Google Cloud PlatformとVPN(IPsec)接続するルーターの設定

管理番号:YMHRT-22105

本設定例では、IPsecトンネル機能を使用しています。

IPsecトンネル機能の対応機種は、RTX5000RTX3500RTX1220RTX1210RTX830NVR700WFWX120vRXです。

構成図

ヤマハルーター(以降、ルーター)とGoogle Cloud Platform(GCP)をVPN接続する設定例です。

本設定例は、GCP が推奨する「高可用性(HA)VPN接続」で接続する方法をご紹介します。
「Classic VPN」ではありませんので、ご注意ください。
ルーターの設定は、「IPsec IKEv1」および「IPsec IKEv2」の両方を掲載します。

ルーターの設定を行う前に、以下の確認をお願いします。

本設定例について

  • Google Cloud Platformの仮想ネットワークとの接続を保証するものではありません。
  • 2021年1月現在の仕様に基づいて記載しています。確認しているファームウェアは、以下のとおりです。今後、サービス内容の変更や、仕様変更などによって接続できなくなる可能性があります。
    RTX1210 Rev.14.01.38
    RTX830 Rev.15.02.17
    ※ IPsecトンネル機能に対応している他のルーター(RTX5000、RTX3500、RTX1220、NVR700W)につきましても、本ページに記載の設定例をご利用いただけます。必ず、最新版のファームウェアをご利用ください。
  • Google Cloud Platform に関する情報および設定方法については、Google Cloud Platform のドキュメント をご参照ください。
  • Google、および、Google Cloud Platformは、Google LLCの登録商標、もしくは商標です。

設定手順

次の手順で、ルーターの設定を行います。

  1. ルーターの設定(1)」に記載のConfigを参考に、ルーターでプロバイダーの設定をします。
  2.  Google Cloud Platformの仮想ネットワーク(IPsec)を設定します。
  3. 「ルーターの設定(2)」に記載のConfigを参考に、ルーターでIPsecの設定をします。
    IPsec IKEv1 の場合
    IPsec IKEv2 の場合

ルーターの設定(1)

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

ゲートウェイの設定 ip route default gateway pp 1
LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 192.168.100.1/24
WANインターフェースの設定
(LAN2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname (ISPへ接続するID) (ISPへ接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ppp ccp type none
ip pp address (ルーターの固定グローバルIPアドレス)
ip pp secure filter in 1020 1030 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107
ip pp nat descriptor 1
pp enable 1
フィルターの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.100.0/24 *
ip filter 1030 pass * 192.168.100.0/24 icmp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * submission
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
NATの設定 nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.100.1 udp 500
nat descriptor masquerade static 1 2 192.168.100.1 esp
nat descriptor masquerade static 1 3 192.168.100.1 udp 4500
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
DNSの設定 dns host lan1
dns server (ISPから指定されたDNSサーバーのIPアドレス)
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on

ルーターの設定(2)

IPsec IKEv1 の場合
IPsecトンネルの設定1 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac anti-replay-check=off
ipsec ike version 1 1
ipsec ike always-on 1 on
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on icmp-echo (BGP ピアリング IP アドレス1) # 注釈1
ipsec ike local address 1 (ルーターの固定グローバルIPアドレス)
ipsec ike local id 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike backward-compatibility 1 2
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text (事前共有鍵)
ipsec ike remote address 1 (Cloud VPNゲートウェイ IPアドレス1) # 注釈1
ipsec ike remote id 1 (Cloud VPNゲートウェイ IPアドレス1) # 注釈1
ip tunnel address (BGP ピアリング IP アドレス1) # 注釈1
ip tunnel remote address (Cloud Router の BGP IP アドレス1) # 注釈1
ip tunnel tcp mss limit auto
tunnel enable 1
IPsecトンネルの設定2 tunnel select 2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac anti-replay-check=off
ipsec ike version 2 1
ipsec ike always-on 2 on
ipsec ike encryption 2 aes-cbc
ipsec ike group 2 modp1024
ipsec ike hash 2 sha
ipsec ike keepalive log 2 on
ipsec ike keepalive use 2 on icmp-echo (BGP ピアリング IP アドレス2) # 注釈1
ipsec ike local address 2 (ルーターの固定グローバルIPアドレス)
ipsec ike local id 2 192.168.100.1
ipsec ike nat-traversal 2 on
ipsec ike backward-compatibility 2 2
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text (事前共有鍵)
ipsec ike remote address 2 (Cloud VPNゲートウェイ IPアドレス2) # 注釈1
ipsec ike remote id 2 (Cloud VPNゲートウェイ IPアドレス2) # 注釈1
ip tunnel address (BGP ピアリング IP アドレス2) # 注釈1
ip tunnel remote address (Cloud Router の BGP IP アドレス2) # 注釈1
ip tunnel tcp mss limit auto
tunnel enable 2
IPsecトンネル 共通設定 ipsec auto refresh on
BGPの設定 bgp use on
bgp autonomous-system (ピアルーター ASN) # 注釈1
bgp neighbor 1 (Cloud Router ASN) (Cloud Router の BGP IP アドレス1) local-address=(BGP ピアリング IP アドレス1) # 注釈1
bgp neighbor 2 (Cloud Router ASN) (Cloud Router の BGP IP アドレス2) local-address=(BGP ピアリング IP アドレス2) # 注釈1
bgp import filter 1 equal 192.168.100.0/24
bgp import (Cloud Router ASN) static filter 1 # 注釈1
BGPの設定 有効化 bgp configure refresh

