IPsecを使用したVPN拠点間接続(2拠点) : センター(UTX200 ルーターモード) + 拠点(UTX100 ブリッジモード)

管理番号:YMHRT-22812 
(最終更新日: 2023/7/12)

本設定例では、IPsecトンネル機能を使用しています。

IPsecトンネル機能の対応機種は、RTX5000RTX3510RTX3500RTX1300RTX1220RTX1210RTX830NVR700WUTX200UTX100FWX120vRXです。

構成図

IPsecを使用して、センターと拠点をVPN接続する設定例です。

本設定例では、センターの UTX200(ルーターモード) と、拠点のヤマハルーター(以降、ルーター) をVPNで接続します。
拠点側のルーター配下に UTX100(ブリッジモード) を設置することで、センター、拠点ともに、UTM で備えているすべてのセキュリティーが適用されます。

本ページでは、以下の設定であることを前提として説明します。

  • センター、拠点ともに、固定グローバルIPアドレスを割り当てられている
  • センターのLAN側ネットワークアドレス:192.168.101.0/24
  • 拠点のLAN側ネットワークアドレス:192.168.102.0/24

※ UTM でIPsecトンネル機能を利用するためには、UTM をルーターモードで運用する必要があります。

光回線に接続するためには、別途ONUが必要です。
NVR700Wは、本体のONUポートに小型ONUを装着することで、光回線に接続できます。

本機能の対応機種のうち、設定例を掲載している機種は、以下のとおりです。

機種 掲載内容 備考
センター UTX200 Web GUI設定例 ルーターモード
拠点 RTX830 NVR700W コマンド設定例  
UTX100 Web GUI設定例 ブリッジモード

センター UTM の設定

設定の概要

次の手順で設定を行います。

  1.  初期設定 (ルーターモード) を実施します。
  2.  IPsecの設定 を実施します。

IPsecの設定

1. Web GUI のトップページを表示します。

説明画像

2.「VPN」、サイト間 VPNの「ブレードコントロール」の順にクリックします。

説明画像

3. サイト間VPNコントロールの設定をして、「適用」をクリックします。

サイト間 VPN オン
サイト間 VPN
  > リモートサイトからのトラフィックを許可
チェックを入れる
説明画像

4.「VPN」、サイト間 VPNの「VPN サイト」の順にクリックします。

説明画像

5.「新規」をクリックします。

説明画像

6. リモートサイトの設定をします。

サイト名 任意の文字列
接続タイプ ホスト名または IP アドレス
接続タイプ > IP アドレス 拠点の固定グローバルIPアドレス
接続タイプ > IP アドレス > 静的 NAT で隠す チェックを外す
プリシェアード シークレット > パスワード 事前共有鍵
プリシェアード シークレット > 確認 「パスワード」と同じ事前共有鍵
暗号化ドメイン リモート ネットワーク トポロジを手動で定義
説明画像

7. 暗号化ドメインの「新規」をクリックします。

説明画像

8. 新しい ネットワークオブジェクトの設定をして、「適用」をクリックします。

タイプ ネットワーク
ネットワーク アドレス 拠点のLAN側ネットワークアドレス
サブネット マスク 拠点のLAN側サブネットマスク
オブジェクト名 任意の文字列
説明画像

9.「暗号化」タブをクリックします。

説明画像

10. 暗号化の設定をします。

暗号化設定 Custom
IKE(フェーズ 1) > 暗号化 AES-128
IKE(フェーズ 1) > 認証 SHA1
IKE(フェーズ 1) > Diffie-Hellmanグループサポート Group 2 (1024 bit)
IKE(フェーズ 1) > 再ネゴシエーション間隔 480
IPSec(フェーズ 2) > 暗号化 AES-128
IPSec(フェーズ 2) > 認証 SHA1
IPSec(フェーズ 2) > 再ネゴシエーション間隔 28800
説明画像

11.「詳細」タブをクリックします。

説明画像

12. 以下の設定をして、「適用」をクリックします。

リモート ゲートウェイが Yamaha UTMアプライアンス チェックを外す
このサイトの NAT を無効にする チェックを入れる
暗号化メソッド IKEv1
説明画像

13.「スキップ」をクリックします。

説明画像

14.「VPN」、サイト間 VPNの「詳細」の順にクリックします。

説明画像

15. 以下の設定をして「適用」をクリックします。

トンネル ヘルスのモニタリング メソッド DPD(Dead Peer Detection)
DPD(Dead Peer Detection) レスポンダ モードを使用 チェックを入れる
説明画像

