IPsecを使用したVPN拠点間接続 + センター(UTX200) 経由インターネット接続 + センターは2回線使用

管理番号:YMHRT-23475

本設定例では、IPsecトンネル機能を使用しています。

IPsecトンネル機能の対応機種は、RTX5000RTX3500RTX1220RTX1210RTX830NVR700WUTX200UTX100FWX120vRXです。

構成図

IPsecを使用してセンターと拠点をVPN接続、インターネットの出入り口に UTM を配置する設定例です。
UTM を導入すると、ファイアウォールやマルウェア対策など、複数のセキュリティー対策を実現できます。

本設定例では、以下のような運用中の構成を変更することなく、UTM を追加することを前提として説明します。

構成図

なお、センターのルーターを UTM に置き換える場合は、IPsecを使用したVPN拠点間接続 + センター(UTX200) 経由インターネット接続 をご参照ください。

光回線に接続するためには、別途ONUが必要です。
NVR700Wは、本体のONUポートに小型ONUを装着することで、光回線に接続できます。

本機能の対応機種のうち、設定例を掲載している機種は、以下のとおりです。

機種 掲載内容 備考
センター UTX200(R80.20.25以降) Web GUI設定例  
RTX5000 RTX3500 RTX1220 RTX1210 コマンド設定例  
拠点 RTX1220 RTX1210 RTX830 NVR700W コマンド設定例  

センター UTM の設定

設定の概要

次の手順で設定を行います。

  1.  初期設定 を実施します。
  2.  ルーティングの設定 を実施します。
  3.  ライセンスの有効化 を実施します。

初期設定

1. UTM にアクセスします。
(1) UTM に接続したパソコンで、Webブラウザーを起動します。
(2) アドレスバーに「https://192.168.1.1:4434」と半角英字で入力し、Enterキーを押します。
(3)「詳細設定」をクリックします。

説明画像

2.「192.168.1.1 にアクセスする(安全ではありません)」をクリックします。

説明画像

3.「次へ」をクリックします。

説明画像

4. 管理ユーザーに関する設定をして、「次へ」をクリックします。

管理者名 任意のユーザー名
パスワード 任意の文字列
パスワードの確認 「パスワード」と同じ文字列
説明画像

5. 日付と時刻を設定して、「次へ」をクリックします。

説明画像

6. アプライアンスの名前を入力して、「次へ」をクリックします。

説明画像

7.「ローカル管理」を選択して、「次へ」をクリックします。

説明画像

8. インターネット接続に関する設定をして、「次へ」をクリックします。

接続タイプ PPPoE
ISP ログイン ユーザ名 ISP3へ接続するID
ISP ログイン パスワード ISP3へ接続するパスワード
説明画像

9.「いいえ」をクリックします。

説明画像

10. ローカルネットワークに関する設定をして、「次へ」をクリックします。

LANポートのスイッチを有効にする チェックを入れる
IP アドレス 192.168.100.200
サブネットマスク 255.255.255.0
DHCP サーバ 無効
説明画像

11. 管理者アクセスに関する設定をして、「次へ」をクリックします。

管理者アクセスを許可する発行元 「LAN」と「VPN」にチェックを入れる
上記で選択した発行元からのアクセスを
下記の IP アドレスから許可
インターネットからの指定 IP アドレス
インターネット以外からの任意の IP アドレス
説明画像

12.「次へ」をクリックします。

説明画像

13.「OK」をクリックします。

説明画像

14. 有効にする機能 (Software Blade) を選択して、「次へ」をクリックします。

説明画像

15.「完了」をクリックします。

説明画像

16. いったん本製品を再起動します。
  「デバイス」、「システム操作」、「再起動」の順にクリックします。

  ※初期設定ウィザードの設定を終えた後は、必ず再起動を実施してください。
   再起動を実施していない場合、インターネット接続などが正常に行われない可能性があります。

