YAMAHA VPN のバックアップ(No.1)

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
YAMAHA VPN へ行く。
- 1 (2012-04-17 (火) 09:50:36)
- 2 (2014-07-25 (金) 05:53:42)

用語 †

AH(Authentication Header)	認証ヘッダ
ESP(Encapsulating Security Protocol)	暗号化ヘッダ
SA(Security Association)	鍵交換と暗号化通信に用いられる暗号化通信路をSAと呼ぶ。
IKE(Internet Key Exchange)	鍵交換の準備プロセス
ISAKMP(Internet Security Association and Key Management Protocol)	鍵交換用暗号化通信路
ISAKMP SA(アイサキャンプ：エスエー)	鍵交換に使用する暗号化された通信路。IKEによって生成・維持する。1回線のISAKMP SAで双方向通信を可能にする。
IPsec SA(アイピーセック・エスエー)	本番の暗号化通信で使用する暗号化通信路。ISAKMP SAと違って片方向通信なので、双方向の通信には二本のIPSecSAが必要になる。またIPsecSAには有効期限があり、最初に設定した有効期限が近づくと自動的に新しい鍵とIPsecSAを生成して、そちらに処理を移すようになっている。これをre-keyという。
プロポーザル	IPsec通信で使用する暗号化通信や認証アルゴリズムを相手側に提示すること。複数のアルゴリズムから任意のものを選択して利用できる為こうした手続きが必要になる。
イニシエータ	製品によっては『起動者』ともいう。プロポーザルを送りつけてIPsec通信の開始要求を受け付ける側のこと。アグレッシブモ-ドを使用する場合に限りイニシエータ側のIPは固定にしなくて良い。
レスポンダ	製品によっては『応答者』ともいう。プロポーザルに応答して、IPsec通信の開始要求を受け付ける側の事。アグレッシブモードでもアグレッシブモードでも、レスポンダは固定IPアドレスを持っている必要がある。
DES/3DES/AES	いずれもIPsecによる暗号化通信で使用する共通鍵暗号アルゴリズムの名称。３DESはDESを三段構えで使用することで暗号強度を高めた方式。AESは次世代の共通あのｸﾞかアルゴリズムでEDSよりも安全性が高い。
一方向ハッシュ関数	あるビット列を入力すると、別のビット列を出力する関数。生成した値(ハッシュ値)から元の値を逆算出来ない為、『一方向』という名称がある。元のビット列が1ビットでも変化すると、生成されるビット列がまったく異なった内容になる特徴がある為、送信側と受信側でそれぞれハッシュ関数を適用してみて、生成した値が異なっていると『改ざんがあった』と判断できる。
MD5、SHA-1	いずれもIPsecで通信内容の改竄検出や出自の証明などに使用する一方向ハッシュ関数アルゴリズム。SHA-1の方が強度が強い。
HMAC(Hashed Vased Message Authentication Code)	一方向ハッシュ関数でハッシュ値を求める際に、双方の当事者だけが持っている(ことになっている)暗号化用の秘密鍵の情報を加味する手法のこと。通信毛色の途上でデータを傍受してハッシュ値計算しても、それは秘密鍵の情報を含んでいない為、生成されるハッシュ値は本来の値と異なったものになる点がミソ。HMACは、MD5とSHA-1のいずれに対しても適用可能だが、正常に機能するには双方が安全な形で同じ秘密鍵を共有している必要がある。
Diffie-Hellman	双方の当事者が本来の鍵情報をやり取りせず、鍵情報生成の基になる乱数をやり取りする事で、安全に共通鍵を生成する手法。
PFS(Perfect Forward Secrecy)	Diffie-Hellmanアルゴリズムを利用するIPsecオプション。

IPsecにおける
非カプセル化通信をトランスポートモード
カプセル化通信をトンネルモード

一般的にはトンネルモード＋暗号化(ESP)の組み合わせが標準となる。

IPsecでは最初にIKE(Internet Key Exchange)プロセスを利用して通信相手の確認と暗号化に必要な鍵情報の交換に必要な通信路を確保する。

↑

IKEメインモードの動き †

プロポーザルの送信
利用するアルゴリズムの選択
ISAKMP SAで使用する暗号化用の鍵生成
接続相手の認証
ISAKMP SAの確立

↑

IKEアグレッシブモードの動き(フェーズ１) †

プロポーザルの送信
利用するアルゴリズムの選択
ISAKMP SAの確立

↑

IKEアグレッシブモードの動き(フェーズ２) †

IPsecの動作内容を指定する
提出内容の受諾と鍵生成
IPsec用の共通鍵生成
IPsec SAの確立
IPsec SA確立後のre-key

↑

ネットボランチDNSサービス †

ネットボランチDNSサービスはIPアドレスの変動に対応する為の機能で、
YAMAHAルータは****.***.netvolante.jpというホスト名を割り当てる
IPアドレスが変更されても変わりにホスト名で指定出来るようになります。
ネットボランチ対応機種：RT58i(PPTPのみ)、RT107e(IP Secのみ)、RTX1100、1500、3000(PPTP＆IP Sec)他

