すれば、後は普通にVPN通信できる。

  • 関連
  • 関連
  • (197)


    カテゴリー: LAMP[Linux, Apache, MySQL, PHP] | タグ: , | コメントをどうぞ

    さくらVPSにWindowsを入れている環境でVPNを利用する

     従来、自宅のメインルータがRTX1000でPPTPサーバになれるので、WindowsServer化したさくらVPSからルータにPPTPダイアルアップして、LAN上のホストとしてファイル共有などを利用していた。
     しかし、PPTPはスピードが伸びず、400KB/s程度しか出ないので、管理回線としては使えるが、大きなファイルの転送には不向きだった。
     RTX1000には、他のVPN手段としてIPSecがあるのでこちらに切り替えてみる。
     WindowsServer2003R2のIPSecサポートでは、メインモードにしか対応しないのだが、IPアドレスが変わる環境ではアグレッシブモードの対応が必要なので、VPSにVPNクライアントソフトを導入して、VPSからRTXに接続する形態で利用する。

     今回は無償利用できるShrew Soft VPN Client for Windowsと言うクライアントを利用した。
    http://www.shrew.net/software

     WindowsVPS=ShrewSoftVPNClient(192.168.1.2)=>The net=>RTX1000(PPPoE,DHCP,192.168.0.1)=>LAN
    netvolante-dnsでダイナミックDNSにアドレスを振っておく
    RTXのIPSec関連設定
    ip route 192.168.1.0/24 gateway tunnel 2 #192.168.1.0/24のIPへのルーティングはトンネル2を利用する
    tunnel select 2 #トンネル2を設定する(1はPPTPに振ってあるので、今回は2)
    tunnel name vps1-ipsec #トンネルに名前をつける
    ipsec tunnel 1 #トンネル2だけど、IPSecトンネルとしては1番
    ipsec sa policy 1 1 esp des-cbc md5-hmac #ESPプロトコルを使い、DES暗号MD5ハッシュを使う
    ipsec ike encryption 1 des-cbc #IKE暗号化にDESを使う
    ipsec ike keepalive use 1 on #IKEキープアライブを有効にする
    ipsec ike local address 1 192.168.0.1 #IKEローカルアドレスを設定する
    ipsec ike pfs 1 on #Phase2 PFSを有効にする
    ipsec ike pre-shared-key 1 text 共有鍵 #暗号鍵に事前共有鍵を使用する
    ipsec ike remote address 1 any #リモートアドレスを任意許可する
    ipsec ike remote name 1 認証名 #リモートの識別に認証名をFQDNとして用いる
    ipsec auto refresh 1 on #自動更新を有効にする
    tunnel enable 2 #トンネル2を有効化する

    nat descriptor masquerade static 1 1 192.168.0.1 udp 500 #IPSecで利用するUDP500を通す
    nat descriptor masquerade static 1 2 192.168.0.1 esp #ESPプロトコルを通す
    ipsec use on #IPSecを有効化する

    個人利用でセキュリティはあまり重要ではないので負荷の軽い設定になっている。

    ShrewSoft VPN Clientの設定
    [General]
    Host Name or IP Address:ホスト名.aa0.netvolante.jp(NetvolanteDDNSで指定した)
    Port:500
    Auto Configuration:Disabled
    Address Method:Use a virtual adapter and assigned address
    MTU:1380
    Address:192.168.1.2
    Netmask:255.255.255.0

    [Client]
    NAT Traversal:Disable
    IKE Fragmentation:Disable
    Enable Dead Peer Detection:オフ
    Enable ISAKMP Failure Notifications:オフ

    [Name Resolution]
    Enable WINS:オフ
    Enable DNS:オフ

    [Authentication]
    Authentication Method:Mutual PSK
    Local Identity-Identification Type:Fully Qualified Domain Name
    Local Identity-FQDN String:RTX設定の認証名
    Remote Identity-Identification Type:Any
    Credentials-Pre Shared Key:RTX設定の共有鍵

    [Phase1]
    Exchange Type:Aggressive
    DH Exchange:group1
    Cipher Algorithm:des
    Hash Algorithm:md5
    Key Life Time limit:86400
    Key Lige Data limit:0
    Enable Check Point Comaptible Vendor ID:オフ

    [Phase2]
    Transform Algorithm:esp-des
    HMAC Algorithm:md5
    PFS Exchange:auto
    Compress Algorithm:Disabled
    Key Life Time limit:3600
    Key Lige Data limit:0

    [Policy]
    Policy Generation Level:auto
    Maintain Persistent Security Associtations:オフ
    Obtain Topology Automatically or Tunnel All:オフ(オンにするとデフォルトゲートウェイがこのアダプタになり通常のインターネットアクセスも低速になるので、RTXのLANをリモートネットワークリソースに設定してLANだけこのアダプタをゲートウェイにした)
    Remote Network Resource>Add>Type:Include Addresss:192.168.0.0 Netmask:255.255.255.0

     設定してConnectすると、10MbpsのダイアルアップアダプタとしてVPN接続される。
     Windowsファイル共有したディスクでのベンチマークでは、シーケンシャルリード860KB/sで、シーケンシャルライト2.8MB/s出るようになった(遅延の影響でWindowsファイル共有はちょっと遅い)
     VPN接続していればインターネット上ではパケットがすべて暗号化されているので安心。

    (304)


    カテゴリー: Windows VPS | タグ: , | コメントをどうぞ