16.「デバイス」、「詳細設定」の順にクリックします。

説明画像

17. 検索欄に「トンネル共有」と入力します。

説明画像

18. 検索結果から「VPN サイト間のグローバル設定 - VPN トンネル共有」を選択し、「編集」をクリックします。

説明画像

19.「VPN トンネル共有」の設定を「ゲートウェイ」に変更して、「適用」をクリックします。

説明画像

20. 値が「ゲートウェイ」に変更されていることを確認します。

説明画像

21. 検索欄に「ゲートウェイからの暗号化」と入力します。

説明画像

22. 検索結果から「VPN サイト間のグローバル設定 - ローカル ゲートウェイ…」を選択して、「編集」をクリックします。

説明画像

23.「ローカル ゲートウェイからの暗号化接続に内部 IP アドレスを使用」にチェックを入れて、「適用」をクリックします。

説明画像

24. 値が「true」に変更されていることを確認します。以上で、センターの UTM の設定は完了です。

説明画像

拠点 の設定

設定の概要

次の手順でルーター、および、UTM の設定を行います。

  1.  ルーターの設定 を実施します。
  2.  UTM で 初期設定 (ブリッジモード) を実施します。
  3.  UTM で センターからのアクセスを許可する設定 を実施します。

ルーターの設定

ゲートウェイの設定 ip route default gateway tunnel 1
ip route (センターの固定グローバルIPアドレス) gateway pp 1 # 注釈1
LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 192.168.102.1/24
WANインターフェースの設定
(LAN2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname (ISPへ接続するID) (ISPへ接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ppp ccp type none
ip pp address (拠点の固定グローバルIPアドレス)
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
トンネルの設定 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike always-on 1 on
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on dpd
ipsec ike local address 1 192.168.102.1
ipsec ike local id 1 192.168.102.0/24
ipsec ike negotiate-strictly 1 on
ipsec ike pre-shared-key 1 text (事前共有鍵)
ipsec ike remote address 1 (センターの固定グローバルIPアドレス) # 注釈1
ipsec ike remote id 1 192.168.101.0/24
tunnel enable 1
ipsec auto refresh on
NATの設定 nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.102.1 udp 500
nat descriptor masquerade static 1 2 192.168.102.1 esp
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.102.2-192.168.102.191/24
DNSの設定 dns host lan1
dns server (ISPから指定されたDNSサーバーのIPアドレス)

[注釈の説明]

注釈1:
「デバイス」、「インターネット」の順にクリックすると、センターで使用しているグローバルIPアドレスを確認できます。

説明画像

センターからのアクセスを許可する設定

初期設定 (ブリッジモード) が実施済みであることを前提に説明します。

1. Web GUI のトップページを表示します。

説明画像

2.「デバイス」、「管理者 アクセス」の順にクリックします。

説明画像

3.「新規」をクリックします。

説明画像

4. 管理者アクセスを許可するネットワークの設定をして、適用をクリックします。

タイプ IPv4 ネットワーク
ネットワーク IP 192.168.101.0
サブネットマスク 255.255.255.0
説明画像

5.「適用」をクリックします。

説明画像

6.「アクセスポリシー」、ファイアウォールの「ポリシー」の順にクリックします。

説明画像

7. 着信、内部およびVPN トラフィック の「新規」をクリックします。

説明画像

8. ソース の下の「* すべて」をクリックします。

説明画像

9.「新規」をクリックします。

説明画像

10.「ネットワーク オブジェクト」をクリックします。

説明画像

11. 通信を許可するネットワークの設定をして、適用をクリックします。

タイプ ネットワーク
ネットワーク アドレス 192.168.101.0
サブネット マスク 255.255.255.0
説明画像

12.「適用」をクリックします。

説明画像

13. 着信、内部およびVPN トラフィック に、設定した内容が追加されていることを確認します。以上で、拠点の UTM の設定は完了です。

説明画像

VPNトンネルの確認

センターの UTM のWeb GUI で「VPN」、「VPN トンネル」の順にクリックすると、確立している VPNトンネルを確認できます。
VPNトンネルが確立していない場合、サイト名などは表示されません。

説明画像

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

メール

ご相談・お問い合わせ