2.1.10. VPNクライアントソフト NET-GとWAをIPsecで接続する(コマンド設定)

  • 概要

本事例は、WAシリーズとVPNクライアントソフトウェアNET-G間をIPsecでセキュアに接続する事例です。

  • ネットワーク構成図

img0

  • IKEパラメータ

パラメータ名

設定値

鍵交換モード

アグレッシブモード

暗号アルゴリズム

AES-256

認証アルゴリズム

SHA-1

DHグループ

1024bit

事前共有鍵

secret

ライフタイム

43200秒(12時間)

ID(NET-G Secure VPN Client)

FQDN "NEC”

  • IPsecパラメータ

パラメータ名

設定値

カプセル化方式

ESP

暗号アルゴリズム

AES-256

認証アルゴリズム

SHA-1

PFS

あり(1024bit)

ライフタイム

43200秒

  • NET-G Secure VPN Clientのパラメータ

パラメータ名

設定値

IKE認証ID

NEC

仮想IPアドレス

10.1.1.1/24

  • NET-G設定

  1. 「鍵管理」タブをクリックし、ホストキーの「追加」をダブルクリックします。

img1

  1. 「既知共有鍵を作成する」にチェックし、「次へ」をクリックします。

img2

  1. 「名前」、「共有シークレット」、「共有シークレットの確認」を入力し、「次へ」をクリックします。 本事例では、共有シークレットは「secret」としています。

img3

  1. プライマリIDは「ホストドメイン名」を選択、ホストドメイン名にドメイン名を入力し、「完了」をクリックします。 本事例では、ドメイン名は「NEC」としています。

img4

  1. 「セキュリティポリシー」タブをクリックします。

img5

  1. 「VPN接続」の追加をダブルクリックします。

img6

  1. IPボタンをクリック後、「ゲートウェイ名」にWAルータのWAN側IPアドレスを入力、「リモートネットワーク」は「any」を選択し、「OK」をクリックします。

img7

  1. 「はい」をクリックします。

img8

  1. 追加した接続先をクリックします。

img9

  1. リモートネットワークの「...」ボタンをクリックします。

img10

  1. 「新規」をクリックします。

img11

  1. 「ネットワーク名」、「IPアドレス」、「サブネットマスク」に入力し、「OK」を押します。 「ネットワーク名」は任意の名前、「IPアドレス」、「サブネットマスク」は、 WAのLAN側IPアドレスを入力します。

img12

  1. IPsec/IKE候補の「設定」をクリックします。

img13

  1. IKE、IPsecの各パラメータを入力、「選択した値のみを候補に加える」にチェックし、「OK」をクリックします。

img14

  1. 「仮想IPアドレスを取得する」にチェックし、「設定」をクリックします。

img15

  1. 「手動で指定」にチェック、IPアドレスとサブネットマスクを入力し、「OK」をクリックします。

img16

  1. 「詳細」タブをクリックし、「設定」をクリックします。

img17

  1. 各有効期間を入力し、「OK」をクリックします。

img18

  1. 「NAT装置を経由する」にチェック、「NAT Traversal」にチェック、「DPD(Dead Peer Detection)を使用する」にチェックし、 「間隔」、再試行(回)に値を入力後、「OK」をクリックします。

img19

  1. 「適用」をクリックします。

img20

  1. タスクトレイのNET-Gアイコンを右クリック、「VPNを選択」をクリックし、IPsecネットワークをクリックします。

img21

  1. VPN接続を開始します。

img22

  1. 「VPN接続は正常に確立されました」と表示されたことを確認します。

img23

  • WA1512 サンプルコンフィグ

設定項目

コンフィグ

ホスト名の設定

hostname WA1512

ログインユーザ名、
パスワードの設定

username (ログインユーザ名) password plain (ログインパスワード) administrator

Web-GUIログインユーザ名、
パスワードの設定
http-username (Web-GUIログインユーザ名) password plain (Web-GUIログインパスワード) administrator
DHCPサーバの設定
ip dhcp-server enable
ip dhcp-server profile default
default-gateway auto
dns-server auto
subnet-mask auto

LANインタフェースの設定

interface GigaEthernet1.0
ip address 192.168.1.200/24
ip dhcp-server binding default
no shutdown

WANインタフェースの設定

interface MobileEthernet0.0
ip address dhcp
ip tcp adjust-mss auto
ip napt enable
ip napt reserve icmp ※pingによる疎通確認後に削除推奨
ip napt reserve udp 500
ip napt reserve esp
ip napt reserve udp 4500
mobile id IP (APN)
mobile username (ユーザ名)
mobile password plain (パスワード)
auto-connect
no shutdown

ループバックインターフェースの設定

interface Loopback0.0
ip address 127.0.0.1/8
no shutdown

IPsecインターフェースの設定

interface IPsec0
ip address unnumbered
ip tcp adjust-mss auto
ipsec map ipsecprof1
no shutdown

ルーティングの設定

ip route 10.1.1.0/24 IPsec0
ip route default MobileEthernet0.0

DNSプロキシの設定

proxy-dns ip enable
proxy-dns server default MobileEthernet0.0 dhcp

IKEプロポーザルの設定

ike proposal ikeprop1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha1
lifetime 28800
dh-group 1024-bit

IKEポリシーの設定

ike policy ikepol1
mode aggressive
remote-id fqdn (key-id)
dpd-keepalive enable ph1 20 3
proposal ikeprop1
pre-shared-key plain (事前共有鍵)
nat-traversal enable keepalive 20

IPsecプロポーザルの設定

ipsec proposal ipsecprop1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha1-96
lifetime 28800

IPsecポリシーの設定

ipsec policy ipsecpol1
local-id 192.168.1.0/24
remote-id 10.1.1.1/32
proposal ipsecprop1

IPsecプロファイルの設定

ipsec profile ipsecprof1
mode tunnel
ipsec policy ipsecpol1
ike policy ikepol1
source MobileEthernet0.0
peer any

Webサーバの設定

https-server ip enable
https-server ip permit 192.168.1.0/24
https-server ip redirect enable

VPN LEDの設定

led vpn ipsec

  • サンプルコンフィグのダウンロード

WA1512のサンプルコンフィグのダウンロードはこちら サンプルコンフィグ.

  • コンフィグの適用方法

コンフィグの適用方法はこちら→ CLIによるコンフィグの適用方法

  • 動作確認済みSIM

動作確認済みのSIMはこちら

注意

本事例は、設定例を示したものであり、動作を保証するものではありません。
ご利用いただく場合には、検証の上ご利用ください。