YAMAHA VPN
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
[[CISCO入門]]
#setlinebreak(on)
*用語 [#g8794828]
,''AH(Authentication Header)'',認証ヘッダ
,''ESP(Encapsulating Securit''y Protocol),暗号化ヘッダ
,''SA(Security Association)'',鍵交換と暗号化通信に用いら...
,''IKE(Internet Key Exchange)'',鍵交換の準備プロセス
,''ISAKMP(Internet Security Association and Key Managemen...
,''&ruby(アイサキャンプ:エスエー){ISAKMP SA};'',鍵交換に...
,''&ruby(アイピーセック・エスエー){IPsec SA};'',本番の暗...
,''プロポーザル'',IPsec通信で使用する暗号化通信や認証アル...
,''イニシエータ'',製品によっては『起動者』ともいう。プロ...
,''レスポンダ'',製品によっては『応答者』ともいう。プロポ...
,''DES/3DES/AES'',いずれもIPsecによる暗号化通信で使用する...
,''一方向ハッシュ関数'',あるビット列を入力すると、別のビ...
,''MD5、SHA-1'',いずれもIPsecで通信内容の改竄検出や出自の...
,''HMAC(Hashed Vased Message Authentication Code)'',一方...
,''Diffie-Hellman'',双方の当事者が本来の鍵情報をやり取り...
,''PFS(Perfect Forward Secrecy)'',Diffie-Hellmanアルゴリ...
IPsecにおける
非カプセル化通信をトランスポートモード
カプセル化通信をトンネルモード
一般的にはトンネルモード+暗号化(ESP)の組み合わせが標準と...
IPsecでは最初にIKE(Internet Key Exchange)プロセスを利用し...
***IKEメインモードの動き [#ad578fd2]
+プロポーザルの送信
+利用するアルゴリズムの選択
+ISAKMP SAで使用する暗号化用の鍵生成
+接続相手の認証
+ISAKMP SAの確立
***IKEアグレッシブモードの動き(フェーズ1) [#t5e206d7]
+プロポーザルの送信
+利用するアルゴリズムの選択
+ISAKMP SAの確立
***IKEアグレッシブモードの動き(フェーズ2) [#t19330cc]
+IPsecの動作内容を指定する
+提出内容の受諾と鍵生成
+IPsec用の共通鍵生成
+IPsec SAの確立
+IPsec SA確立後のre-key
***ネットボランチDNSサービス [#yd71113c]
ネットボランチDNSサービスはIPアドレスの変動に対応する為の...
YAMAHAルータは****.***.netvolante.jpというホスト名を割り...
IPアドレスが変更されても変わりにホスト名で指定出来るよう...
ネットボランチ対応機種:RT58i(PPTPのみ)、RT107e(IP Secの...
***トンネル数の上限 [#be88b92b]
PPTPの上限は4対地、IPsecの上限は30対地。
,機器名,PPTP,IPsec,PPTP・IPsec併用時の合計
,RT58i,4,-,-
,RTV700,4,30,30
,RTX1100,4,30,30
,RTX1500,-,100,-
***RTX1100-3000の設定方法 [#l586c788]
ルータを出荷時設定する
-管理者パスワードの設定
login password
administrator password
-LAN側TCP/IP設定
ip lan1 address 192.168.0.1/24
-LAN側のDHCPクライアント設定(オプション)
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.2-192.168.0.99/24
-WAN側のDNSサーバとDNSリレー設定
--手動設定
dns server 10.0.0.1
dns private address spoof on
--自動取得(PPPoEでPP1の場合)
dns server pp 1
dns private address spoof on
--インターネット接続設定①PPPoE
,pp select 1 ,管理番号
,pppoe auto connect on ,自動接続
,pppoe auto disconnect off ,自動切断
,pppoe use lan2 ,接続port
,pp auth accept pap chap ,認証形式
,pp auth myname pp auth myname access system ,ID&PASSWORD...
,pp always-on on ,常時接続
,ppp lcp mru on 1454 ,MRU設定
,ppp ccp type none ,圧縮/暗号方法
,ip pp address 192.168.0.1/24 ,IFのアドレス
,ppp ipcp msext on ,MS拡張IPCP...
