PCリンクスでは、パソコンの設定・修理から組込み機器の受託開発まで承ります。

 

VPNルーターのログをLinuxサーバで記録

前回の記事で、”Web Assistance”機能を使用しました。

6回目の今回は、VPNルーターのログをLinuxサーバで記録して、リアルタイムに表示します。
※ちなみに当方の環境では、サーバ上に約1ヶ月分のログが保管されます。

RTX1100のログは、最大 500 件(行)保持することができます。最大数を越えた場合は、発生時刻の古いものから消去されていきます。トラブルが発生した時などは、通信ログ情報を頼りに、解析を進めることになるのですが、如何せん、500件では記録容量が少なすぎ、思うように解析を進めることができません。

そこで、すでに設置済みのLinuxサーバにVPNルーターのログをsyslogで送り、サーバ側で記録するようにします。“tail-f”コマンドを使用すると、ログ情報をリアルタイムに表示できますので、効率的に解析を進めることができるようになります。

 

Linuxサーバの設定

Linuxサーバは、ローカル環境に設置済みの”CentOS“(Ver5.8)を使用します。

RTX1100のログは、単独のログファイル(rtx1100.log)に記録させるようにします。
ルーター側でファシリティ(ログの分類を示す名前)を指定して、ログをサーバへ受け渡しすることで、サーバ側で単独のログファイルに分類して出力させることが可能となります。今回は、ファシリティ = local3 を使用することとします。
※local0 – local7のファシリティは、任意の用途に自由に使用できますので、空いている値を使用します。
※ルーター側でファシリティを指定しないと、サーバのデフォルト値である ’user’ が適用され、他のアプリケーションのログと混じってしまいますので、RTX1100単独のログファイルとはなりません。必ずlocal0 – local7を指定するようにします。

サーバ側は、syslog.confファイルの設定を変更することで、ルーター専用のログファイルとしてに出力させることが可能となります。この時、2重記録を避けるためにmessagesファイルへはログを記録させないようにします。

[root@ms01 ~]# pico /etc/syslog.conf
# RTX1100のログをmessagesへ出力しないようにする
*.info;mail.none;authpriv.none;cron.none;kern.none;local3.none  	/var/log/messages

(中略)

# VPNルーター( RTX1100)のログを記録する
Local3.*                                                /var/log/rtx1100.log

次に、/var/log/rtx1100.log の空ファイルを用意しておきます。

[root@ms01 ~]# touch /var/log/rtx1100.log

次に、syslogの起動オプションを変更し、外部からログを受け付けるようにします。(初期値はログを受け付けません)

[root@ms01 ~]# pico /etc/sysconfig/syslog
# Options to syslogd
# -m 0 disables 'MARK' messages.
# -r enables logging from remote machines
# -x disables DNS lookups on messages recieved with -r
# See syslogd(8) for more details
SYSLOGD_OPTIONS="-r -m 0"

(以下は省略)

次に、/etc/logrotate.d/syslogを修正して、追加したrtx1100.logログのローテーションを行うようにします。

/var/log/messages /var/log/secure /var/log/spooler /var/log/boot.log /var/log/cron /var/log/rtx1100.log {
    sharedscripts
    postrotate
        /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
    endscript
}

(以下は省略)

最後に、syslogを再起動させる。

[root@ms01 ~]# /etc/rc.d/init.d/syslog restart
カーネルロガーを停止中:                                    [  OK  ]
システムロガーを停止中:                                    [  OK  ]
システムロガーを起動中:                                    [  OK  ]
カーネルロガーを起動中:                                    [  OK  ]

現在のsyslogd が、どのようなオプションで起動しているかを確認しておきます。“-r”で起動していればOKです。

[root@ms01 ~]# ps -ef | grep syslog
root     11564     1  0 13:20 ?        00:00:00 syslogd -r -m 0

 

VPNルーターの設定

Linuxサーバ側の対応が完了しましたので、VPNルーター側の設定を変更します。

syslogを受け取るLinuxサーバのIPアドレスを指定します。

[RTX]# syslog host 192.168.0.xxx

syslogファシリティ(ログの種別)を”local3″に設定します。

[RTX]# syslog facility local3

IPアドレスを記録時、 DNSサーバに問い合せ(resolv)て、 ホスト名に変換する機能をonします。

[RTX]# dns syslog resolv on

最後に設定を保存します。

[RTX]# save
セーブ中... CONFIG0 終了

 

LinuxサーバでVPNルーターのログを表示

サーバ上に記録したログを表示させます。VPNルーターのログ情報は、リアルタイム表示されます。

[root@ms01 ~]# tail -f /var/log/rtx1100.log
May  1 15:46:20 192.168.0.1 LAN1 Passed at IN(99) filter: UDP 192.168.0.xxx:33993 > 192.168.0.255:4114
May  1 15:46:28 192.168.0.1 [INSPECT] PP[01][out][107] UDP 192.168.0.xxx:123 > 219.117.196.238:123 (2012/05/01 15:45:58)
May  1 15:46:35 192.168.0.1 LAN1 Passed at IN(99) filter: UDP 192.168.0.xxx:25507 > 111.221.77.165:40013
May  1 15:46:36 192.168.0.1 LAN1 Passed at IN(99) filter: UDP 192.168.0.xxx:32872 > 192.168.0.255:4117
May  1 15:46:36 192.168.0.1 LAN1 Passed at IN(99) filter: UDP 192.168.0.xxx:49557 > 192.168.0.255:4114
May  1 15:46:36 192.168.0.1 LAN1 Passed at IN(99) filter: UDP 192.168.0.xxx:48438 > 192.168.0.255:4117
May  1 15:46:36 192.168.0.1 LAN1 Passed at IN(99) filter: UDP 192.168.0.xxx:53046 > 192.168.0.255:4114
May  1 15:46:43 192.168.0.1 LAN1 Passed at IN(99) filter: UDP 192.168.0.xxx:ntp > ntp-b3.nict.go.jp:ntp

 

以上で、「VPNルーターのログをLinuxサーバで記録」を終了します。

 

VPNルーターのWeb Assistance機能を使う

前回の記事で、VPNルーター”RTX1100″のVPN設定がひと通り終了しました。

5回目の今回は、VPNルーターのWeb Assistance機能を使用してみます。

この機能は、パソコンのブラウザからGUI(Graphical User Interface)で、VPNルーターの動作確認と設定が行えるというものです。ただし設定は、補助的な機能(DHCPサーバやDNSサーバなどの設定は行えない)なので、設定の確認用と割り切って使用するのが良いようです。

Web Assistanceの詳細は、 WWWブラウザ設定支援機能 機能説明書 を参照ください。

細かな設定は、CLI(Command Line Interface)で行ったほうが、わかり易いと思います。
不思議なもので、コマンド操作で設定をしていくと、CLIで設定を行うほうが、判りやすくなります。

 

トップページ

Webブラウザから、VPNルーターのIPアドレスを直接入力し、Web Assistanceにアクセスします。

Web Assistance 01 264x300 RTX1100のWeb Assistance機能

 

トップページでは、VPNルーターの状態を確認することができます。このページは、緑を基調としたデザインとなっています。

また、左上に[レポートの作成]という項目があり、作成するをクリックすることで、設定情報を簡単に入手することが出来ます。

 

