製品
ホーム >  製品 >  NET-G Secure VPN Client >  よくある質問 >  FITELnet-F80とNet-G Secure VPN Clientの接続例(3)

FITELnet-F80とNet-G Secure VPN Clientの接続例(3)

NAT-Traversalを使用する場合

この設定例では、NET-G Secure VPN Clientが、インターネットを経由してFITELnet-F80(以下FITELnetと略します)と接続する場合の例です。構成は次のようになっています。

接続構成

この例においては、IPSecに関する接続の方式を次のように設定しています。

IKE 暗号化アルゴリズム AES(鍵長 128bit)
整合性関数(ハッシュ) MD5
IKEモード アグレッシブモード
IKEグループ Group 2
既知共有鍵(Pre-Shared Key) test
ID netg@dit.co.jp
IPSec 暗号化アルゴリズム AES(鍵長 128bit)
整合性関数(ハッシュ) HMAC-MD5
PFSグループ Group 2

NET-G Secure VPN Clientの設定

既知共有鍵(Pre-Shared Key)の設定

このような場合のNET-G Secure VPN Clientの設定は次のようになります。

「NET-G Secure VPN Clientポリシエディタ」を実行し、「鍵管理」タブを選択すると、次の画面が表示されます。「自分の鍵」を選択した状態で、[追加]をクリックしてください。

この画面が表示されたら、「既知共有鍵を作成する」を選択し、[次へ]をクリックして下さい。

この画面が表示されたら、以下のように入力します。

名前: この鍵につける名称を入力します。(本例では「testkey」と入力しています)
共有シークレット: 接続したいゲートウェイに設定されている既知共有鍵を入力します。(本例では「test」を入力します)

※「名前」のフィールドに設定している“testkey”は、ただの名前であり、ルータ側の設定には関係ありません。[完了]をクリックすると、鍵の作成が完了します。

作成した鍵の名前(図例では「testkey」)を選択し、[プロパティ]をクリックして下さい。

次の「既知共有鍵」画面が表示されますので、「ID」タブを選択してください。

プライマリID: 接続するコンピュータのIDとなるタイプを選択してください。本例では「ホストドメイン名」を選択しています。
管理者の電子メール: ゲートウェイで設定されているIDを入力します。本例では、電子メール形式のIDを選択していますので、「netg@dit.co.jp」と入力しています。

設定項目を選択および入力し、[OK]をクリックしてください。

「鍵管理」画面に戻りましたら、[適用]をクリックしてください。[適用]を実行しない場合、次のSecurity Gateway設定を正しく行なうことができません。

Security Gatewayの設定

ポリシエディタの「セキュリティポリシ」タブを選択すると、この画面が表示されます。「VPNの接続」を選択した状態で、[追加]をクリックします。

ゲートウェイ名の右側にある[IP]ボタンをクリックして、欄の名称をゲートウェイIPアドレスに変えてから、以下の項目を入力します。

ゲートウェイIPアドレス: 接続先のゲートウェイのIPアドレスを入力します。本例では、「172.16.0.1」と入力しています。
認証鍵: 既知共有鍵の設定で登録した鍵を選択します。本例では「testkey」と選択しています。

次にリモートネットワークの設定を行なうために「リモートネットワーク」プルダウンメニュー右側の[...]ボタンをクリックしてください。

ネットワークエディタにて[新規]をクリックします。

設定項目の入力が可能となります。

ネットワーク名: 接続先ネットワークを識別するための名称を入力します。本例では、「private」と入力しています。
IPアドレス: リモートネットワークアドレスを入力します。本例では、「192.168.1.0 」と入力しています。
サブネットマスク: リモートネットワークで使用されているサブネットマスクを入力します。本例では、「255.255.255.0」と入力しています。

設定項目を入力し、[OK]をクリックしてください。リモートネットワークの設定が完了します。

「VPN接続を追加」の画面に戻りましたら、[OK]をクリックしてください。

パラメータ候補の設定

「VPN接続」に設定したアドレス(本例では、「172.16.0.1(private)」)を選択した状態で、[プロパティ]をクリックします。

候補テンプレートにて「normal」を選択した後、IPSec / IKE候補の[設定]をクリックします。

以下のような設定を入力・選択します。

【IKE候補】

暗号化アルゴリズム: IPSec Phase 1で使用する暗号化アルゴリズムを選択します。本例では、「AES-128」を選択しています。
整合性関数: IPSec Phase 1で使用するハッシュ関数を選択します。本例では、「MD5」を選択しています。
IKEモード: IPSec Phase 1で使用するモードを選択します。本例では、「aggressive mode」を選択しています。
IKEグループ:  IPSec Phase 1で使用する鍵グループを選択します。本例では、「MODP 1024(group 2)」を選択しています。

【IPSec候補】

暗号化アルゴリズム: IPSec Phase 2で使用する暗号化アルゴリズムを選択します。本例では、「AES-128」を選択しています。
整合性関数: IPSec Phase 2で使用するハッシュ関数を選択します。本例では、「HMAC-MD5」を選択しています。
PFSグループ: 使用するPFSグループを選択します。本例では、「MODP 1024(group 2)」を選択します。

各設定項目を選択し、[OK]をクリックしてください。

仮想IPアドレスの設定

「規則のプロパティ」の「全般」タブを選択してください。
「仮想IPアドレスを取得する」にチェックを入れ、[設定]をクリックします。

「手動で指定」を選択してください。

IPアドレス: リモートネットワークで使用する仮想IPアドレスを入力します。本例では、「192.168.2.1」と入力しています。
サブネットマスク: リモートネットワークで使用するサブネットマスクを入力します。本例では、「255.255.255.0」と入力しています。

設定項目を入力し、[OK]をクリックしてください。

「規則のプロパティ」画面に戻りましたら、[OK]をクリックしてください。最後に「ポリシエディタ」画面の[適用]をクリックし、設定が完了します。

NAT-Traversalの設定

「規則のプロパティ」の「詳細」タブを選択すると、この画面が表示されます。 「NAT装置を経由する」にチェックをいれ、NAT-T(Network Address Translation Traversal) が選択されている事を確認してから、[OK]をクリックしてください。

「規則のプロパティ」画面に戻りましたら、[OK]をクリックしてください。最後に「ポリシエディタ」画面の[適用]をクリックし、設定が完了します。

FITELnet-F80の設定

この接続構成において、FITELnetには以下の設定を行なっています。

show boot.cfg

ip route 0.0.0.0 0.0.0.0 172.16.0.254

access-list 1 permit 192.168.1.0 0.0.0.255

vpn enable

ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

ipsec access-list 64 bypass ip any any

ipsec transform-set p2aesmd5 esp-aes-128 esp-md5-hmac

interface ewan 1

crypto map netg

ip mtu 1500

ip address 172.16.0.2 255.255.255.0

ip nat inside source list 1 interface

exit

interface lan 1

ip address 192.168.1.1 255.255.255.0

exit

crypto isakmp policy 1

authentication prekey

encryption aes 128

group 2

hash md5

idtype-pre userfqdn

key ascii test

negotiation-mode aggressive

nat-traversal enable

peer-identity host netg@dit.co.jp

exit

crypto map netg 1

match address 1

set peer host netg@dit.co.jp

set transform-set p2aesmd5

exit

end

製品情報および資料