管理番号:YMHRT-23475
(最終更新日: 2023/7/12)
本設定例では、IPsecトンネル機能を使用しています。
IPsecトンネル機能の対応機種は、RTX5000、RTX3510、RTX3500、RTX1300、RTX1220、RTX1210、RTX830、NVR700W、UTX200、UTX100、FWX120、vRXです。
IPsecを使用してセンターと拠点をVPN接続、インターネットの出入り口に UTM を配置する設定例です。
UTM を導入すると、ファイアウォールやマルウェア対策など、複数のセキュリティー対策を実現できます。
本設定例では、以下のような運用中の構成を変更することなく、UTM を追加することを前提として説明します。
拠点 ルーター(2) の設定(Config) # UTM 導入後も、設定は変わりません。
なお、センターのルーターを UTM に置き換える場合は、IPsecを使用したVPN拠点間接続 + センター(UTX200) 経由インターネット接続 をご参照ください。
光回線に接続するためには、別途ONUが必要です。
NVR700Wは、本体のONUポートに小型ONUを装着することで、光回線に接続できます。
本機能の対応機種のうち、設定例を掲載している機種は、以下のとおりです。
| 機種 | 掲載内容 | 備考 | |
|---|---|---|---|
| センター | UTX200(R80.20.25以降) | Web GUI設定例 | |
| RTX5000 RTX3510 RTX3500 RTX1300 RTX1220 RTX1210 | コマンド設定例 | ||
| 拠点 | RTX1300 RTX1220 RTX1210 RTX830 NVR700W | コマンド設定例 |
次の手順で設定を行います。
1. UTM にアクセスします。
(1) UTM に接続したパソコンで、Webブラウザーを起動します。
(2) アドレスバーに「https://192.168.1.1:4434」と半角英字で入力し、Enterキーを押します。
(3)「詳細設定」をクリックします。
2.「192.168.1.1 にアクセスする(安全ではありません)」をクリックします。
3.「次へ」をクリックします。
4. 管理ユーザーに関する設定をして、「次へ」をクリックします。
| 管理者名 | 任意のユーザー名 |
|---|---|
| パスワード | 任意の文字列 |
| パスワードの確認 | 「パスワード」と同じ文字列 |
5. 日付と時刻を設定して、「次へ」をクリックします。
6. アプライアンスの名前を入力して、「次へ」をクリックします。
7.「ローカル管理」を選択して、「次へ」をクリックします。
8. インターネット接続に関する設定をして、「次へ」をクリックします。
| 接続タイプ | PPPoE |
|---|---|
| ISP ログイン ユーザ名 | ISP3へ接続するID |
| ISP ログイン パスワード | ISP3へ接続するパスワード |
9.「いいえ」をクリックします。
10. ローカルネットワークに関する設定をして、「次へ」をクリックします。
| LANポートのスイッチを有効にする | チェックを入れる |
|---|---|
| IP アドレス | 192.168.100.200 |
| サブネットマスク | 255.255.255.0 |
| DHCP サーバ | 無効 |
11. 管理者アクセスに関する設定をして、「次へ」をクリックします。
| 管理者アクセスを許可する発行元 | 「LAN」と「VPN」にチェックを入れる |
|---|---|
| 上記で選択した発行元からのアクセスを 下記の IP アドレスから許可 |
インターネットからの指定 IP アドレス インターネット以外からの任意の IP アドレス |
12.「次へ」をクリックします。
13.「OK」をクリックします。
14. 有効にする機能 (Software Blade) を選択して、「次へ」をクリックします。
15.「完了」をクリックします。
16. いったん本製品を再起動します。
「デバイス」、「システム操作」、「再起動」の順にクリックします。
※初期設定ウィザードの設定を終えた後は、必ず再起動を実施してください。
再起動を実施していない場合、インターネット接続などが正常に行われない可能性があります。
17.「OK」をクリックします。
18. 再起動が開始されます。
19. 再起動後、手順10 で設定した、UTM で使用する IPアドレスにアクセスし、「詳細設定」をクリックします。
本設定例では、「https://192.168.100.200:4434」にアクセスします。
20.「192.168.100.200 にアクセスする(安全ではありません)」をクリックします。
21. 手順4 で設定した管理ユーザーの情報を入力して、「ログイン」をクリックします。
22. Web GUI のトップページが表示されます。
1.「デバイス」、ネットワークの「ルーティング」の順にクリックします。
2.「新規」をクリックします。
3. 宛先の下の「すべて」をクリックします。
4. 宛先の設定をして、「OK」をクリックします。
| 宛先 | 指定 IP アドレス |
|---|---|
| IP アドレス | 192.168.101.0 |
| マスク | 255.255.255.0 |
5. ネクストホップの下の「該当なし」をクリックします。
6. ネクストホップの設定をして、「OK」をクリックします。
| ネクストホップ | IP アドレス |
|---|---|
| IP アドレス | 192.168.100.1 |
7.「適用」をクリックします。
8. ルーティングルールが追加されました。以上で、UTM の設定は完了です。
トライアルライセンスの有効期間は30日です。トライアル期間内に「正式ライセンスの有効化」を実施してください。
