IDCFクラウドの仮想ネットワーク(IPsec)を設定する

管理番号:YMHRT-20813

本設定例では、IPsecトンネル機能を使用しています。

本設定例の対応機種は、RTX5000RTX3500RTX1210RTX830NVR700Wです。

構成図

ヤマハルーター(以降、ルーター)とVPN接続するための、IDCFクラウドの設定手順を紹介します。

本設定例では、IPIPトンネルを設定し、その上でIPsecトンネルを設定します。IPIPトンネルを接続するために、以下のIPアドレスを使用することを前提とします。

  • クラウド側 仮想マシン:172.16.123.1
  • 本社側 ルーター:172.16.123.2

IDCFクラウドの設定を行う前に、ルーター(カスタマーゲートウェイ)の以下の情報をご準備ください。

  • WAN側アドレスとして使用する固定グローバルIPアドレス
  • LAN側ネットワークアドレス(192.168.100.0/24)

本設定例について

  • IDCFクラウドの仮想ネットワークとの接続を保証するものではありません。
  • 2020年1月現在の仕様に基づいて記載しています。確認しているファームウェアは下記のとおりです。今後、サービス内容の変更や、仕様変更などによって接続できなくなる可能性があります。
    RTX5000 Rev.14.00.26
    RTX3500 Rev.14.00.26
    RTX1210 Rev.14.01.35
    RTX830 Rev.15.02.14
    NVR700W Rev.15.00.16
  • IDCFクラウドに関する情報および設定方法については、株式会社IDCフロンティアにお問い合わせください。
  • 下記の設定手順は、Windows 10、Google Chrome で表示した画面を使用しています。

IDCFクラウドの設定例

設定の概要

以下の手順で設定を行います。

仮想マシンの作成

1. IDCFクラウドにログインして、「コンピュート」をクリックします。

説明画像

2.「仮想マシン作成」をクリックします。

説明画像

3.「マシンタイプ」の「light.S2」をクリックします。

説明画像

4.「イメージ」の「その他」をクリックします。

説明画像

5.「VyOS 1.1.3 64-bit」が選択されていることを確認します。

説明画像

6.「SSH Key」の「作成」をクリックします。

説明画像

7. 任意の名前を入力して、「作成」をクリックします。

説明画像

8.「はい」をクリックします。

説明画像

9. SSH Keyが作成されました。ダウンロードされたテキストファイルを、任意の場所に保存します。
   ※SSH Keyは、仮想マシンにSSH接続をするときに使用します。大切に保管しておいてください。

説明画像

10. 画面下方の「確認画面へ」をクリックします。

説明画像

11. 設定内容を確認して問題がなければ、「作成」をクリックします。

説明画像

12. ステータスを確認します。「Starting」が「Running」と表示されるまで、1分程度待ちます。

説明画像

13.「Running」と表示されました。仮想マシンの作成が完了しました。
   ※登録してあるメールアドレス宛に、仮想マシン作成のメールが届きます。メールには、仮想マシンにSSH接続をするときに
     使用するパスワードが記載されています。大切に保管しておいてください。

説明画像

14. 作成した仮想マシン名をクリックします。

説明画像

15.「NIC」をクリックします。

説明画像

16. 仮想マシンのIPアドレスとネットワークCIDRをひかえ、「×」をクリックします。
   ※仮想マシンのIPアドレスとネットワークCIDRは、VPNの設定やルーターの設定で使用します。

説明画像

ネットワークの設定

1.「IPアドレス」をクリックします。

説明画像

2.「IPアドレス取得」をクリックします。

説明画像

3. 任意の「IPアドレス名」を入力して、「取得する」をクリックします。

説明画像

4.「はい」をクリックします。

説明画像

5. 仮想マシンのグローバルIPアドレスを取得しました。IPアドレスをひかえ、「×」をクリックします。
   ※グローバルIPアドレスは、仮想マシンにSSH接続をするときに使用します。

