IPsecを使用したVPN拠点間接続(IPv6 IPoE) : コマンド設定

管理番号:YMHRT-21784

本設定例では、IPsecトンネル機能を使用しています。

IPsecトンネル機能の対応機種は、RTX5000RTX3500RTX1220RTX1210RTX830NVR700WFWX120vRXです。

構成図

IPv6 IPoEでインターネットに接続して、拠点間のVPN(IPsec)接続を行う構成です。
本設定例では、ネットボランチDNSサーバーに登録した名前(ホストアドレス)を利用して、VPN接続を行います。
ネットボランチDNSの詳細は、「ネットボランチDNSサービスとは」をご覧ください。

IPv6は、ひかり電話を契約していない場合(RAプロキシ)と、ひかり電話を契約している場合(DHCPv6-PD)とで、設定が異なります。事前にひかり電話の契約をご確認ください。
本ページでは、ルーター(1)は「ひかり電話なし」の設定例、ルーター(2)は「ひかり電話あり」の設定例を掲載します。

光回線に接続するためには、別途ONUが必要です。
NVR700Wは、本体のONUポートに小型ONUを装着することで、光回線に接続できます。

本機能の対応機種のうち、設定例を掲載している機種は、以下のとおりです。

機種 掲載内容 備考
拠点1 RTX5000 RTX3500 RTX1220 RTX1210 RTX830 NVR700W コマンド設定例 ひかり電話契約なし
拠点2 RTX5000 RTX3500 RTX1220 RTX1210 RTX830 NVR700W コマンド設定例 ひかり電話契約あり

拠点1 ルーター(1)の設定例:ひかり電話契約なし

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

ゲートウェイの設定 ipv6 route default gateway dhcp lan2
ip route 192.168.102.0/24 gateway tunnel 1
LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 192.168.101.1/24
WANインターフェースの設定
(LAN2ポートを使用)
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
netvolante-dns hostname host lan1 server=1 (ネットボランチDNSホストアドレス) ipv6 address # 注釈1
ipv6 lan2 secure filter in 1010 1011 1012 1013 1040 1041 1042
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 118 119
ipv6 lan2 dhcp service client ir=on
VPN(IPsec)の設定 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text (拠点2との事前共有鍵)
ipsec ike remote address 1 (拠点2のネットボランチDNSホストアドレス)
ip tunnel tcp mss limit auto
tunnel enable 1
ipsec auto refresh on
フィルターの設定 ipv6 filter 1010 pass * * icmp6 * *
ipv6 filter 1011 pass * * tcp * ident
ipv6 filter 1012 pass * * udp * 546
ipv6 filter 1013 pass * * 4
ipv6 filter 1040 pass * * udp * 500
ipv6 filter 1041 pass * * esp
ipv6 filter 1042 pass * * udp * 4500
ipv6 filter 3000 pass * * * * *
ipv6 filter dynamic 100 * * ftp
ipv6 filter dynamic 101 * * domain
ipv6 filter dynamic 102 * * www
ipv6 filter dynamic 103 * * smtp
ipv6 filter dynamic 104 * * pop3
ipv6 filter dynamic 105 * * submission
ipv6 filter dynamic 118 * * tcp
ipv6 filter dynamic 119 * * udp
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.191/24
DNSの設定 dns host lan1
dns server dhcp lan2

拠点2 ルーター(2)の設定例:ひかり電話契約あり

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

ゲートウェイの設定 ipv6 route default gateway dhcp lan2
ip route 192.168.101.0/24 gateway tunnel 1
LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 192.168.102.1/24
WANインターフェースの設定
(LAN2ポートを使用)
ipv6 lan1 address dhcp-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 prefix 1 dhcp-prefix@lan2::/64
ipv6 lan1 dhcp service server
ip lan2 address dhcp
ipv6 lan2 address dhcp
ipv6 lan2 secure filter in 1010 1011 1012 1013 1040 1041 1042
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 118 119
ipv6 lan2 dhcp service client
ngn type lan2 ntt
netvolante-dns hostname host lan2 server=1 (ネットボランチDNSホストアドレス) ipv6 address # 注釈1
VPN(IPsec)の設定 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text (拠点1との事前共有鍵)
ipsec ike remote address 1 (拠点1のネットボランチDNSホストアドレス)
ip tunnel tcp mss limit auto
tunnel enable 1
ipsec auto refresh on
フィルターの設定 ipv6 filter 1010 pass * * icmp6 * *
ipv6 filter 1011 pass * * tcp * ident
ipv6 filter 1012 pass * * udp * 546
ipv6 filter 1013 pass * * 4
ipv6 filter 1040 pass * * udp * 500
ipv6 filter 1041 pass * * esp
ipv6 filter 1042 pass * * udp * 4500
ipv6 filter 3000 pass * * * * *
ipv6 filter dynamic 100 * * ftp
ipv6 filter dynamic 101 * * domain
ipv6 filter dynamic 102 * * www
ipv6 filter dynamic 103 * * smtp
ipv6 filter dynamic 104 * * pop3
ipv6 filter dynamic 105 * * submission
ipv6 filter dynamic 118 * * tcp
ipv6 filter dynamic 119 * * udp
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.102.2-192.168.102.191/24
DNSの設定 dns host lan1
dns server dhcp lan2
電話の設定 sip use on # 注釈2

[注釈の説明]

注釈1:
ネットボランチDNSへ名前を登録する手順

(1) 名前の設定
  まず、次のコマンドを実行してください。
  netvolante-dns hostname host [INTERFACE] [HOSTNAME] ipv6 address
  HOSTNAMEには登録したい名前を設定してください。

(2) ネットボランチDNSへの登録
  次のコマンドを実行してください。
  netvolante-dns go [INTERFACE]
  このときに、ルーターはネットボランチDNSに対して登録を行います。
  登録が成功すると、設定の変更を保存するかどうかを確認します。'y'と入力し、設定を確定してください。

希望のホスト名から、「HOSTNAME.xxx.netvolante.jp」のようなホストアドレスが設定されます。
詳細は、RTシリーズのネットボランチDNSサービスに関するFAQ をご参照ください。

注釈2:
電話を利用しない場合、設定は不要です。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

メール

ご相談・お問い合わせ