管理者向けトップページ

ここでは、コマンドで設定した設定内容をパソコンのブラウザ上で確認して行きます。

最初は、Web Assistanceのトップページから[管理者向けトップページへ]をクリックします。「ユーザ名とパスワードを入力してください」と表示しますので、Administratorのパスワードを入力します。ユーザ名は空欄でOKです。管理者向けページは、オレンジを基調にしたデザインとなっています。

Web Assistance 02 300x136 RTX1100のWeb Assistance機能

このページは、現在のVPNルーターの情報を確認することができます。

ルーターの起動時間、CPUやメモリの使用率を確認することが出来ます。

次に、ハードウェアの設定・状態表示を確認します。

Web Assistance 03 300x189 RTX1100のWeb Assistance機能

このページは、LANポートの現在の状態を確認することができます。

LAN1,LAN2のリンク状態を確認します。

次に、インターフェースの設定・状態表示を確認します。

Web Assistance 04 300x155 RTX1100のWeb Assistance機能

このページは、インターフェースの現在の状態を確認することができます。

PPPoEの接続状態などを確認します。

LAN1の詳細をクリックすると、LAN1の詳細情報を確認することができます。

Web Assistance 05 300x290 RTX1100のWeb Assistance機能

 

LAN1のIPアドレスを確認します。

 

また、LAN1のファイアウォールも確認することができます。

必要であれば、フィルタ設定の変更や追加も行えます。

PPPoEの詳細をクリックすると、WAN側のグローバルアドレス情報を確認することができます。

Web Assistance 06 300x290 RTX1100のWeb Assistance機能

 

PPPoE接続時のISP情報を確認することができます。

必要であれば、PPPoE接続設定の変更や追加も行えます。

また、ファイアウォールや静的IPマスカレード設定の変更や追加も行えます。

基本項目で[修正]ボタンをクリックすると、ISPへの接続情報を確認することができます。

Web Assistance 071 300x233 RTX1100のWeb Assistance機能

 

WAN側のグローバルアドレスを確認することができます。

ISPへの接続情報(ユーザIDとパスワード)を確認します。

次に、NATの設定・状態表示を確認します。

Web Assistance 08 300x178 RTX1100のWeb Assistance機能

PPPoEに変換ルールが1つ設定されています。

インターフェースのPPPoEの項目の[設定]ボタンをクリックします。

Web Assistance 09 300x96 RTX1100のWeb Assistance機能

NAT設定のIPマスカレードの[修正]ボタンをクリックします。

Web Assistance 10 300x297 RTX1100のWeb Assistance機能

 

静的IPマスカレード設定を確認することができます。

必要であれば、フ静的IPマスカレード設定の変更や追加も行えます。

次に、IPsecの設定・状態表示を確認します。

Web Assistance 11 300x198 RTX1100のWeb Assistance機能

 

L2TP/IPsecとPPTP設定の状態を確認することができます。

次に、ファイアウォールの設定・状態表示を確認します。

Web Assistance 12 300x204 RTX1100のWeb Assistance機能

 

LAN1の入方向にフィルタが設定されています。

PP1/LAN2の入/出方向にフィルタが設定されています。
また、不正アクセス検知が設定されています。

LAN1の[設定]ボタンをクリックします。

Web Assistance 131 300x292 RTX1100のWeb Assistance機能

 

LAN1の入方向にフィルタが設定されています。

必要であれば、フィルタ設定の変更や追加も行えます。

ファイアウォールの設定ページに戻り、PP1/LAN2の入方向の[設定]ボタンをクリックします。

Web Assistance 141 300x283 RTX1100のWeb Assistance機能

 

PP1/LAN2の入方向にフィルタが設定されています。

必要であれば、フィルタ設定の変更や追加も行えます。

ファイアウォールの設定ページに戻り、PP1/LAN2の出方向の[設定]ボタンをクリックします。

Web Assistance 151 300x296 RTX1100のWeb Assistance機能

 

PP1/LAN2の出方向にフィルタが設定されています。

必要であれば、フィルタ設定の変更や追加も行えます。

次に、状態メール通知の設定・状態表示を確認します。

Web Assistance 16 300x294 RTX1100のWeb Assistance機能

 

ルータの状態が、メールアドレス宛に届きます。

 

通知内容は、細かく指定することができます。

 

レポートを作成時のメールの宛先としても使用されます。

トップページ(緑色のページ)に戻り、レポートを作成します。

Web Assistance 17 300x92 RTX1100のWeb Assistance機能管理者にメールで送信するを選択して、[実行]ボタンをクリックします。

レポートがメールで届くことを確認します。

Web Assistance 18 300x300 RTX1100のWeb Assistance機能

 

VPNルーターの詳細な設定と状態がメールで届きます。

PPPoE接続の状態、VPN接続の状態、configの内容や
ログ情報などが届きます。

以上で、「VPNルーターのWeb Assistance機能を使う」を終了します。

 

VPNルーターのパケットフィルタ設定

前回の記事で、PPTPとL2TP/IPsecを使用した、VPN接続設定が完了しました。

4回目の今回は、VPNルーターへ基本的なフィルタを設定します。
※ファイアウォールに穴を開けて、PPTP,L2TP/IPsecのパケット(IN)を、通過させるようにします。

RTX1100のフィルタ設定の初期値は、インターネットへのパケット(OUT)はすべて許可し、インターネットからのパケット(IN)は、すべて拒否するという設定になっています。

VPNルーターにVPN設定を行った場合、必ず、フィルタ設定を行うことになります。
フィルタ設定は、1つでもフィルタを設定すると、フィルタ設定に当てはまらないパケットは、すべて破棄されてしまいますので、きっちりと、フィルタを設定しなければなりません。

設定は、”ip filter” コマンドを使用して、1つずつ設定していきます。

firewall 011 VPNルーターのフィルタ設定

通信方向 フィルタ
番号
タイプ 送信元
IPアドレス
宛先
IPアドレス
プロトコル 送信元
ポート番号
宛先
ポート番号
LAN -> WAN
(OUT)
100 許可
(pass)
すべて
(*)
すべて
(*)
すべて
(*)
すべて
(*)
すべて
(*)
WAN -> LAN
(IN)
200 拒絶
(reject)
すべて
(*)
すべて
(*)
すべて
(*)
すべて
(*)
すべて
(*)

 

LAN側のフィルタ設定

最初は、LAN側のパケットフィルタを設定します。
LAN側のnetbios関係のパケットは、すべて破棄するように設定します。ログを取ると膨大になるので-nologを指定します。

 

firewall 021 VPNルーターのフィルタ設定

LAN側から出て行くパケットのフィルタ(IN)一覧を下表に示します。
※IN/OUTは、LAN側のインタフェース部からみた入出力を示します。LAN側からのパケットは、INで指定したフィルタが適用されます。

通信方向 フィルタ
番号
タイプ 送信元
IPアドレス
宛先
IPアドレス
プロトコル 送信元
ポート番号
宛先
ポート番号
LAN -> WAN
(IN)
1 reject-nolog * * udp,tcp 135 *
IN 2 reject-nolog * * udp,tcp * 135
IN 3 reject-nolog * * udp,tcp netbios_ns
netbios_dgm
*
IN 4 reject-nolog * * udp,tcp * netbios_ns
netbios_dgm
IN 5 reject-nolog * * udp,tcp netbios_ssn *
IN 6 reject-nolog * * udp,tcp * netbios_ssn
IN 7 reject-nolog * * udp,tcp 445 *
IN 8 reject-nolog * * udp,tcp * 445
IN 99 pass * * * * *