注釈1:
各パラメーターは、Google Cloud Platformの「VPN トンネルの詳細」で確認できます。
トンネルごとに設定値をご確認ください。

説明画像
IPsec IKEv2 の場合
IPsecトンネルの設定1 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike version 1 2
ipsec ike always-on 1 on
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on rfc4306
ipsec ike local address 1 192.168.100.1
ipsec ike local name 1 (ルーターの固定グローバルIPアドレス) ipv4-addr
ipsec ike nat-traversal 1 on
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text (事前共有鍵)
ipsec ike remote address 1 (Cloud VPNゲートウェイ IPアドレス1) # 注釈1
ipsec ike remote name 1 (Cloud VPNゲートウェイ IPアドレス1) ipv4-addr # 注釈1
ip tunnel address (BGP ピアリング IP アドレス1) # 注釈1
ip tunnel remote address (Cloud Router の BGP IP アドレス1) # 注釈1
ip tunnel tcp mss limit auto
tunnel enable 1
IPsecトンネルの設定2 tunnel select 2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac
ipsec ike version 2 2
ipsec ike always-on 2 on
ipsec ike encryption 2 aes-cbc
ipsec ike group 2 modp1024
ipsec ike hash 2 sha
ipsec ike keepalive log 2 on
ipsec ike keepalive use 2 on rfc4306
ipsec ike local address 2 192.168.100.1
ipsec ike local name 2 (ルーターの固定グローバルIPアドレス) ipv4-addr
ipsec ike nat-traversal 2 on
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text (事前共有鍵)
ipsec ike remote address 2 (Cloud VPNゲートウェイ IPアドレス2) # 注釈1
ipsec ike remote name 2 (Cloud VPNゲートウェイ IPアドレス2) ipv4-addr # 注釈1
ip tunnel address (BGP ピアリング IP アドレス2) # 注釈1
ip tunnel remote address (Cloud Router の BGP IP アドレス2) # 注釈1
ip tunnel tcp mss limit auto
tunnel enable 2
IPsecトンネル 共通設定 ipsec auto refresh on
BGPの設定 bgp use on
bgp autonomous-system (ピアルーター ASN) # 注釈1
bgp neighbor 1 (Cloud Router ASN) (Cloud Router の BGP IP アドレス1) local-address=(BGP ピアリング IP アドレス1) # 注釈1
bgp neighbor 2 (Cloud Router ASN) (Cloud Router の BGP IP アドレス2) local-address=(BGP ピアリング IP アドレス2) # 注釈1
bgp import filter 1 equal 192.168.100.0/24
bgp import (Cloud Router ASN) static filter 1 # 注釈1
BGPの設定 有効化 bgp configure refresh

注釈1:
各パラメーターは、Google Cloud Platformの「VPN トンネルの詳細」で確認できます。
トンネルごとに設定値をご確認ください。

説明画像

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

メール

ご相談・お問い合わせ