↑

トンネル数の上限 †

PPTPの上限は4対地、IPsecの上限は30対地。

機器名	PPTP	IPsec	PPTP・IPsec併用時の合計
RT58i	4	-	-
RTV700	4	30	30
RTX1100	4	30	30
RTX1500	-	100	-

↑

RTX1100-3000の設定方法 †

ルータを出荷時設定する

管理者パスワードの設定
```
login password
administrator password
```

LAN側TCP/IP設定
```
ip lan1 address 192.168.0.1/24
```

LAN側のDHCPクライアント設定(オプション)

dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.2-192.168.0.99/24

WAN側のDNSサーバとDNSリレー設定
- 手動設定
```
dns server 10.0.0.1
dns private address spoof on
```

自動取得(PPPoEでPP1の場合)

dns server pp 1
dns private address spoof on

インターネット接続設定①PPPoE

pp select 1	管理番号
pppoe auto connect on	自動接続
pppoe auto disconnect off	自動切断
pppoe use lan2	接続port
pp auth accept pap chap	認証形式
pp auth myname pp auth myname access system	ID&PASSWORD設定
pp always-on on	常時接続
ppp lcp mru on 1454	MRU設定
ppp ccp type none	圧縮/暗号方法
ip pp address 192.168.0.1/24	IFのアドレス
ppp ipcp msext on	MS拡張IPCPオプション
ip pp mtu 1454	MTU値
ip pp nat descriptor 1	NAT適用
pp enable 1	フィルタ設定
ip route default gateway pp 1	静的経路設定

WAN側IPアドレス自動取得

pp select 1	管理番号
pppoe auto connect on	自動接続
pppoe auto disconnect off	自動切断
pppoe use lan2	接続port
pp auth accept pap chap	認証形式
pp auth myname pp auth myname access system	ID&PASSWORD設定
pp always-on on	常時接続
ppp lcp mru on 1454	MRU設定
ppp ccp type none	圧縮/暗号方法
ppp ipcp ipaddress on	IP ADDRESS自動取得
ppp ipcp msext on	MS拡張IPCPオプション
ip pp mtu 1454	MTU値
ip pp nat descriptor 1	NAT適用
pp enable 1	PP1の有効化
ip route default gateway pp 1	静的経路設定GW指定

インターネット接続設定②Not PPPoE
IPアドレスを手作業で設定する

ip lan2 address 172.16.0.2/24
ip route default gateway 172.16.0.1
ip lan2 nat descriptor1

DHCPで自動設定

ip lan2 address dhcp
ip lan2 nat descriptor 1

NATディスクリプタ設定

PPPoEを使用する場合のNATディスクリプタ設定

nat descriptor type 1 masquerade
nat descriptor address inner 1 192.168.0.1-192.168.0.254
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp

PPPoEを使用しない場合のNATディスクリプタ設定
```
nat descriptor type 1 masquerade
nat descriptor address inner 1 192.168.0.1-192.168.0.254
nat descriptor address outer 1 primary
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
```
下から二つはIPsecの為にUDP 500 と ESPの穴あけ作業になります。
一つ目の１はNAT識別番号の1、二つ目の1と2は個々の静的IPマスカレード設定番号になります。
従って『1 1』『1 2』『1 3』と番号が続きます。

ファイアーウォール設定①静的フィルタ
```
ip filter 1000 reject 192.168.0.0/24 * udp,tcp * 135 
```
送信元送信先 [tcp/udp/icmp/gre/esp] 送信元ポート番号宛先ポート番号
通常TCP/IP通信では送信元が使うポートは不明(エフェメラル・ポートと)で
宛先のポートはアプリケーション毎に固定のポート(ウェルノウン・ポート)を利用する。
その為、設定方法は上記のようにするのが一般的である。
逆に135番ポートの通信を遮断するには『135 *』と逆に書くと良い。
- IPsecを通すフィルタ例
```
ip fillter 1071 pass 相手IP 自分IP udp * 500
ip fillter 1072 pass 相手IP 自分IP esp * *
ip fillter 1073 pass 自分IP 相手IP udp * 500
ip fillter 1074 pass 自分IP 相手IP udp * *
ip lan2 secure filter in 1071 1072
ip lan2 secure filter out 1073 1074
```

ファイアーウォール設定②動的フィルタ

ファイアーウォール設定③フィルタ適用

ファイアーウォール設定④不正アクセス検知

PPTP設定(PPTP使用時のみ)

log設定

インターネット接続設定