 

LAN側のパケットフィルタを設定します。# で始まる行はコメント行です。

[RTX]# ip lan1 secure filter in 1 2 3 4 5 6 7 8 99

# DCE準拠のRPC(remote procedure call) の意図しない発呼を破棄するフィルタ
[RTX]# ip filter 1 reject-nolog * * udp,tcp 135 *
[RTX]# ip filter 2 reject-nolog * * udp,tcp * 135

# Windows のnetbiosパケットを破棄するフィルタ
[RTX]# ip filter 3 reject-nolog * * udp,tcp netbios_ns-netbios_dgm *
[RTX]# ip filter 4 reject-nolog * * udp,tcp * netbios_ns-netbios_dgm
[RTX]# ip filter 5 reject-nolog * * udp,tcp netbios_ssn *
[RTX]# ip filter 6 reject-nolog * * udp,tcp * netbios_ssn

# Microsoft DSパケットを破棄するフィルタ
[RTX]# ip filter 7 reject-nolog * * udp,tcp 445 *
[RTX]# ip filter 8 reject-nolog * * udp,tcp * 445

# 上記以外は、すべて許可するフィルタ
[RTX]# ip filter 99 pass * * * * *

 

WAN側のフィルタ設定

パケットのフィルタリング動作は、指定したフィルタ番号の順に適用され、合致しなかったパケットは次のフィルタで照合され、さらに、次にのフィルタで合致しなかったら、また次のフィルタへと進んでいきます。どれにも合致せずに最後まで到達したパケットは、破棄されます。その為、最後にパケットを通過させるフィルタを入れておく必要があります。

 

firewall 03 VPNルーターのフィルタ設定

WAN側から入ってくるパケットのフィルタ(IN)一覧を下表に示します。
※IN/OUTは、WANインタフェース部からみたパケットの入出力を示します。WAN側からのパケットは、INで指定したフィルタが適用されます。

通信方向 フィルタ
番号
タイプ 送信元
IPアドレス
宛先
IPアドレス
プロトコル 送信元
ポート番号
宛先
ポート番号
WAN -> LAN
(IN)
50 reject 10.0.0.0/8 * * * *
IN 51 reject 172.16.0.0/12 * * * *
IN 52 reject 192.168.0.0/16 * * * *
IN 53 reject 192.168.0.0/24 * * * *
IN 54 reject * 61.206.xxx.xxx tcp,udp * telnet
IN 60 pass * 192.168.0.0/24 icmp * *
IN 61 pass * 192.168.0.0/24 tablished * *
IN 62 pass * 192.168.0.0/24 tcp * ident
IN 63 pass * 192.168.0.0/24 tcp ftpdata *
IN 64 pass * 192.168.0.0/24 udp domain *
IN 68 pass * 192.168.0.1 gre * *
IN 69 pass * 192.168.0.1 tcp * 1723
IN 70 pass * 192.168.0.1 esp * *
IN 71 pass * 192.168.0.1 udp * 500
IN 72 pass * 192.168.0.1 udp * 1701
IN 73 pass * 192.168.0.1 udp * 4500

 

WAN側から入ってくるパケットのフィルタ(IN)を設定します。# で始まる行はコメント行です。

[RTX]# pp select 1
[RTX]pp1# ip pp secure filter in 50 51 52 53 54 60 61 62 63 64 68 69 70 71 72 73 98
[RTX]pp1# pp select none

# IN側パケットフィルタ設定
# プライベートアドレス (クラスA,B,Cとローカルネットワーク) からのパケットを拒絶するフィルタ
[RTX]# ip filter 50 reject 10.0.0.0/8 * * * *
[RTX]# ip filter 51 reject 172.16.0.0/12 * * * *
[RTX]# ip filter 52 reject 192.168.0.0/16 * * * *
[RTX]# ip filter 53 reject 192.168.0.0/24 * * * *

# pc-links.com宛のtelnetを拒絶するフィルタ
[RTX]# ip filter 54 reject * 61.206.xxx.xx tcp,udp * telnet

# ローカルネットワーク宛のICMPパケットを通す(許可)ようにするフィルタ (pingコマンドで使う)
[RTX]# ip filter 60 pass * 192.168.0.0/24 icmp * *

# establishedな通信を通すようにするフィルタ(内から外へはtelnet等を許可し、外から内へは拒否)
[RTX]# ip filter 61 pass * 192.168.0.0/24 established * *

# メールサーバやFTPサーバなどでidentによりユーザ情報確認が行うことを許可するフィルタ
[RTX]# ip filter 62 pass * 192.168.0.0/24 tcp * ident

# ローカルネットワーク(192.168.0.0/24)からFTPのPORT型(サーバからの接続)を許可するフィルタ
[RTX]# ip filter 63 pass * 192.168.0.0/24 tcp ftpdata *

# DNSに関する問い合せ(DNSサーバからの応答)を通過させるフィルタ
[RTX]# ip filter 64 pass * 192.168.0.0/24 udp domain *

#ルーター宛のGREプロトコルを許可するフィルタ
[RTX]# ip filter 68 pass * 192.168.0.1 gre * *

#ルーター宛のPPTPプロトコル (tcp,ポート1723番) を許可するフィルタ
[RTX]# ip filter 69 pass * 192.168.0.1 tcp * 1723

#ルーター宛のGESPプロトコルを許可するフィルタ
[RTX]# ip filter 70 pass * 192.168.0.1 esp * *

#ルーター宛のIKE (udp,500番と1701番) を許可するフィルタ
[RTX]# ip filter 71 pass * 192.168.0.1 udp * 500
[RTX]# ip filter 72 pass * 192.168.0.1 udp * 1701

#ルーター宛のNAT Traversal (udp,4600番) を許可するフィルタ
[RTX]# ip filter 73 pass * 192.168.0.1 udp * 4500

# すべてのパケットを拒絶するフィルタ
[RTX]# ip filter 98 reject-log * * * * *

 

WANへ出て行くパケットのフィルタ(OUT)一覧を下表に示します。

※IN/OUTは、WANインタフェース部からみたパケットの入出力を示します。WAN側へのパケットは、OUTで指定したフィルタが適用されます。

通信方向 フィルタ
番号
タイプ 送信元
IPアドレス
宛先
IPアドレス
プロトコル 送信元
ポート番号
宛先
ポート番号
LAN -> WAN
(OUT)
10 reject * * udp,tcp 135 *
OUT 11 reject * * udp,tcp * 135
OUT 12 reject * * udp,tcp netbios_ns
netbios_ssn
*
OUT 13 reject * * udp,tcp * netbios_ns
netbios_ssn
OUT 14 reject * * udp,tcp 445 *
OUT 15 reject * * udp,tcp * 445
OUT 30 reject * 10.0.0.0/8 * * *
OUT 31 reject * 172.16.0.0/12 * * *
OUT 32 reject * 192.168.0.0/16 * * *
OUT 33 reject * 192.168.0.0/24 * * *
OUT 88 pass * 203.141.128.35 udp 10000-19999 domain
OUT 99 pass * * * * *

 

WANへ出て行くパケットフィルタ(OUT)を設定します。

# OUT側パケットフィルタを適用
[RTX]# pp select 1
[RTX]pp1# ip pp secure filter out 1 2 3 4 5 6 7 8 30 31 32 33 88 89 99
[RTX]pp1# pp select none