説明画像

17.「OK」をクリックします。

説明画像

18. 再起動が開始されます。

説明画像

19. 再起動後、手順10 で設定した、UTM で使用する IPアドレスにアクセスし、「詳細設定」をクリックします。
  本設定例では、「https://192.168.100.200:4434」にアクセスします。

説明画像

20.「192.168.100.200 にアクセスする(安全ではありません)」をクリックします。

説明画像

21. 手順4 で設定した管理ユーザーの情報を入力して、「ログイン」をクリックします。

説明画像

22. Web GUI のトップページが表示されます。

説明画像

ルーティングの設定

1.「デバイス」、ネットワークの「ルーティング」の順にクリックします。

説明画像

2.「新規」をクリックします。

説明画像

3. 宛先の下の「すべて」をクリックします。

説明画像

4. 宛先の設定をして、「OK」をクリックします。

宛先 指定 IP アドレス
IP アドレス 192.168.101.0
マスク 255.255.255.0
説明画像

5. ネクストホップの下の「該当なし」をクリックします。

説明画像

6. ネクストホップの設定をして、「OK」をクリックします。

ネクストホップ IP アドレス
IP アドレス 192.168.100.1
説明画像

7.「適用」をクリックします。

説明画像

8. ルーティングルールが追加されました。以上で、UTM の設定は完了です。

説明画像

ライセンスの有効化

トライアルライセンスの有効期間は30日です。トライアル期間内に「正式ライセンスの有効化」を実施してください。

センター ルーター(1) の設定

ゲートウェイの設定 ip route default gateway 192.168.100.200 # 注釈1
ip route (拠点の固定グローバルIPアドレス) gateway pp 1 # 注釈1
ip route 192.168.101.0/24 gateway tunnel 1
LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 192.168.100.1/24
WANインターフェースの設定
(LAN2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname (ISP1へ接続するID) (ISP1へ接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ppp ccp type none
ip pp address (センターの固定グローバルIPアドレス)
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
トンネルの設定 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike always-on 1 on
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on dpd
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike negotiate-strictly 1 on
ipsec ike pre-shared-key 1 text (事前共有鍵)
ipsec ike remote address 1 (拠点の固定グローバルIPアドレス)
ipsec ike remote id 1 192.168.101.0/24
ip tunnel tcp mss limit auto
tunnel enable 1
ipsec auto refresh on
NATの設定 nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.100.1 udp 500
nat descriptor masquerade static 1 2 192.168.100.1 esp
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
dhcp scope option 1 router=192.168.100.200 # 注釈2
DNSの設定 dns host lan1
dns server (ISP1から指定されたDNSサーバーのIPアドレス)

[注釈の説明]

注釈1:
インターネットへのデフォルトゲートウェイを UTX200 に変更します。

注釈2:
DHCPクライアントのデフォルトゲートウェイを UTX200 に変更します。

拠点 ルーター(2) の設定

ゲートウェイの設定 ip route default gateway tunnel 1
ip route (センターの固定グローバルIPアドレス) gateway pp 1
LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 192.168.101.1/24
WANインターフェースの設定
(LAN2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname (ISP2へ接続するID) (ISP2へ接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ppp ccp type none
ip pp address (拠点の固定グローバルIPアドレス)
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
トンネルの設定 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike always-on 1 on
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on dpd
ipsec ike local address 1 192.168.101.1
ipsec ike local id 1 192.168.101.0/24
ipsec ike negotiate-strictly 1 on
ipsec ike pre-shared-key 1 text (事前共有鍵)
ipsec ike remote address 1 (センターの固定グローバルIPアドレス)
ipsec ike remote id 1 192.168.100.0/24
ip tunnel tcp mss limit auto
tunnel enable 1
ipsec auto refresh on
NATの設定 nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.101.1 udp 500
nat descriptor masquerade static 1 2 192.168.101.1 esp
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.191/24
DNSの設定 dns host lan1
dns server (ISP2から指定されたDNSサーバーのIPアドレス)

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

メール

ご相談・お問い合わせ