YAMAHA社製のVPNルータ RTX1000との接続について
ヤマハ社製VPNルータRTX1000とNET-G Secure VPN Clientの接続例
この設定はNET-G Secure VPN Clientが、仮想アダプタを使用してヤマハ社製VPNルータ RTX1000(以下RTX1000と略します)と接続する場合の例です。
注意)RTX1000との接続では、下記のような制限がございます。 ※NET-G Secure VPN Clientにて仮想アダプタを使用した接続方法のみとなります。
※NET-G Secure VPN Client でサポートしているNAT-T(NAT Traversal)とRTX1000の機能は、互換性がございません。
構成は次のようになっています。
接続構成
この例においては、IPSecに関する接続の方式を次のように設定しています。
| IKE | 暗号化アルゴリズム | AES(鍵長 128bit) |
|---|---|---|
| 整合性関数(ハッシュ) | MD5 | |
| IKEモード | アグレッシブモード | |
| IKEグループ | Group 2 | |
| 既知共有鍵(Pre-Shared Key) | test | |
| ID | pc1 |
| IPSec | 暗号化アルゴリズム | AES(鍵長 128bit) |
|---|---|---|
| 整合性関数(ハッシュ) | HMAC-MD5 | |
| PFSグループ | Group 2 |
NET-G Secure VPN Clientの設定
既知共有鍵(Pre-Shared Key)の設定
「NET-G Secure VPN Clientポリシエディタ」を実行し、「鍵管理」タブを選択すると、次の画面が表示されます。「自分の鍵」を選択した状態で、[追加]をクリックしてください。
この画面が表示されたら、「既知共有鍵を作成する」を選択し、[次へ]をクリックして下さい。
この画面が表示されたら、以下のように入力します。
共有シークレット: 接続したいゲートウェイに設定されている既知共有鍵を入力します。(本例では「test」を入力します)
※「名前」のフィールドに設定している“testkey”は、ただの名前であり、ルータ側の設定には関係ありません。[完了]をクリックすると、鍵の作成が完了します。
作成した鍵の名前(図例では「testkey」)を選択し、[プロパティ]をクリックして下さい。
次の「既知共有鍵」画面が表示されますので、「ID」タブを選択してください。
管理者の電子メール: ゲートウェイで設定されているIDを入力します。本例では、電子メール形式のIDを選択していますので、「PC1」と入力しています。
設定項目を選択および入力し、[OK]をクリックしてください。
「鍵管理」画面に戻りましたら、[適用]をクリックしてください。[適用]を実行しない場合、次のSecurity Gateway設定を正しく行なうことができません。
ポリシエディタの「セキュリティポリシ」タブを選択すると、この画面が表示されます。「VPNの接続」を選択した状態で、[追加]をクリックします。
ゲートウェイ名の右側にある[IP]ボタンをクリックして、欄の名称をゲートウェイIPアドレスに変えてから、以下の項目を入力します。
認証鍵: 既知共有鍵の設定で登録した鍵を選択します。本例では「testkey」と選択しています。
次にリモートネットワークの設定を行なうために「リモートネットワーク」プルダウンメニュー右側の[...]ボタンをクリックしてください。
ネットワークエディタにて[新規]をクリックします。
設定項目の入力が可能となります。
IPアドレス: リモートネットワークアドレスを入力します。本例では、「192.168.1.0 」と入力しています。
サブネットマスク: リモートネットワークで使用されているサブネットマスクを入力します。本例では、「255.255.255.0」と入力しています。
設定項目を入力し、[OK]をクリックしてください。リモートネットワークの設定が完了します。
「VPN接続を追加」の画面に戻りましたら、[OK]をクリックしてください。
パラメータ候補の設定
「VPN接続」に設定したアドレス(本例では、「172.16.0.1(private)」)を選択した状態で、[プロパティ]をクリックします。
候補テンプレートにて「normal」を選択した後、IPSec / IKE候補の[設定]をクリックします。
以下のような設定を入力・選択します。
【IKE候補】
整合性関数: IPSec Phase 1で使用するハッシュ関数を選択します。本例では、「MD5」を選択しています。
IKEモード: IPSec Phase 1で使用するモードを選択します。本例では、「aggressive mode」を選択しています。
IKEグループ: IPSec Phase 1で使用する鍵グループを選択します。本例では、「MODP 1024(group 2)」を選択しています。
【IPSec候補】
整合性関数: IPSec Phase 2で使用するハッシュ関数を選択します。本例では、「HMAC-MD5」を選択しています。
PFSグループ: 使用するPFSグループを選択します。本例では、「MODP 1024(group 2)」を選択します。
各設定項目を選択し、[OK]をクリックしてください。
仮想IPアドレスの設定
「規則のプロパティ」の「全般」タブを選択してください。
「仮想IPアドレスを取得する」にチェックを入れ、[設定]をクリックします。
「手動で指定」を選択してください。
サブネットマスク: リモートネットワークで使用するサブネットマスクを入力します。本例では、「255.255.255.0」と入力しています。
設定項目を入力し、[OK]をクリックしてください。
「規則のプロパティ」画面に戻りましたら、[OK]をクリックしてください。最後に「ポリシエディタ」画面の[適用]をクリックし、設定が完了します。
RTX1000の設定
この接続構成において、RTX1000には以下の設定を行なっています。
ip lan1 address 192.168.1.1/24
ip lan2 address 172.16.0.1/24
ip route default gateway 172.16.0.254
tunnel select 1
ipsec tunnel 101
tunnel enable 1
ip route 192.168.2.1/24 gateway tunnel 1
ipsec auto refresh on
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike pre-shared-key 1 text test
ipsec ike remote address 1 any
ipsec ike remote name 1 pc1
ipsec sa policy 101 1 esp aes-cbc md5-hmac