# プライベートアドレス(クラスA,B,Cとローカルネットワーク) 宛てのパケットを拒絶するフィルタ
[RTX]# ip filter 30 reject * 10.0.0.0/8 * * *
[RTX]# ip filter 31 reject * 172.16.0.0/12 * * *
[RTX]# ip filter 32 reject * 192.168.0.0/16 * * *
[RTX]# ip filter 33 reject * 192.168.0.0/24 * * *

# DNS キャッシュ ポイズニング対策用のフィルタ(ISP宛のDNSパケットを許可)
[RTX]# ip filter 88 pass * 203.141.128.35 udp 10000-19999 domain

# ローカルネットワーク(192.168.0.0/24)からのすべてのtcp,updパケットを許可するフィルタ
[RTX]# ip filter 89 pass 192.168.0.0/24 * tcp,udp * *

# すべてのパケットを許可するフィルタ
[RTX]# ip filter 99 pass * * * * *

 

動的フィルタ設定

最後に、動的(ダイナミック)フィルタを設定します。
動的フィルタは、通信状態に合わせてパケットを通したり、遮断したりすることができるフィルタです。

動的フィルタを設置する場合、静的フィルタを併用する必要がありますので注意します。

WAN側のOUTに動的フィルタを設定した場合、逆方向(IN)のパケットに対する、通過フィルタが動的に生成されますので、それ以外のパケットを遮断するためには、98番の静的フィルタの設定が必要となります。

[RTX]# pp select 1
[RTX]pp1# ip pp secure filter in 50 51 52 53 54 60 61 62 63 64 65 66 67 68 69 70 71 72 73 98 dynamic 200 201 202
[RTX]pp1# ip pp secure filter out 1 2 3 4 5 6 7 8 30 31 32 33 88 89 99 dynamic 100 101 102 103 104 105 106 107
[RTX]pp1# pp select none

[RTX]# ip filter 98 reject * * * * *

[RTX]# ip filter dynamic 100 * * ftp
[RTX]# ip filter dynamic 101 * * www
[RTX]# ip filter dynamic 102 * * domain
[RTX]# ip filter dynamic 103 * * smtp
[RTX]# ip filter dynamic 104 * * pop3
[RTX]# ip filter dynamic 105 * * telnet
[RTX]# ip filter dynamic 106 * * tcp
[RTX]# ip filter dynamic 107 * * udp
[RTX]# ip filter dynamic 200 * 192.168.0.26 smtp
[RTX]# ip filter dynamic 201 * 192.168.0.26 www
[RTX]# ip filter dynamic 202 * 192.168.0.26 ftp

 

その他のフィルタ設定

VPNルーターが標準で装備している”不正アクセス検知フィルタ”と”Winny検知フィルタ”をONします。

# source-routeオプション付きIPパケットをルーティングしないようにするフィルタ
[RTX]# ip filter source-route on

# smurf attackから守るためのフィルタ
[RTX]# ip filter directed-broadcast on

# Winny フィルタと不正アクセス検知をONする。
[RTX]# pp select 1
[RTX]pp1# ip pp intrusion detection in on reject=off
[RTX]pp1# ip pp intrusion detection out on reject=off
[RTX]pp1# ip pp intrusion detection out winny on reject=on
[RTX]pp1# ip pp intrusion detection out default off
[RTX]pp1# pp select none

 

最後に、設定を保存して終了します。

[RTX]# save
セーブ中... CONFIG0 終了

 

以上で、「VPNルーターのパケットフィルタ設定」を終了します。

 

VPNルーターでL2TP/IPsecでVPN接続

前回の記事で、ルーターへのPPPoE接続設定が完了し、インターネットへの接続が可能となりました。

3回目の今回は、PPTP、または、L2TP/IPsecプロトコルを使用したVPN接続ができるように、ルーターへ設定を追加します。

外部のスマートフォン(iPphoneやAndroid端末)から、VPNルーターへ接続し、ローカルのネットワークに接続します。IPsecを使用することで、データは暗号化され、機密性や完全性が確保されますので、安心して接続することができます。

VPN 011 300x239 VPNルーターでL2TP/IPsec

<RTX1100によるVPN接続のメリット>

・設置が完了してしまえば、運用が楽

・データは、暗号化されているので安心・安全

・サーバと比較して電気代が安い

 

VPN接続端末の設定情報

VPN接続を許可する端末(クライアント)は、2ユーザとします。必要に応じて追加します。
iPhoneやAndroid端末は、NATトラバーサルを利用したL2TP/IPsecでVPN接続を行います。

詳細はこちらの YAMAHA L2TP/IPsecドキュメントページ  を参照ください。

1) L2TP/PPTPクライアント#1情報

  • IPアドレス                    : 不定
  • IPsec事前共有鍵         : ANK大文字・小文字と数字を組み合わせた判りにくい文字列
  • PPP認証のユーザー名 : ユーザ名1
  • PPP認証のパスワード  : パスワード1

2) L2TP/PPTPクライアント#2情報

  • IPアドレス                    : 不定
  • IPsec事前共有鍵         : ANK大文字・小文字と数字を組み合わせた判りにくい文字列
  • PPP認証のユーザー名 : ユーザ名2
  • PPP認証のパスワード  : パスワード2

3) VPNルーターの設定

  • VPNルータのグローバルアドレス                : 61.206.118.xxx
  • VPNルータのプライベートアドレス                : 192.168.0.1
  • L2TPクライアントへ配布するIPアドレス範囲  : 192.168.0.220 -192.168.0.229/24

4) L2TPに関連した設定

  • L2TPトンネル認証                        : 無し
  • L2TPキープアライブ                      : 使用する インターバル10秒 ダウン検出までのカウント3回
  • L2TPキープアライブのログ出力    : 有り
  • L2TPトンネルの切断タイマ             : 切断タイマを設定しない
  • L2TPのコネクション制御に関するログ出力 : 有り

 

VPNルーター(RTX1100)のL2TP/IPsec設定

RTX1100に、PPTPとL2TP/IPsecの設定を行うと、リモートアクセスVPNのサーバとして動作するようになります。iPhoneやAndroid端末(EVO3D)では、NATトラバーサルを利用したVPN接続を行うことができます。
※NATトラバーサルは、互換性の問題があり、端末によっては接続できない場合もある模様です。

RTX1100では、WindowsパソコンからVPN接続(L2TP/IPsec)する場合は、専用のVPNクライアントソフトウェアをWindowsパソコンへインストールする必要があります。(有償で、1ライセンス10,290円)
詳細はこちらの ヤマハのWebサイト -VPNクライアントソフトウェア(YMS-VPN7) を参照ください。

RTX1100へ経路設定を行います。

[RTX]# ip lan1 proxyarp on

 

L2TPとPPTP接続を受け入れるための設定(同時接続は2人)を行います。

[RTX]# pp select anonymous
[RTX]anonymous# pp bind tunnel1-tunnel4
[RTX]anonymous# pp auth request mschap-v2
[RTX]anonymous# pp auth username ユーザ名1 パスワード1
[RTX]anonymous# pp auth username ユーザ名2 パスワード2
[RTX]anonymous# ppp ipcp ipaddress on
[RTX]anonymous# ppp ipcp msext on
[RTX]anonymous# ip pp remote address pool 192.168.0.220-192.168.0.229
[RTX]anonymous# ip pp mtu 1258
[RTX]anonymous# pp enable anonymous

