2.1.1. メインモードで固定アドレス間をIPsecで接続する(コマンド設定)

  • 概要

本社側の対応機種は、WA1510/WA1511/WA1512/WA2610/WA2611-AP/WA2611E-AP/WA2612-AP/WA2511E です。
拠点側の対応機種は、WA1511/WA1512/WA2611-AP/WA2611E-AP/WA2612-AP/WA2511E です。
販売終了機種はこちら→→→ 販売終了機種
本事例は、拠点-本社間をIPsecのメインモードでセキュアな接続を行う構成です。
本社ネットワークは光回線、拠点ネットワークはモバイルを利用します。
また、両拠点ともに固定グローバルアドレス契約が必要です。
光回線のPPPoEユーザ名、PPPoEパスワードは事前にご契約された通信事業者にご確認ください。
SIMのAPN、ユーザ名、パスワードは事前にご契約された通信事業者にご確認ください。

  • ネットワーク構成図

img100

  • WA1510 サンプルコンフィグ

設定項目

コンフィグ

ホスト名の設定

hostname WA1500
ログインユーザ名、
パスワードの設定

username (ログインユーザ名) password plain (ログインパスワード) administrator
Web-GUIログインユーザ名、
パスワードの設定

http-username (Web-GUIログインユーザ名) password plain (Web-GUIログインパスワード) administrator

DHCPサーバの設定
ip dhcp-server enable
ip dhcp-server profile default
default-gateway auto
dns-server auto
subnet-mask auto

PPPoEプロファイルの設定
ppp profile pppoeprof
authentication username (PPPoEユーザ名)
authentication password plain (PPPoEパスワード)

WANインターフェースの設定
interface GigaEthernet0.0
no ip address
encapsulation PPPoE0
no shutdown

LANインターフェースの設定
interface GigaEthernet1.0
ip address 192.168.1.200/24
ip dhcp-server binding default
no shutdown

PPPoEインターフェースの設定
interface PPPoE0
ip address ipcp
ip tcp adjust-mss auto
ppp profile pppoeprof
auto-connect
ip napt enable
ip napt reserve icmp ※pingによる疎通確認後に削除推奨
ip napt reserve esp
ip napt reserve udp 500
ip napt reserve udp 4500
no shutdown

ループバックインターフェースの設定
interface Loopback0.0
ip address 127.0.0.1/8
no shutdown

IPsecインターフェースの設定
interface IPsec0
ip address unnumbered
ip tcp adjust-mss auto
ipsec map ipsec_prof1
no shutdown

ルーティングの設定
ip route 192.168.2.0/24 IPsec0
ip route default PPPoE0

DNSプロキシの設定
proxy-dns ip enable
proxy-dns server default PPPoE0 ipcp

IKEプロポーザルの設定
ike proposal ike_prop1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256
lifetime 28800

IKEポリシーの設定
ike policy ike_pol1
mode main
dpd-keepalive enable ph1 20 3
proposal ike_prop1
pre-shared-key plain (事前共有鍵)

IPsecプロポーザルの設定
ipsec proposal ipsec_prop1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256
lifetime 28800

IPsecポリシーの設定
ipsec policy ipsec_pol1
proposal ipsec_prop1

IPsecプロファイルの作成
ipsec profile ipsec_prof1
mode tunnel
ipsec policy ipsec_pol1
ike policy ike_pol1
peer 200.200.200.200 ※実網のアドレスを設定してください

Webサーバの設定
https-server ip enable
https-server ip permit 192.168.1.0/24
https-server ip redirect enable

VPN LEDの設定

led vpn ipsec

  • WA1512 サンプルコンフィグ

設定項目

コンフィグ

ホスト名の設定

hostname WA1512
ログインユーザ名、
パスワードの設定

username (ログインユーザ名) password plain (ログインパスワード) administrator
Web-GUIログインユーザ名、
パスワードの設定

http-username (Web-GUIログインユーザ名) password plain (Web-GUIログインパスワード) administrator

DHCPサーバの設定
ip dhcp-server enable
ip dhcp-server profile default
default-gateway auto
dns-server auto
subnet-mask auto

LANインターフェースの設定
interface GigaEthernet1.0
ip address 192.168.2.200/24
ip dhcp-server binding default
no shutdown

WANインタフェースの設定
interface MobileEthernet0.0
ip address dhcp
ip tcp adjust-mss auto
ip napt enable
ip napt reserve icmp ※pingによる疎通確認後に削除推奨
ip napt reserve udp 500
ip napt reserve esp
ip napt reserve udp 4500
mobile id IP (APN)
mobile username (ユーザ名)
mobile password plain (パスワード)
auto-connect
no shutdown

ループバックインターフェースの設定
interface Loopback0.0
ip address 127.0.0.1/8
no shutdown

IPsecインターフェースの設定
interface IPsec0
ip address unnumbered
ip tcp adjust-mss auto
ipsec map ipsec_prof1
no shutdown

ルーティングの設定
ip route 192.168.1.0/24 IPsec0
ip route default MobileEthernet0.0

DNSプロキシの設定
proxy-dns ip enable
proxy-dns server default MobileEthernet0.0 dhcp

IKEプロポーザルの設定
ike proposal ike_prop1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256
lifetime 28800

IKEポリシーの設定
ike policy ike_pol1
mode main
dpd-keepalive enable ph1 20 3
proposal ike_prop1
pre-shared-key plain (事前共有鍵)

IPsecプロポーザルの設定
ipsec proposal ipsec_prop1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256
lifetime 28800

IPsecポリシーの設定
ipsec policy ipsec_pol1
rekey enable always
proposal ipsec_prop1

IPsecプロファイルの作成
ipsec profile ipsec_prof1
mode tunnel
ipsec policy ipsec_pol1
ike policy ike_pol1
peer 100.100.100.100 ※実網のアドレスを設定してください

Webサーバの設定
https-server ip enable
https-server ip permit 192.168.2.0/24
https-server ip redirect enable

VPN LEDの設定

led vpn ipsec

  • サンプルコンフィグのダウンロード

WA1510のサンプルコンフィグのダウンロードはこちら サンプルコンフィグ.
WA1512のサンプルコンフィグのダウンロードはこちら サンプルコンフィグ.

  • コンフィグの適用方法

コンフィグの適用方法はこちら→ CLIによるコンフィグの適用方法

注意

本事例は、設定例を示したものであり、動作を保証するものではありません。
ご利用いただく場合には、検証の上ご利用ください。