3.2. アダプタモードでISDN回線をモバイル回線に置き換える(連動認証、コマンド設定)

  • 概要

本社側(WA)の対応機種は、WA1510/WA1511/WA1512 です。
本社側(IX)はIX2106を使用します。
拠点側の対応機種は、WA1511/WA1512/ です。
販売終了機種はこちら→→→ 販売終了機種
本事例は、WAのアダプタモードを利用して、拠点-本社間をIPsecでセキュアな接続を行う構成です。
WAN回線にISDNやADSLをご利用時、回線マイグレーションを行う場合などにご利用いただけます。
設定の特徴としては、配下ルータ(IX2106)でモバイル回線のAPN/Username/Passwordを設定可能 です。
本社ネットワーク、拠点ネットワーク共にモバイル回線を利用します。
SIMのAPN、ユーザ名、パスワードは事前にご契約された通信事業者にご確認ください。
  • ネットワーク構成図

img100

  • IX2106とWA1512-1(アダプタモード)との接続方法

ヒント

アダプタモードのWA1512-1とIX2106との接続は、WA1512-1(GE1) --- (GE0)IX2106のように
接続を行います。アダプタモード利用時は、WA1512の有線ポートはGE1利用が必須です。
  • WA1512-1(アダプタモード) サンプルコンフィグ

設定項目

コンフィグ

ホスト名の設定

hostname WA1512-1
ログインユーザ名、
パスワードの設定

username (ログインユーザ名) password plain (ログインパスワード) administrator

Web-GUIログイン名、
パスワードの設定

http-username (Web-GUIログイン名) password plain (Web-GUIログインパスワード) administrator

アダプタモードの設定

wireless-adapter enable MobileEthernet0.0

DHCPサーバの設定

ip dhcp-server enable
ip dhcp-server profile default
default-gateway auto
dns-server auto
subnet-mask auto

LANインターフェースの設定

interface GigaEthernet1.0
ip address 192.168.100.1/24
no shutdown

WANインターフェースの設定

interface MobileEthernet0.0
ip address dhcp
auto-connect
no shutdown

ループバックアドレスの設定

interface Loopback0.0
ip address 127.0.0.1/8
no shutdown

ルーティングの設定

ip route default GigaEthernet1.0

Webサーバの設定

https-server ip enable
https-server ip permit 192.168.1.0/24
https-server ip redirect enable
  • WA1512-2 サンプルコンフィグ

設定項目

コンフィグ

ホスト名の設定

hostname WA1512-2

ログインユーザ名、
ログインパスワードの設定

username (ログインユーザ名) password plain (ログインパスワード) administrator

Web-GUIログイン名、
パスワードの設定

http-username (Web-GUIログイン名) password plain (Web-GUIログインパスワード) administrator

DHCPサーバの設定

ip dhcp-server enable
ip dhcp-server profile default
default-gateway auto
dns-server auto
subnet-mask auto

LANインターフェースの設定

interface GigaEthernet1.0
ip address 192.168.2.200/24
ip dhcp-server binding default
no shutdown

WANインターフェースの設定

interface MobileEthernet0.0
ip address dhcp
ip tcp adjust-mss auto
ip napt enable
ip napt reserve icmp ※pingによる疎通確認ができたら削除推奨
ip napt reserve esp
ip napt reserve udp 500
ip napt reserve udp 4500
mobile id IP (APN)
mobile username (ユーザ名)
mobile password plain (パスワード)
auto-connect
no shutdown

ループバックアドレスの設定

interface Loopback0.0
ip address 127.0.0.1/8
no shutdown

IPsecインターフェースの設定

interface IPsec0
ip address unnumbered
ipsec map ipsecprof1
ip tcp adjust-mss auto
no shutdown

ルーティングの設定

ip route default MobileEthernet0.0
ip route 192.168.1.0/24 IPsec0

DNSプロキシの設定

proxy-dns ip enable
proxy-dns server default MobileEthernet0.0 dhcp

IKEプロポーザルの設定

ike proposal ikeprop1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256
lifetime 28800

IKEポリシーの設定

ike policy ikepol1
mode aggressive
local-id key-id (key-id)
proposal ikeprop1
pre-shared-key plain (事前共有鍵)
nat-traversal enable keepalive 20