 

L2TP接続で使用するトンネル1を設定する。

[RTX]# tunnel select 1
[RTX]tunnel1# tunnel encapsulation l2tp
[RTX]tunnel1# ipsec tunnel 101
[RTX]tunnel1# ipsec sa policy 101 1 esp aes-cbc sha-hmac
[RTX]tunnel1# ipsec ike keepalive use 1 off
[RTX]tunnel1# ipsec ike local address 1 192.168.0.1
[RTX]tunnel1# ipsec ike nat-traversal 1 on
[RTX]tunnel1# ipsec ike pre-shared-key 1 text [IPsec事前共有鍵]
[RTX]tunnel1# ipsec ike remote address 1 any
[RTX]tunnel1# l2tp tunnel disconnect time off
[RTX]tunnel1# l2tp keepalive use on 10 3
[RTX]tunnel1# l2tp keepalive log on
[RTX]tunnel1# l2tp syslog on
[RTX]tunnel1# ip tunnel tcp mss limit auto
[RTX]tunnel1# tunnel enable 1

 

L2TP接続で使用するトンネル2を設定する。

[RTX]# tunnel select 2
[RTX]tunnel2# tunnel encapsulation l2tp
[RTX]tunnel2# ipsec tunnel 102
[RTX]tunnel2# ipsec sa policy 102 2 esp aes-cbc sha-hmac
[RTX]tunnel2# ipsec ike keepalive use 2 off
[RTX]tunnel2# ipsec ike local address 2 192.168.0.1
[RTX]tunnel2# ipsec ike nat-traversal 2 on
[RTX]tunnel2# ipsec ike pre-shared-key 2 text [IPsec事前共有鍵]
[RTX]tunnel2# ipsec ike remote address 2 any
[RTX]tunnel2# l2tp tunnel disconnect time off
[RTX]tunnel2# l2tp keepalive use on 10 3
[RTX]tunnel2# l2tp keepalive log on
[RTX]tunnel2# l2tp syslog on
[RTX]tunnel2# ip tunnel tcp mss limit auto
[RTX]tunnel2# tunnel enable 2

 

PPTP接続で使用するトンネル3を設定します。

[RTX]# tunnel select 3
[RTX]tunnel3# tunnel encapsulation pptp
[RTX]tunnel3# pptp tunnel disconnect time off
[RTX]tunnel3# tunnel enable 3
[RTX]tunnel3# tunnel select none

 

PPTP接続で使用するトンネル4を設定します。

[RTX]# tunnel select 4
[RTX]tunnel4# tunnel encapsulation pptp
[RTX]tunnel4# pptp tunnel disconnect time off
[RTX]tunnel4# tunnel enable 4
[RTX]tunnel4# tunnel select none

 

NATを設定します。

[RTX]# nat descriptor masquerade static 1 3 192.168.0.1 esp
[RTX]# nat descriptor masquerade static 1 4 192.168.0.1 udp 500
[RTX]# nat descriptor masquerade static 1 5 192.168.0.1 udp 4500
[RTX]# nat descriptor masquerade static 1 6 192.168.0.1 gre
[RTX]# nat descriptor masquerade static 1 7 192.168.0.1 tcp 1723

 

IPsecのトランスポートモードを設定します。

[RTX]# ipsec transport 1 101 udp 1701
[RTX]# ipsec transport 2 102 udp 1701
[RTX]# ipsec auto refresh on

 

L2TPとPPTPサービスをONします。

[RTX]# l2tp service on
[RTX]# pptp service on

 

動作確認のために、syslogにnoticeとDebug情報の出力を行うようにします。

[RTX]# syslog notice on
[RTX]# syslog debug on

 

ファイアウォール(フィルタ)設定を変更し、VPN接続時のパケットを許可するようにします。

[RTX]# ip filter xx pass * 192.168.0.1 gre * *
[RTX]# ip filter xx pass * 192.168.0.1 tcp * 1723
[RTX]# ip filter xx pass * 192.168.0.1 esp * *
[RTX]# ip filter xx pass * 192.168.0.1 udp * 500
[RTX]# ip filter xx pass * 192.168.0.1 udp * 1701
[RTX]# ip filter xx pass * 192.168.0.1 udp * 4500

 

最後に、設定情報を保存して終了します。

[RTX]# save
セーブ中... CONFIG0 終了

 

PPTPによるVPN接続時の動作確認

VPN接続時の簡単な動作確認手順を示します。
接続試験は、SoftBankのスマートフォン(iPhone4)を使用して、3G携帯網から接続します。

1) 最初に、経路情報を確認します。

[RTX]# show ip route
宛先ネットワーク    ゲートウェイ     インタフェース  種別  付加情報
default             -                    PP[01]    static
61.206.118.0/24     192.168.1.1            LAN2    static
192.168.0.0/24      192.168.0.1            LAN1  implicit
192.168.0.220/32    -                PP[ANONYMOUS01] temporary
192.168.1.0/24      192.168.1.254          LAN2  implicit
(以降は省略)

 

2) 次に、PPTP情報を確認します。

[RTX]# show status pp anonymous
ANONYMOUS[01]:
PPTPセッションは接続されています
接続相手:
通信時間: 2分26秒
受信: 69 パケット [15438 オクテット]
送信: 57 パケット [13950 オクテット]
PPPオプション
    LCP Local: CHAP Magic-Number MRU, Remote: Magic-Number ACCM
    IPCP Local: IP-Address, Remote: IP-Address Primary-DNS(192.168.0.1) Secondary-DNS(203.141.128.35)
    PP IP Address Local: 192.168.0.1, Remote: 192.168.0.220
    IPV6CP Local: Interface-ID, Remote: Interface-ID
    PP Interface-ID Local:02a0defffe30e2e6, Remote:18f0db64e9f4e667
    CCP: None
受けとったUserId: ユーザ名1

 

3) 次に、PPTPの詳細情報を確認します。

[RTX]# show status pptp
------------------- PPTP INFORMATION -------------------
Number of control table using
  Tunnel Control: 1, Call Control: 1, GRE Control: 1
TUNNEL[03] Information
  TCP status: established
  PPTP Call status: established
  PPTP Service type: server
  PAC status: established
  Remote IP Address: 126.214.68.57
  Local  IP Address: 192.168.0.1
  GRE status: open
    Transmitted: 66 packets [14908 octets]
    Received: 83 packets [17291 octets]
    Transmit left: 0 packet
    Transmitted ack number: 83 times
    Transmit ready timeout: 149 times
    Received ack number: 20 times
    Received invalid sequence: 0 packet
    Received delayed sequence: 0 packet
    Received invalid ack: 0 packet
    Received delayed ack: 0 packet
    Received out of sequence: 2 packets
    Received no data packet: 0 packet

 

