パスワードを忘れた? アカウント作成
Close
8369734 journal
日記

ohharaの日記: YAMAHA RTX1200 と NEC IX2015 をNAT-TでVPN接続してみた。

日記 by ohhara

IPsecはespプロトコルでtcpやudpとは別なので、特にNATを越えるのが難しい。
しかし、NAT-T(NATトラバーサル)機能が相互のルータがサポートしていれば、NATを越える事が出来る。
ただしIPsecもNAT-Tも実装がベンダー毎に違いがあり、同一機種同士が無難です。

今回は、ひかり電話ルータのNAT内にIX2015を設置してVPN接続してます。
ひかり電話ルータはesp(IPsec)を通しません。

NAT-Tではespをudpカプセルにしてudp4500ポートで通します。
つまり最初のIKE認証で相互にudp500が接続出来れば、あとはIPsecをNAT-Tで通します。

なお、各WAN側は固定IPアドレスです。
IX2015側から何かパケットを送ればVPN接続されます。

・RTX1200
  LAN側 192.168.1.1/24
ip route 192.168.2.0/24 gateway tunnel 1
tunnel select 1
ipsec tunnel 101
tunnel enable 1
ip route 192.168.2.0/24 gateway tunnel 1
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
ipsec ike always-on 1 on
ipsec ike encryption 1 des-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 md5
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 auto heartbeat
ipsec ike local address 1 192.168.1.1
ipsec ike local id 1 192.168.1.0/24
ipsec ike nat-traversal 1 on
ipsec ike payload type 1 3
ipsec ike pfs 1 off
ipsec ike pre-shared-key 1 text password
ipsec ike remote address 1 [相手 IX2015 WAN側IPアドレス]
ipsec ike remote id 1 192.168.2.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit auto
ip filter 1 pass * 192.168.1.1 esp * *
ip filter 2 pass * 192.168.1.1 udp * 500
ip filter 3 pass * 192.168.1.1 udp * 4500
nat descriptor masquerade static 1 1 192.168.1.1 esp
nat descriptor masquerade static 1 2 192.168.1.1 udp 500
nat descriptor masquerade static 1 3 192.168.1.1 udp 4500

  ・ひかり電話ルータ
LAN側 192.168.2.1/24
静的NATをIX2015側に設定します。
192.168.2.1 udp 500 -> 192.168.2.2 udp 500
192.168.2.1 udp 4500 -> 192.168.2.2 udp 4500
静的ルーティングもIX2015側に設定します。
192.168.1.0/24 -> 192.168.2.2

  ・IX2015
  LAN側 192.168.2.2/24
ip route default FastEthernet0/0.0
ip route [相手 RTX1200 WAN側IPアドレス]/32 192.168.2.1 FastEthernet0/0.0
ip route 192.168.2.0/24 192.168.2.1 FastEthernet0/0.0
ip route 192.168.1.0/24 Tunnel0.0
ip access-list sec-list permit ip src any dest any
ike initial-contact always
ike proposal ike-pro1 encryption des hash md5 group 1024-bit
ike policy ike-policy1 peer [相手 RTX1200 WAN側IPアドレス] key password ike-pro1
ike keepalive ike-policy1 10 3
ike nat-traversal policy ike-policy1
ipsec autokey-proposal ipsec-pro1 esp-3des esp-sha
ipsec autokey-map ipsec-policy sec-list peer [相手 RTX1200 WAN側IPアドレス] ipsec-pro1
ipsec local-id ipsec-policy 192.168.2.0/24
ipsec remote-id ipsec-policy 192.168.1.0/24
interface FastEthernet0/0.0
ip address 192.168.2.2/24
no shutdown
interface Tunnel0.0
tunnel mode ipsec
ip unnumbered FastEthernet0/0.0
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-policy pre-fragment out
no shutdown

この議論は、ohhara (703)によって テキとトモのテキ禁止として作成されたが、今となっては 新たにコメントを付けることはできません。

YAMAHA RTX1200 と NEC IX2015 をNAT-TでVPN接続してみた。 More

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン