技術情報 : Si-R/Si-R brinシリーズ設定例

「Windows XP」とのVPN(IPsec)接続-IPv4

 設定内容 |  対象機種と版数、IPsec / IKE関連パラメーター |  設定例 |  解説 |  Windows XP設定例 

Windows XP とIPv4でVPN接続する場合の設定事例です。

設定内容

Windows XPパソコンとSi-RのLAN（192.168.1.0/24）間の通信をIPsecでカプセル化します。

• Si-R LAN0側をIPsecトンネル起点用のアドレスとし、10.1.1.1/24にします。
• Si-R LAN1側を192.168.1.1/24とします。
• PC側のIPsecトンネル起点用のアドレスを10.1.10.1/24とします。
• PC側の通信用のアドレスを10.1.10.1/24とします。

設定例

以下の設定例を、コピー&ペーストでご利用いただくことができます。

lan 0 mode auto
lan 0 ip address 10.1.1.1/24 3
lan 0 ip route 0 10.1.1.0/24 10.1.1.2 1 0
lan 1 mode auto
lan 1 ip address 192.168.1.1/24 3
remote 0 name ipsec
remote 0 ap 0 name ipsec
remote 0 ap 0 datalink type ipsec
remote 0 ap 0 ipsec type ike
remote 0 ap 0 ipsec ike protocol esp
remote 0 ap 0 ipsec ike range 192.168.1.0/24 10.1.10.1/32
remote 0 ap 0 ipsec ike encrypt 3des-cbc
remote 0 ap 0 ipsec ike auth hmac-md5
remote 0 ap 0 ike mode main
remote 0 ap 0 ike shared key text test
remote 0 ap 0 ike proposal 0 encrypt des-cbc
remote 0 ap 0 tunnel local 10.1.1.1
remote 0 ap 0 tunnel remote 10.1.10.1
remote 1 name olap
remote 1 ap 0 name olap
remote 1 ap 0 datalink type overlap
remote 1 ap 0 multiroute pattern 0 use any 500 any 500 17 any
remote 1 ap 0 multiroute pattern 1 use any any any any 50 any
remote 1 ap 0 overlap to lan 0
remote 1 ap 0 overlap nexthop 10.1.1.2
remote 1 ap 1 name olap1
remote 1 ap 1 datalink type overlap
remote 1 ap 1 multiroute pattern 0 use any any any any any any
remote 1 ap 1 overlap to remote 0
remote 1 ip route 0 10.1.10.1/32 1 0
syslog pri error,warn,info
syslog facility 23
time zone 0900
consoleinfo autologout 8h
telnetinfo autologout 5m
terminal charset SJIS

remote 1 ap 0 name olap 行から、remote 1 ap 1 overlap to remote 0 行までがポリシールーティングです。

解説

lan 0 mode auto

lan0インターフェースの通信速度/モードをオートセンス／オートネゴシエーションに設定します。

lan 0 ip address 10.1.1.1/24 3

LAN0側IPアドレスを設定します。

• 10.1.1.1/24 : IPアドレス/マスクです。
• 3 : ブロードキャストアドレスのタイプです。通常は3で構いません。

lan 0 ip route 0 10.1.1.0/24 10.1.1.2 1 0

スタティックルートを設定します。

• 10.1.1.0/24 : 宛先ネットワーク/マスクです。
• 10.1.1.2 : ネクストホップです。
• 1 : metric値です。通常はこのままで構いません。
• 0 : distance値です。通常はこのままで構いません。

lan 1 mode auto

lan1インターフェースの通信速度/モードをオートセンス／オートネゴシエーションに設定します。

lan 1 ip address 192.168.1.1/24 3

LAN1側IPアドレスを設定します。

• 192.168.1.1/24 : IPアドレス/マスクです。
• 3 : ブロードキャストアドレスのタイプです。通常は3で構いません。

remote 0 name ipsec

インターフェースの名前(任意)を設定します。

remote 0 ap 0 name ipsec

アクセスポイントの名前(任意)を設定します。

remote 0 ap 0 datalink type ipsec

パケット転送方法としてIPsecを設定します。

remote 0 ap 0 ipsec type ike

IPsec情報のタイプにIPsec自動鍵交換を設定します。

remote 0 ap 0 ipsec ike protocol esp

自動鍵交換用IPsec情報のセキュリティプロトコルにESP（暗号）を設定します。

remote 0 ap 0 ipsec ike range 192.168.1.0/24 10.1.10.1/32

自動鍵交換用IPsec 情報の対象範囲を設定します。

• 192.168.1.0/24 : IPsec 対象となる送信元IP アドレス/マスクです。
• 10.1.10.1/32 : IPsec 対象となる宛先IP アドレス/マスクです。