4) 最後に、show logコマンドで、VPN接続時のDebugログを確認します。

2012/04/20 15:10:34 192.168.0.1 TUNNEL[03] PPTP connection is established: 126.214.68.57
2012/04/20 15:10:35 192.168.0.1 PP[ANONYMOUS01] PPTP Connect
2012/04/20 15:10:35 192.168.0.1 PP[ANONYMOUS01] SEND LCP ConfReq in STARTING
2012/04/20 15:10:35 192.168.0.1   ff 03 c0 21 01 01 00 13  01 04 07 00 03 05 c2 23
2012/04/20 15:10:35 192.168.0.1   81 05 06 21 7a 26 2a
 (略)
2012/04/20 15:10:40 192.168.0.1 PP[ANONYMOUS01] RECV IPCP ConfReq in REQSENT
2012/04/20 15:10:40 192.168.0.1   ff 03 80 21 01 02 00 16  03 06 c0 a8 00 dc 81 06
2012/04/20 15:10:40 192.168.0.1   c0 a8 00 01 83 06 cb 8d  80 23
2012/04/20 15:10:40 192.168.0.1 PP[ANONYMOUS01] SEND IPCP ConfAck in REQSENT
2012/04/20 15:10:40 192.168.0.1   ff 03 80 21 02 02 00 16  03 06 c0 a8 00 dc 81 06
2012/04/20 15:10:40 192.168.0.1   c0 a8 00 01 83 06 cb 8d  80 23
2012/04/20 15:10:41 192.168.0.1 PP[ANONYMOUS01] RECV IPCP ConfAck in ACKSENT
2012/04/20 15:10:41 192.168.0.1   ff 03 80 21 02 02 00 0a  03 06 c0 a8 00 01
2012/04/20 15:10:41 192.168.0.1 PP[ANONYMOUS01] PPP/IPCP up  (Local: 192.168.0.1, Remote: 192.168.0.220)
2012/04/20 15:10:41 192.168.0.1 PP[ANONYMOUS01] Local  PP IP address 192.168.0.1
2012/04/20 15:10:41 192.168.0.1 PP[ANONYMOUS01] Remote PP IP address 192.168.0.220

 

L2TP/IPsecによるVPN接続時の動作確認

VPN接続時の簡単な動作確認手順を示します。
接続試験は、auのスマートフォン(EVO3D)を使用して、3G携帯網、または、WiMAX網から接続します。

詳細はこちらの トラブルシューティング – VPN接続できない  を参照ください。

1) 最初に、プロバイダとの接続状況を確認します。

[RTX]# show status pp 1
PP[01]:
説明:
PPPoEセッションは接続されています
接続相手: e10gmoizm-xxxxxxxx
通信時間: 1日19時間18分40秒
受信: 694921 パケット [646452709 オクテット]  負荷: 0.0%
送信: 576680 パケット [105771692 オクテット]  負荷: 0.0%
PPPオプション
    LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU
    IPCP Local: Primary-DNS(203.138.71.154) Secondary-DNS(210.150.255.66), Remo
te: IP-Address
    PP IP Address Local: 61.206.118.47, Remote: 210.165.249.215
    CCP: None

 

2) 次に、NATディスクリプタの状態を確認します。

[RTX]# show nat descriptor address
参照NATディスクリプタ : 1, 適用インタフェース : PP[01](1)
Masqueradeテーブル
        外側アドレス: ipcp/61.206.118.xxx   ポート範囲=60000-64095   21個使用中
プロトコル       内側アドレス                 宛先   マスカレード    TTL(秒)
   TCP    192.168.0.26.52882      202.229.2.105.80        63674           36
 (省略)
   TCP      192.168.0.1.1723             *.*.*.*.*         1723       static
  PPTP         192.168.0.1.*             *.*.*.*.*            *       static
   UDP      192.168.0.1.4500             *.*.*.*.*         4500       static
   UDP       192.168.0.1.500             *.*.*.*.*          500       static
   ESP         192.168.0.1.*             *.*.*.*.*            *       static
--------------------- - ---
有効なNATディスクリプタテーブルが1個ありました

 

3) 次に、経路情報を確認します。

[RTX]# show ip route
宛先ネットワーク     ゲートウェイ        インタフェース   種別    付加情報
default             -                    PP[01]           static
61.206.118.0/24     192.168.1.1            LAN2           static
192.168.0.0/24      192.168.0.1            LAN1      implicit
192.168.1.0/24      192.168.1.254          LAN2      implicit
(以降は省略)

 

4) 次に、SA情報を確認します。

[RTX]# show ipsec sa

sa   sgw connection   dir  	life[s] 		remote-id
--------------------------------------------------------------------------
1    1   isakmp       -    	27536   	182.249.46.195
2    1   tra[001]esp  send 	27536   	182.249.46.195
3    1   tra[001]esp  recv 	27536   	182.249.46.195

SA[1] 寿命: 27536秒
自分側の識別子: 192.168.0.1
相手側の識別子: 182.249.46.195
プロトコル: IKE
NATトラバーサル: あり, キープアライブ: なし
SPI: de e1 3d 5e 47 e1 0a 5c a6 68 51 bd b6 13 2e 90
鍵 : ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------
SA[2] 寿命: 27536秒
自分側の識別子: 192.168.0.1
相手側の識別子: 182.249.46.195
送受信方向: 送信
プロトコル: ESP (モード: transport)
アルゴリズム: AES-CBC (認証: HMAC-SHA)
SPI: 0b a2 7b 09
鍵 : ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------
SA[3] 寿命: 27536秒
自分側の識別子: 192.168.0.1
相手側の識別子: 182.249.46.195
送受信方向: 受信
プロトコル: ESP (モード: transport)
アルゴリズム: AES-CBC (認証: HMAC-SHA)
SPI: 12 23 cf 07
鍵 : ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------

 

5) 次に、L2TPの接続状況を確認します。
 LocalがRTX1100でRemoteが端末のプライベートアドレスとなります。

[RTX]# show status pp anonymous
ANONYMOUS[01]:
L2TPセッションは接続されています
接続相手: anonymous
通信時間: 22分48秒
受信: 113 パケット [22317 オクテット]
送信: 59 パケット [18196 オクテット]
PPPオプション
    LCP Local: CHAP Magic-Number MRU, Remote: Magic-Number MRU ACCM
     IPCP Local: IP-Address, Remote: IP-Address Primary-DNS(192.168.0.1) Secondary-DNS(203.141.xxx.xxx)
    PP IP Address Local: 192.168.0.1, Remote: 192.168.0.220
    CCP: None
受けとったUserId: ユーザ名1

 

6) 次に、L2TPの詳細状況を確認します。

[RTX]# show status l2tp
------------------- L2TP INFORMATION -------------------
Number of control table using
  Tunnel Control: 1, Session Control: 1
TUNNEL[1] Information
  Tunnel State: established
  Local  Tunnel ID: 41736
  Remote Tunnel ID: 40471
  Local  IP Address: 192.168.0.1
  Remote IP Address: 182.249.46.195
  Local  Src Port: 1701
  Remote Src Port: 38644
  PP bind: ANONYMOUS[1]
  Vendor:
  Hostname: anonymous
  Tunnel has 1 session.
  Session Information
    Session State: established
    Local  Session ID: 62649
    Remote Session ID: 12396
    Received: 113 packets [22317 octets]
    Transmitted: 59 packets [18196 octets]

 

7) 最後に、show logコマンドで、VPN接続時のDebugログを確認します。

[RTX]# show log
2012/04/20 20:54:01: [L2TP]   recv message AVPs :
2012/04/20 20:54:01: [L2TP]   (0)message type SCCRQ
2012/04/20 20:54:01: [L2TP]   (2)protocol version 1 revision 0
2012/04/20 20:54:01: [L2TP]   (7)hostname anonymous
2012/04/20 20:54:01: [L2TP]   (3)framing capability Abit:1 Sbit:0
2012/04/20 20:54:01: [L2TP]   (9)assigned tunnel id 38733
2012/04/20 20:54:01: [L2TP]   (10)receive window size 1