説明画像

6.「手順3 で設定したIPアドレス名」をクリックします。

説明画像

7.「NAT」をクリックします。

説明画像

8.「有効化」をクリックします。

説明画像

9.「はい」をクリックします。

説明画像

10.「ファイアウォール」をクリックします。

説明画像

11. ファイアウォールの設定をして、「+」をクリックします。

コメント ソースCIDR タイプ ポートレンジ
ping Any Ping ICMP 8, 0
説明画像

12.「はい」をクリックします。

説明画像

13. 手順11,12 にしたがって、以下のファイアウォールの設定をします。

コメント ソースCIDR タイプ ポートレンジ
ssh Any Custom TCP 22
udp500 Any Custom UDP 500
udp4500 Any Custom UDP 4500
説明画像

14. ファイアウォールの設定が完了しました。「×」をクリックします。

説明画像

15. 以上で、ネットワークの設定は完了です。

説明画像

VPNの設定

1. Tera Term を開き、「Tera Term: 新しい接続」を設定して、「OK」をクリックします。

接続先 TCP/IP
ホスト 仮想マシンのグローバルIPアドレス
サービス SSH
説明画像

2. SSH認証を設定して、「OK」をクリックします。

ユーザ名 vyos(固定)
パスフレーズ 仮想マシンの作成 手順13」で受信したメールに記載のパスワード
認証方式 RSA/DSA/ECDSA/ED25519鍵を使う
認証方式 >
RSA/DSA/ECDSA/ED25519鍵を使う
仮想マシンの作成 手順9」で保存した秘密鍵(SSH Key)
説明画像

3. 仮想マシンにログインしました。

説明画像

4. 以下のコマンドを実行して、VPNの設定をします。

1. 設定モードへ遷移
configure
2. IPIP トンネルの設定
set interfaces tunnel tun0 address 172.16.123.1/24
set interfaces tunnel tun0 encapsulation ipip
set interfaces tunnel tun0 local-ip (仮想マシンの作成 で確認したIPアドレス)
set interfaces tunnel tun0 mtu 1422
set interfaces tunnel tun0 remote-ip (ルーターのグローバルIPアドレス)
3. IPsec トンネルの設定
set vpn ipsec ipsec-interfaces interface eth0
set vpn ipsec ike-group IKE-G proposal 1 encryption 3des
set vpn ipsec ike-group IKE-G proposal 1 hash md5
set vpn ipsec ike-group IKE-G lifetime 3600
set vpn ipsec esp-group ESP-G proposal 1 encryption 3des
set vpn ipsec esp-group ESP-G proposal 1 hash md5
set vpn ipsec esp-group ESP-G lifetime 1800
set vpn ipsec site-to-site peer 172.16.123.2 ike-group IKE-G
set vpn ipsec site-to-site peer 172.16.123.2 default-esp-group ESP-G
set vpn ipsec site-to-site peer 172.16.123.2 authentication mode pre-shared-secret
set vpn ipsec site-to-site peer 172.16.123.2 authentication pre-shared-secret my_shared_secret
set vpn ipsec site-to-site peer 172.16.123.2 local-address 172.16.123.1
set vpn ipsec site-to-site peer 172.16.123.2 tunnel 1 local prefix (仮想マシンの作成 で確認したネットワークCIDR)/22
set vpn ipsec site-to-site peer 172.16.123.2 tunnel 1 remote prefix (ルーターのLAN側ネットワークアドレス)/24
4. ファイアウォールの設定
set firewall name FW_RULE rule 100 action accept
set firewall name FW_RULE rule 100 source address (仮想マシンの作成 で確認したネットワークCIDR)/22
set firewall name FW_RULE rule 110 action accept
set firewall name FW_RULE rule 110 source address (ルーターのLAN側ネットワークアドレス)/24
5. 設定の反映と保存
commit
save
sudo /etc/init.d/ipsec restart

以上で、IDCFクラウドの設定は完了です。
続けてルーターの設定を行う場合は、IDCFクラウドとVPN(IPsec)接続するルーターの設定 をご覧ください。


【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。