Oracle Cloud Infrastructure ClassicとVPN(IPsec)接続するルーターの設定(NAT配下) : コマンド設定

本設定例では、IPsecトンネル機能を使用しています。

本機能の対応機種は、RTX5000RTX3500RTX1210RTX830NVR700Wです。

Oracle Cloud Infrastructure ClassicとVPN(IPsec)接続するルーターの設定(NAT配下) : コマンド設定

NAT boxの配下のヤマハルーター(以降、ルーター)から、Oracle Cloud Infrastructure Classic(以降、OCI Classic)へVPN接続するための設定手順を紹介します。

光回線に接続するためには、別途ONUが必要です。
NVR700Wは、本体のONUポートに小型ONUを装着することで、光回線に接続できます。

本設定例について

  • OCI Classicの仮想ネットワークとの接続を保証するものではありません。
  • 2019年2月11日現在の仕様に基づいて記載しています。確認しているファームウェアは以下のとおりです。今後、サービス内容の変更や、仕様変更などによって接続できなくなる可能性があります。
    RTX5000 Rev.14.00.26
    RTX3500 Rev.14.00.26
    RTX1210 Rev.14.01.28
    RTX830 Rev.15.02.03
    NVR700W Rev.15.00.14
  • OCI Classicに関する情報および設定方法については、日本オラクル株式会社 にお問い合わせください。

設定手順

次の手順で、ルーターを設定してください。

  1. 「ルーター(NAT box)の設定」に記載のConfigを参考に、ルーター(NAT box)でプロバイダーおよびNATの設定をします。
  2. 「ルーター(Customer Gateway)の設定(1)」に記載のConfigを参考に、ルーター(Customer Gateway)でNATなどの設定をします。
  3.  OCI Classicの仮想ネットワーク(IPsec)を設定します。
  4. 「ルーター(Customer Gateway)の設定(2)」に記載のConfigを参考に、ルーター(Customer Gateway)でIPsecの設定をします。

ルーター(NAT box)の設定

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

ゲートウェイの設定 ip route default gateway pp 1
ip route 192.168.100.0/24 gateway 192.168.0.254
LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 192.168.0.1/24
WANインターフェースの設定
(LAN2ポートを使用)
pp select 1
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname (ISPへ接続するID) (ISPへ接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp nat descriptor 1000
pp enable 1
NATの設定 nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.0.254 udp 500 # 注釈1
nat descriptor masquerade static 1000 2 192.168.0.254 esp # 注釈1
nat descriptor masquerade static 1000 3 192.168.0.254 udp 4500 # 注釈1
DNSの設定 dns server pp 1

ルーター(Customer Gateway)の設定(1)

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

ゲートウェイの設定 ip route default gateway 192.168.0.1
LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 192.168.100.1/24
WANインターフェースの設定
(LAN2ポートを使用)
ip lan2 address 192.168.0.254/24
ip lan2 nat descriptor 1000
NATの設定 nat descriptor type 1000 masquerade
nat descriptor address outer 1000 192.168.0.254
nat descriptor masquerade static 1000 1 (NAT boxのWAN側IPアドレス) udp 500 # 注釈1
nat descriptor masquerade static 1000 2 (NAT boxのWAN側IPアドレス) esp # 注釈1
nat descriptor masquerade static 1000 3 (NAT boxのWAN側IPアドレス) udp 4500 # 注釈1
DNSの設定 dns server 192.168.0.1
dns private address spoof on
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24

ルーター(Customer Gateway)の設定(2)

ゲートウェイの設定 ip route (VPNaaSのLAN側ネットワークアドレス) gateway tunnel 1
VPN(IPsec)の設定 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha256-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 28800
ipsec ike encryption 1 aes256-cbc
ipsec ike group 1 modp1536
ipsec ike hash 1 sha256
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd
ipsec ike local address 1 (NAT boxのWAN側IPアドレス)
ipsec ike nat-traversal 1 on
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text (VPNaaSの事前共有鍵)
ipsec ike remote address 1 (VPNaaSのグローバルIPアドレス)
ip tunnel tcp mss limit auto
tunnel enable 1
ヤマハ機器側から IPsecを始動しない設定 ipsec auto refresh off
ループバックアドレスの設定 ip loopback1 address (NAT boxのWAN側IPアドレス)/32

[注釈の説明]

注釈1:
VPN(IPsec)に関係するパケットを通過させる設定です。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。