2012/04/20 20:54:01: [L2TP] recv SCCRQ in idle from 182.249.46.195
2012/04/20 20:54:01: [L2TP] TUNNEL[1] connected from 182.249.46.195

2012/04/20 20:54:01: [L2TP]   send message AVPs :
2012/04/20 20:54:01: [L2TP]   set (0)message type SCCRP
2012/04/20 20:54:01: [L2TP]   set (2)protocol version 1 revision 0
2012/04/20 20:54:01: [L2TP]   set (3)framing capability sync
2012/04/20 20:54:01: [L2TP]   set (4)bearer capability 0
2012/04/20 20:54:01: [L2TP]   set (6)firmware revision 0x500
2012/04/20 20:54:01: [L2TP]   set (7)hostname RTX1100
2012/04/20 20:54:01: [L2TP]   set (8)vendorname YAMAHA Corporation
2012/04/20 20:54:01: [L2TP]   set (9)assigned tunnel id 46121
2012/04/20 20:54:01: [L2TP]   set (10)receive window size 1

2012/04/20 20:54:01: [L2TP] send SCCRP to 182.249.46.195
2012/04/20 20:54:02: [L2TP]   recv message AVPs :
2012/04/20 20:54:02: [L2TP]   (0)message type SCCCN

2012/04/20 20:54:02: [L2TP] recv SCCCN in wait_ctl_conn from 182.249.46.195
2012/04/20 20:54:02: [L2TP] send ZLB to 182.249.46.195
2012/04/20 20:54:02: [L2TP] TUNNEL[1] tunnel 46121 established

2012/04/20 20:54:02: [L2TP]   recv message AVPs :
2012/04/20 20:54:02: [L2TP]   (0)message type ICRQ
2012/04/20 20:54:02: [L2TP]   (14)assigned session id 13597
2012/04/20 20:54:02: [L2TP]   (15)call serial number 3683578893

2012/04/20 20:54:02: [L2TP] recv ICRQ in idle from 182.249.46.195
2012/04/20 20:54:02: [L2TP]   send message AVPs :
2012/04/20 20:54:02: [L2TP]   set (0)message type ICRP
2012/04/20 20:54:02: [L2TP]   set (14)assigned session id 43561

2012/04/20 20:54:02: [L2TP] send ICRP to 182.249.46.195
2012/04/20 20:54:02: [L2TP]   recv message AVPs :
2012/04/20 20:54:02: [L2TP]   (0)message type ICCN
2012/04/20 20:54:02: [L2TP]   (24)tx connect speed 100Mbit/s
2012/04/20 20:54:02: [L2TP]   (19)framing type 3

2012/04/20 20:54:02: [L2TP] recv ICCN in wait_connect from 182.249.46.195
2012/04/20 20:54:02: [L2TP] send ZLB to 182.249.46.195
2012/04/20 20:54:02: [L2TP] TUNNEL[1] session 43561 established

 

以上で、「VPNルーターでL2TP/IPsecでVPN接続」を終了します。

 

VPNルーターでPPPoE接続

前回の記事で、RTX1100の初期設定が完了しました。

2回目の今回は、RTX1100を使用してインターネットへの接続が行えるように、設定を追加します。
※RTX1100は、ひかり電話対応ルーターの配下に接続し、ISPへの接続情報はRTX1100に設定します。
※ひかり電話対応ルーターは、PPPoEブリッジモードで動作させるように設定を変更します。

NTT東日本では配下に接続するルーターは、IP電話対応ルーターしか推奨していませんが、ヤマハのVPNルーターも問題なく接続できます。NTT東日本として動作確認ができていないので、動作保証しないだけです。
詳細は、こちらの よくあるご質問 – 050IP電話との同時利用について  を参照ください。

ネットワーク全体の結線図を下図に示します。

network kousei1 300x235 VPNルーターでPPPoE接続<接続のポイント>

・PR-200NEはPPPoEブリッジモードで動作させる。

・RTX1100のLAN2にプライベートIPアドレスを割り当てる。

PR-200NEにRTX1100への静的ルーティングを設定する。

・パソコン等の端末は、RTX1100の配下に接続する。

RTX1100の追加は、以下のような手順で進めます。

  • ひかり電話対応ルーターの設定を変更する
  • VPNルーターを追加する(LAN配線を変更する)
  • 経路設定とLAN設定を行う
  • RTX1100にプロバイダ接続(PPPoE)設定を追加する
  • RTX1100にDNSサーバの設定を行う(内向きのDNSサーバの指定)
  • RTX1100にDHCPサーバの設定を行う

 

ひかり電話対応ルーター(PR-200NE)の設定変更

ひかり電話対応ルーターの管理画面にログインします。

最初にPPPoEブリッジモードに変更します。これは、接続先を設定でチェックを外すだけでOKです。
PPPoEブリッジモードは、初期値で有効(チェックが入っています)に設定されていますので、確認します。

このモードでは、PPPoE接続した機器からのパケットはスルーされ、PR-200NEは何も処理を行いません。

PR 200NE 01 300x186 VPNルーターでPPPoE接続

 

 ここでは、接続可のところのチェックをすべて外し、
 設定ボタンをクリックします。

次に、ひかり電話対応ルーターのIPアドレスを192.168.1.1へ変更します。また、DHCPv4サーバも使用しないようにします。設定ボタンを押すとひかり電話ルーターのIPアドレスが変更されますので、WindowsパソコンのIPアドレスを一時的に192.168.1.100などのアドレスに変更して設定を継続します。

PR 200NE 02 300x253 VPNルーターでPPPoE接続

 
 ここでは、LAN側IPアドレスを変更します。

 また、DHCPサーバは、追加するVPNルーターの
 DHCPサーバを使用しますので、こちらのDHCP
 サーバは停止させます。(192.168.1.0/24の
 ネットワークには、パソコンは接続しませんので
 停止させます)

 

次に、静的ルーティングを設定します。
VPNルーターから送られるひかり電話対応ルーター宛のパケットは、VPNルーターへ送り返さなければなりません。その時、パケットを送り返すための経路(スタテックルート)が判らないと、パケットを送り返すことはできませんので、192.168.0.0/24宛のパケットは、192.168.1.254に送るように静的ルーティングを設定します。

この設定を追加すると、ネットワークセグメントが異なるWindowsパソコン(192.168.0.100)から、PR-200NE(192.168.1.1)の管理画面に、アクセスすることが出来るようになります。

PR 200NE 03 300x186 VPNルーターでPPPoE接続

最後に、追加した静的ルーティング設定を有効にします。
エントリ番号にチェックを入れて、設定 -> 保存の順番にクリックします。

PR 200NE 04 261x300 VPNルーターでPPPoE接続

 

VPNルーター(RTX1100)の追加

VPNルーターを既存のネットワークに追加します。既に、ひかり電話対応ルーターが設置されていますので、下図のような接続にLANケーブルの配線を変更します。

ひかり電話対応ルーターは、ひかり電話用のSIPサーバとして利用します。追加したVPNルーター(RTX1100)が、ルーターとして機能します。

ひかり電話対応ルーターは、電源投入時、ひかり電話網にPPPoE接続を行い、設定情報等を入手します。
設定が完了すると、ひかり電話網へのPPPoE接続は切断されますが、ひかり電話を使用できるようになります。
この時、PR-200NEのランプ表示は、ひかり電話ランプが点灯し、PPPランプは、消灯します。

network kousei 02 300x235 VPNルーターでPPPoE接続

ひかり電話対応ルーターのLANからVPNルーターのWAN(LAN2)へ接続します。

ひかり電話対応ルーターのLANに挿入されていたケーブルは、VPNルーターのLAN1へ繋ぎ替えます。

 