remote 0 ap 0 ipsec ike encrypt 3des-cbc

自動鍵交換用IPsec情報の暗号情報に3des-cbcを設定します。

remote 0 ap 0 ipsec ike auth hmac-md5

自動鍵交換用IPsec情報の認証情報にhmac-md5を設定します。

remote 0 ap 0 ike mode main

IKE情報の交換モードを設定します。

• main : IKE 情報の交換モードとしてMain Mode を使用します。

remote 0 ap 0 ike shared key text test

IKEセッション確立時の共有鍵（Pre-sd key）を設定します。

remote 0 ap 0 ike proposal 0 encrypt des-cbc

IKEセッション用暗号情報の暗号アルゴリズムにdes-cbcを設定します。

IPsecトンネルの送信元アドレスの設定をします。

remote 0 ap 0 tunnel remote 10.1.10.1

IPsecトンネルの送信先アドレスの設定をします。

remote 1 name olap

インターフェースの名前(任意)を設定します。

remote 1 ap 0 name olap

アクセスポイント0の名前(任意)を設定します。

remote 1 ap 0 datalink type overlap

パケット転送方法にoverlapを設定します。

remote 1 ap 0 multiroute pattern 0 use any 500 any 500 17 any
remote 1 ap 0 multiroute pattern 1 use any any any any 50 any
remote 1 ap 0 overlap to lan 0
remote 1 ap 0 overlap nexthop 10.1.1.2

IKE,ESPパケットをlan 0から10.1.1.2に転送します。

remote 1 ap 1 name olap1

アクセスポイント1の名前(任意)を設定します。

remote 1 ap 1 datalink type overlap

パケット転送方法にoverlapを設定します。

remote 1 ap 1 multiroute pattern 0 use any any any any any any
remote 1 ap 1 overlap to remote 0

IKE,ESP以外の全てのパケットをremote 0から送出します。

remote 1 ip route 0 10.1.10.1/32 1 0

スタティックルートを設定します。

• 10.1.10.1/32 : 宛先ネットワーク/マスクです。
• 1 : metric値です。通常は1で構いません。
• 0 : distance値です。通常は0で構いません。

syslog pri error,warn,info
syslog facility 23

システムログ情報の出力情報／出力対象ファシリティの設定をします。通常はこのままで構いません。

time zone 0900

タイムゾーンを設定します。通常はこのままで構いません。

consoleinfo autologout 8h
telnetinfo autologout 5m

シリアルコンソール、TELNETコネクションの入出力がない場合のコネクション切断時間を設定します。

通常はこのままで構いません。

terminal charset SJIS

ターミナルで使用する漢字コードをShift JISコードに設定します。

Windows XP設定例

「コントロールパネル」→「管理ツール」→「ローカルセキュリティポリシ」の順にクリックします。

画像を拡大する (35KB / JPEG)

上記画面で右クリックし「IPセキュリティポリシーの作成」を選択します。

「次へ」をクリックします。

名前を設定し「次へ」をクリックします。

「次へ」をクリックします。

「次の文字列をキー交換（仮共有キー）の保護に使う（S）」をチェックし、共有鍵を設定します。

今回の事例では「test」を設定します。

「完了」をクリックします。

画像を拡大する (29KB / JPEG)

「IPsec」フォルダが増えていることを確認しダブルクリックします。

「追加」を選択します。

「次へ」をクリックします。

「次のIPアドレスでトンネルポイントを指定する」をチェックし、Si-Rのアドレスを設定します。

「次へ」をクリックします。

「次の文字列をキー交換（仮共有キー）の保護に使う（S）」を選択し、共有鍵を設定します。

今回の事例では「test」を設定します。

画像を拡大する (42KB / JPEG)

「追加」をクリックします。

画像を拡大する (34KB / JPEG)

名前を設定し「追加」をクリックします。

画像を拡大する (48KB / JPEG)

「次へ」をクリックします。

画像を拡大する (27KB / JPEG)

「送信元アドレス」から「このコンピュータのIPアドレス」を選択します。

「次へ」をクリックします。

画像を拡大する (31KB / JPEG)

「宛先アドレス」から「特定のIPサブネット」を選択し、192.168.1.0/24を設定します。

「次へ」をクリックします。

画像を拡大する (28KB / JPEG)

「プロトコルの種類の選択」から「任意」を選択します。

「次へ」をクリックします。

画像を拡大する (38KB / JPEG)

「完了」をクリックします。

画像を拡大する (35KB / JPEG)

「OK」をクリックします。

受信フィルタを設定します。

手順は送信フィルタと同様です。

送信元IPアドレスと宛先アドレスが逆になります。

画像を拡大する (35KB / JPEG)

「次へ」をクリックします。

「セキュリティが必要」を選択します。

「次へ」をクリックします。

「適用」→「OK」の順でクリックします。

画像を拡大する (26KB / JPEG)

「IPsec」で右クリックし「割当て」を選択します。