| ゲートウェイの設定 | ip route default gateway 192.168.100.200 # 注釈1 ip route (拠点の固定グローバルIPアドレス) gateway pp 1 # 注釈1 ip route 192.168.101.0/24 gateway tunnel 1 |
|---|---|
| LANインターフェースの設定 (LAN1ポートを使用) |
ip lan1 address 192.168.100.1/24 |
| WANインターフェースの設定 (LAN2ポートを使用) |
pp select 1 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname (ISP1へ接続するID) (ISP1へ接続するパスワード) ppp lcp mru on 1454 ppp ipcp msext on ppp ccp type none ip pp address (センターの固定グローバルIPアドレス) ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 |
| トンネルの設定 | tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike encryption 1 aes-cbc ipsec ike group 1 modp1024 ipsec ike hash 1 sha ipsec ike keepalive log 1 on ipsec ike keepalive use 1 on dpd ipsec ike local address 1 192.168.100.1 ipsec ike local id 1 192.168.100.0/24 ipsec ike negotiate-strictly 1 on ipsec ike pre-shared-key 1 text (事前共有鍵) ipsec ike remote address 1 (拠点の固定グローバルIPアドレス) ipsec ike remote id 1 192.168.101.0/24 tunnel enable 1 ipsec auto refresh on |
| NATの設定 | nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.100.1 udp 500 nat descriptor masquerade static 1 2 192.168.100.1 esp |
| DHCPの設定 | dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.2-192.168.100.191/24 dhcp scope option 1 router=192.168.100.200 # 注釈2 |
| DNSの設定 | dns host lan1 dns server (ISP1から指定されたDNSサーバーのIPアドレス) |
注釈1:
インターネットへのデフォルトゲートウェイを UTX200 に変更します。
注釈2:
DHCPクライアントのデフォルトゲートウェイを UTX200 に変更します。
下記の設定(Config)を取り出すことができます。 # UTM 導入前から設定は変わりません。
| ゲートウェイの設定 | ip route default gateway tunnel 1 ip route (センターの固定グローバルIPアドレス) gateway pp 1 |
|---|---|
| LANインターフェースの設定 (LAN1ポートを使用) |
ip lan1 address 192.168.101.1/24 |
| WANインターフェースの設定 (LAN2ポートを使用) |
pp select 1 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname (ISP2へ接続するID) (ISP2へ接続するパスワード) ppp lcp mru on 1454 ppp ipcp msext on ppp ccp type none ip pp address (拠点の固定グローバルIPアドレス) ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 |
| トンネルの設定 | tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike encryption 1 aes-cbc ipsec ike group 1 modp1024 ipsec ike hash 1 sha ipsec ike keepalive log 1 on ipsec ike keepalive use 1 on dpd ipsec ike local address 1 192.168.101.1 ipsec ike local id 1 192.168.101.0/24 ipsec ike negotiate-strictly 1 on ipsec ike pre-shared-key 1 text (事前共有鍵) ipsec ike remote address 1 (センターの固定グローバルIPアドレス) ipsec ike remote id 1 192.168.100.0/24 tunnel enable 1 ipsec auto refresh on |
| NATの設定 | nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.101.1 udp 500 nat descriptor masquerade static 1 2 192.168.101.1 esp |
| DHCPの設定 | dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.101.2-192.168.101.191/24 |
| DNSの設定 | dns host lan1 dns server (ISP2から指定されたDNSサーバーのIPアドレス) |
ご相談・お問い合わせ