VPNルーター(RTX1100)の設定

RTX1100へ経路設定とLAN設定を行います。

LAN2(WAN側)へIPアドレスを割り振り、WAN側ネットワークアドレス宛のパケットは、ひかり電話対応ルーター(PR-200NE)へ送るように、静的ルーティングを設定します。

[RTX]# ip route default gateway pp 1
[RTX]# ip route 61.206.118.0/24 gateway 192.168.1.1
[RTX]# ip filter source-route on
[RTX]# ip filter directed-broadcast on
[RTX]# ip lan1 address 192.168.0.1/24
[RTX]# ip lan2 address 192.168.1.254/24

RTX1100へプロバイダへの接続情報を設定します。

[RTX]# pp select 1
[RTX]pp1# pp select 1
[RTX]pp1# pp name Interlink
[RTX]pp1# pp always-on on
[RTX]pp1# pppoe use lan2
[RTX]pp1# pppoe auto connect on
[RTX]pp1# pppoe auto disconnect off
[RTX]pp1# pp auth accept pap chap
[RTX]pp1# pp auth myname [ユーザID] [パスワード]
[RTX]pp1# ppp lcp mru on 1454
[RTX]pp1# ppp ipcp msext on
[RTX]pp1# ppp ccp type none
[RTX]pp1# ip pp address [WAN側グローバルIPアドレス]
[RTX]pp1# ip pp mtu 1454
[RTX]pp1# ip pp nat descriptor 1
[RTX]pp1# pp enable 1
[RTX]pp1# pp select none
[RTX]# nat descriptor type 1 masquerade
[RTX]# nat descriptor address outer 1 ipcp
[RTX]# nat descriptor address inner 1 auto

RTX1100にDNSサーバの設定を行います。
ここでは、既にLAN内に設置済みである内向きのDNSサーバの指定を行います。

[RTX]# dns server [DNSサーバアドレス]
[RTX]# dns server select 1 [内向きのDNSサーバのアドレス] any pc-links.com
[RTX]# dns domain pc-links.com
[RTX]# dns private address spoof on

RTX1100にDHCPサーバの設定を行います。

[RTX]# dhcp service server
[RTX]# dhcp scope 1 192.168.0.230-192.168.0.253/24

毎日8時にntpサーバに問い合わせて、VPNサーバーの時計を合わせるようにします。

また、状態メール通知を設定し、VPNルーターの状態をメールで受信できるようにします。

最後に設定データを保存して設定を終了します。

[RTX]# schedule at 1 */* 08:00 * ntpdate ntp.nict.jp
[RTX]# mail-notify status use on
[RTX]# mail-notify status server [メールサーバの指定]
[RTX]# mail-notify status from xxxxxx@pc-links.com
[RTX]# mail-notify status to 1 xxxxxx@pc-links.com
[RTX]# mail-notify status subject "RTX1100 VPN Router"
[RTX]# mail-notify status timeout 30
[RTX]# mail-notify status type all
[RTX]# save
セーブ中... CONFIG0 終了

 

インターネットへの接続試験

PPPoE接続情報等の設定が完了したので、設定が正しいことを確認します。いきなり、Webブラウザを起動させて、インターネットへ接続してもOKですが、以下の手順で1つずつ確認していきます。

最初に、RTX1100上から”netvolante.jp”へpingを打ちます。パケットロスが0%であることを確認します。

[RTX]# ping netvolante.jp
202.218.0.83 (202.218.0.83)から受信: シーケンス番号=0 ttl=50 時間=21.700ミリ秒
202.218.0.83 (202.218.0.83)から受信: シーケンス番号=1 ttl=50 時間=19.965ミリ秒
202.218.0.83 (202.218.0.83)から受信: シーケンス番号=2 ttl=50 時間=21.711ミリ秒
202.218.0.83 (202.218.0.83)から受信: シーケンス番号=3 ttl=50 時間=11.594ミリ秒

4個のパケットを送信し、4個のパケットを受信しました。0.0%パケットロス
往復遅延 最低/平均/最大 = 11.594/18.742/21.711 ミリ秒

次に、”show status pp 1″コマンドを実行します。
接続に成功していれば、「PPPoEセッションは接続されています」と表示されます。

[RTX]# show status pp 1
PP[01]:
説明:
PPPoEセッションは接続されています
接続相手: xxxxxxxxxxxxxxxxxx
通信時間: 2分48秒
受信: 89 パケット [7843 オクテット]  負荷: 0.0%
送信: 2823 パケット [212968 オクテット]  負荷: 0.0%
PPPオプション
    LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU
    IPCP Local: Primary-DNS(203.138.71.154) Secondary-DNS(210.150.255.66), Remote: IP-Address
    PP IP Address Local: xxx.xxx.xxx.xxx, Remote: 210.165.xxx.xxx
    CCP: None

次に、”show nat descriptor address”コマンドを実行します。
外側アドレスとして、固定グローバルアドレス”xxx.xxx.xxx.xxx”が表示されていればOKです。

[RTX]# show nat descriptor address
参照NATディスクリプタ : 1, 適用インタフェース : PP[01](1)
Masqueradeテーブル
        外側アドレス: ipcp/xxx.xxx.xxx.xxx   ポート範囲=60000-64095   67個使用中

(略) 

--------------------- - ---
有効なNATディスクリプタテーブルが1個ありました

次に、”show ip route”コマンドで情報経路を確認します。

[RTX]# show ip route
宛先ネットワーク    ゲートウェイ       インタフェース     種別      付加情報
default             -                    PP[01]      static
61.206.118.0/24     192.168.1.1          LAN2        static
192.168.0.0/24      192.168.0.1          LAN1        implicit
192.168.1.0/24      192.168.1.254        LAN2        implicit

(略)

 

Asteriskサーバとフレッツフォンの設定変更

ひかり電話対応ルーター(PR-200NE)のIPアドレスを変更したので、ネットワークアドレス 192.168.0.0/24 に所属するAsteriskサーバとフレッツフォン(ひかり電話)の設定を変更します。

テキストエディタでsip.confファイル開き、rt200ne、hostとfromdomain のIPアドレスをひかり電話対応ルーターのIPアドレス(192.168.1.1)へ変更します。

[general]
maxexpirey=3600
defaultexpirey=3600
context=default
port=5060

(略)

rt200ne=192.168.1.1

(略)

[hikari-denwa]
host=192.168.1.1.
fromdomain=192.168.1.1

(略)

フレッツフォン(VP2000)の設定を変更します。
設定 - ネットワーク – マニュアル設定でデフォルトゲートウェイを192.168.1.1へ変更します。

ネットワーク設定を変更すると、自動的に再起動します。再起動したら、設定 – 電話 – 設定ガイドを起動し、東日本エリアを選択 – ひかり電話を選択し、完了をクリックするとひかり電話が使用できるようになります。

以上で、「VPNルーターでPPPoE接続」を終了します。

    
7 / 13« 先頭...678...10...最後 »