IPsecプロポーザルの設定

ipsec proposal ipsecprop1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256
lifetime 28800

IPsecポリシーの設定

ipsec policy ipsecpol1
local-id 192.168.2.0/24
remote-id 192.168.1.0/24
rekey enable always
proposal ipsecprop1

IPsecプロファイルの設定

ipsec profile ipsecprof1
mode tunnel
ipsec policy ipsecpol1
ike policy ikepol1
source MobileEthernet0.0
peer ix2106.example.nmddns.jp ※対向ルータのFQDNを指定

Webサーバの設定

https-server ip enable
https-server ip permit 192.168.2.0/24
https-server ip redirect enable

VPN LEDの設定

led vpn ipsec

  • IX2106 サンプルコンフィグ

設定項目

コンフィグ

ホスト名の設定

hostname IX2106

UFSキャッシュの設定

ip ufs-cache enable

ルーティングの設定

ip route default GigaEthernet0.1
ip route 192.168.2.0/24 Tunnel0.0

DHCPサーバの有効化

ip dhcp enable

アクセスリストの設定

ip access-list sec-list permit ip src any dest any
ip access-list web-http-acl permit ip src 192.168.1.0/24 dest any

NAT Traversalの設定

ike nat-traversal policy ike-policy

IKEプロポーザルの設定

ike proposal ike-prop encryption aes-256 hash sha2-256

IPsecポリシーの設定

ike policy ike-policy peer any key (事前共有鍵) mode aggressive ike-prop

IKEの設定

ike remote-id ike-policy keyid (key-id)

IPsecポリシーの設定

ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha2-256
ipsec dynamic-map ipsecpol sec-list ipsec-prop ike ike-policy

IKEフェーズ2の設定

ipsec local-id ipsecpol 192.168.1.0/24
ipsec remote-id ipsecpol 192.168.2.0/24

DNSプロキシの設定

proxy-dns ip enable
proxy-dns interface GigaEthernet0.1 priority 254

Webサーバの設定

http-server username (Web-GUIログイン名) password plain (Web-GUIログインパスワード)
http-server ip access-list web-http-acl
http-server ip enable

PPPoEプロファイルの設定

ppp profile sample
authentication myname (SIMのユーザ名)
authentication password (SIMのユーザ名) (SIMのパスワード)

DHCPプロファイルの設定

ip dhcp profile lan1
assignable-range 192.168.1.10 192.168.1.99
default-gateway 192.168.1.254
dns-server 192.168.1.254

WANインターフェースの設定

interface GigaEthernet0.0
ip address 192.168.100.254/24
no shutdown

LANインターフェースの設定

interface GigaEthernet1.0
ip address 192.168.1.254/24
ip dhcp binding lan1
no shutdown

PPPoEインターフェースの設定

interface GigaEthernet0.1
encapsulation pppoe
auto-connect
pppoe service-name IP,1, (SIMのAPN)
ppp binding sample
ip address ipcp
ip tcp adjust-mss auto
ip napt enable
ip napt static GigaEthernet0.1 50
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 udp 4500
ip napt static GigaEthernet0.1 1 ※pingによる疎通確認ができたら削除推奨
no shutdown

IPsecインターフェースの設定

interface Tunnel0.0
tunnel mode ipsec
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ipsec policy tunnel ipsecpol
no shutdown

NetMeisterの設定

nm ip enable
nm account (NetMeisterグループID) password plain (NetMeisterグループパスワード)
  • サンプルコンフィグのダウンロード

WA1512-1のサンプルコンフィグのダウンロードはこちら サンプルコンフィグ.
WA1512-2のサンプルコンフィグのダウンロードはこちら サンプルコンフィグ.
IX2106のサンプルコンフィグのダウンロードはこちら サンプルコンフィグ.
  • 動作確認済みSIM

動作確認済みのSIMはこちら

  • コンフィグの適用方法

コンフィグの適用方法はこちら→ CLIによるコンフィグの適用方法

注意

本事例は、設定例を示したものであり、動作を保証するものではありません。
ご利用いただく場合には、検証の上ご利用ください。