FITELnet-F80とNet-G Secure VPN Clientの接続例(1)
トンネルモードを使用する場合
この設定例では、NET-G Secure VPN Clientが、インターネットを経由してFITELnet-F80(以下FITELnetと略します)と接続する場合の例です。
構成は次のようになっています。
接続構成
この例においては、IPSecに関する接続の方式を次のように設定しています。
IKE | 暗号化アルゴリズム | AES(鍵長 128bit) |
---|---|---|
整合性関数(ハッシュ) | MD5 | |
IKEモード | アグレッシブモード | |
IKEグループ | Group 2 | |
既知共有鍵(Pre-Shared Key) | test | |
ID | netg@dit.co.jp |
IPSec | 暗号化アルゴリズム | AES(鍵長 128bit) |
---|---|---|
整合性関数(ハッシュ) | HMAC-MD5 | |
PFSグループ | Group 2 |
NET-G Secure VPN Clientの設定
このような場合のNET-G Secure VPN Clientの設定は次のようになります。
「NET-G Secure VPN Clientポリシエディタ」を実行し、「鍵管理」タブを選択すると、次の画面が表示されます。「自分の鍵」を選択した状態で、[追加]をクリックしてください。
この画面が表示されたら、「既知共有鍵を作成する」を選択し、[次へ]をクリックして下さい。
この画面が表示されたら、以下のように入力します。
名前: この鍵につける名称を入力します。(本例では「testkey」と入力しています)
共有シークレット: 接続したいゲートウェイに設定されている既知共有鍵を入力します。(本例では「test」を入力します)
※「名前」のフィールドに設定している“testkey”は、ただの名前であり、ルータ側の設定には関係ありません。[完了]をクリックすると、鍵の作成が完了します。
作成した鍵の名前(図例では「testkey」)を選択し、[プロパティ]をクリックして下さい。
次の「既知共有鍵」画面が表示されますので、「ID」タブを選択してください。
プライマリID: 接続するコンピュータのIDとなるタイプを選択してください。本例では「ホストドメイン名」を選択しています。
管理者の電子メール: ゲートウェイで設定されているIDを入力します。本例では、電子メール形式のIDを選択していますので、「netg@dit.co.jp」と入力しています。
設定項目を選択および入力し、[OK]をクリックしてください。
「鍵管理」画面に戻りましたら、[適用]をクリックしてください。[適用]を実行しない場合、次のSecurity Gateway設定を正しく行なうことができません。
ポリシエディタの「セキュリティポリシ」タブを選択すると、この画面が表示されます。 「VPNの接続」を選択した状態で、[追加]をクリックします。
ゲートウェイ名の右側にある[IP]ボタンをクリックして、欄の名称をゲートウェイIPアドレスに変えてから、以下の項目を入力します。
ゲートウェイIPアドレス: 接続先のゲートウェイのIPアドレスを入力します。本例では、「172.16.0.1」と入力しています。
認証鍵: 既知共有鍵の設定で登録した鍵を選択します。本例では「testkey」と選択しています。
次にリモートネットワークの設定を行なうために「リモートネットワーク」プルダウンメニュー右側の[...]ボタンをクリックしてください。
ネットワークエディタにて[新規]をクリックします。
設定項目の入力が可能となります。
ネットワーク名: 接続先ネットワークを識別するための名称を入力します。本例では、「private」と入力しています。
IPアドレス: リモートネットワークアドレスを入力します。本例では、「192.168.1.0 」と入力しています。
サブネットマスク: リモートネットワークで使用されているサブネットマスクを入力します。本例では、「255.255.255.0」と入力しています。
設定項目を入力し、[OK]をクリックしてください。リモートネットワークの設定が完了します。
「VPN接続を追加」の画面に戻りましたら、[OK]をクリックしてください。
パラメータ候補の設定
「VPN接続」に設定したアドレス(本例では、「172.16.0.1(private)」)を選択した状態で、[プロパティ]をクリックします。
候補テンプレートにて「normal」を選択した後、IPSec / IKE候補の[設定]をクリックします。
以下のような設定を入力・選択します。
【IKE候補】
暗号化アルゴリズム: IPSec Phase 1で使用する暗号化アルゴリズムを選択します。本例では、「AES-128」を選択しています。
整合性関数: IPSec Phase 1で使用するハッシュ関数を選択します。本例では、「MD5」を選択しています。
IKEモード: IPSec Phase 1で使用するモードを選択します。本例では、「aggressive mode」を選択しています。
IKEグループ: IPSec Phase 1で使用する鍵グループを選択します。本例では、「MODP 1024(group 2)」を選択しています。
【IPSec候補】
暗号化アルゴリズム: IPSec Phase 2で使用する暗号化アルゴリズムを選択します。本例では、「AES-128」を選択しています。
整合性関数: IPSec Phase 2で使用するハッシュ関数を選択します。本例では、「HMAC-MD5」を選択しています。
PFSグループ: 使用するPFSグループを選択します。本例では、「MODP 1024(group 2)」を選択します。
各設定項目を選択し、[OK]をクリックしてください。
「規則のプロパティ」画面に戻りましたら、[OK]をクリックしてください。最後に「ポリシエディタ」画面の[適用]をクリックし、設定が完了します。
FITELnet-F80の設定
この接続構成において、FITELnetには以下の設定を行なっています。
show boot.cfg
ip route 0.0.0.0 0.0.0.0 172.16.0.254
access-list 1 permit 192.168.1.0 0.0.0.255
vpn enable
ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 peer
ipsec access-list 64 bypass ip any any
ipsec transform-set p2aesmd5 esp-aes-128 esp-md5-hmac
interface ewan 1
crypto map netg
ip mtu 1500
ip address 172.16.0.1 255.255.255.0
ip nat inside source list 1 interface
exit
interface lan 1
ip address 192.168.1.1 255.255.255.0
exit
crypto isakmp policy 1
authentication prekey
encryption aes 128
group 2
hash md5
idtype-pre userfqdn
key ascii test
negotiation-mode aggressive
peer-identity host netg@dit.co.jp
exit
crypto map netg 1
match address 1
set peer host netg@dit.co.jp
set transform-set p2aesmd5
exit
end