,ip pp mtu 1454 ,MTU値
,ip pp nat descriptor 1 ,NAT適用
,pp enable 1 ,フィルタ設定
,ip route default gateway pp 1 ,静的経路設定
--WAN側IPアドレス自動取得
,pp select 1 ,管理番号
,pppoe auto connect on ,自動接続
,pppoe auto disconnect off ,自動切断
,pppoe use lan2 ,接続port
,pp auth accept pap chap ,認証形式
,pp auth myname pp auth myname access system ,ID&PASSWORD...
,pp always-on on ,常時接続
,ppp lcp mru on 1454 ,MRU設定
,ppp ccp type none ,圧縮/暗号方法
,ppp ipcp ipaddress on ,IP ADDRESS...
,ppp ipcp msext on ,MS拡張IPCP...
,ip pp mtu 1454 ,MTU値
,ip pp nat descriptor 1 ,NAT適用
,pp enable 1 ,PP1の有効化
,ip route default gateway pp 1 ,静的経路設...
-インターネット接続設定②Not PPPoE
IPアドレスを手作業で設定する
ip lan2 address 172.16.0.2/24
ip route default gateway 172.16.0.1
ip lan2 nat descriptor1
DHCPで自動設定
ip lan2 address dhcp
ip lan2 nat descriptor 1
-NATディスクリプタ設定
--PPPoEを使用する場合のNATディスクリプタ設定
nat descriptor type 1 masquerade
nat descriptor address inner 1 192.168.0.1-192.168.0.254
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
--PPPoEを使用しない場合のNATディスクリプタ設定
nat descriptor type 1 masquerade
nat descriptor address inner 1 192.168.0.1-192.168.0.254
nat descriptor address outer 1 primary
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
下から二つはIPsecの為にUDP 500 と ESPの穴あけ作業になりま...
一つ目の1はNAT識別番号の1、二つ目の1と2は個々の静的IPマ...
従って『1 1』『1 2』『1 3』と番号が続きます。
-ファイアーウォール設定①静的フィルタ
ip filter 1000 reject 192.168.0.0/24 * udp,tcp * 135
送信元 送信先 [tcp/udp/icmp/gre/esp] 送信元ポート番号 宛...
通常TCP/IP通信では送信元が使うポートは不明(エフェメラル・...
宛先のポートはアプリケーション毎に固定のポート(ウェルノウ...
その為、設定方法は上記のようにするのが一般的である。
逆に135番ポートの通信を遮断するには『135 *』と逆に書くと...
--IPsecを通すフィルタ例
ip fillter 1071 pass 相手IP 自分IP udp * 500
ip fillter 1072 pass 相手IP 自分IP esp * *
ip fillter 1073 pass 自分IP 相手IP udp * 500
ip fillter 1074 pass 自分IP 相手IP udp * *
ip lan2 secure filter in 1071 1072
ip lan2 secure filter out 1073 1074
-ファイアーウォール設定②動的フィルタ
-ファイアーウォール設定③フィルタ適用
-ファイアーウォール設定④不正アクセス検知
-PPTP設定(PPTP使用時のみ)
-log設定
-インターネット接続設定
終了行:
[[CISCO入門]]
#setlinebreak(on)
*用語 [#g8794828]
,''AH(Authentication Header)'',認証ヘッダ
,''ESP(Encapsulating Securit''y Protocol),暗号化ヘッダ
,''SA(Security Association)'',鍵交換と暗号化通信に用いら...
,''IKE(Internet Key Exchange)'',鍵交換の準備プロセス
,''ISAKMP(Internet Security Association and Key Managemen...
,''&ruby(アイサキャンプ:エスエー){ISAKMP SA};'',鍵交換に...
,''&ruby(アイピーセック・エスエー){IPsec SA};'',本番の暗...
,''プロポーザル'',IPsec通信で使用する暗号化通信や認証アル...
,''イニシエータ'',製品によっては『起動者』ともいう。プロ...
,''レスポンダ'',製品によっては『応答者』ともいう。プロポ...
,''DES/3DES/AES'',いずれもIPsecによる暗号化通信で使用する...
,''一方向ハッシュ関数'',あるビット列を入力すると、別のビ...
,''MD5、SHA-1'',いずれもIPsecで通信内容の改竄検出や出自の...
,''HMAC(Hashed Vased Message Authentication Code)'',一方...
,''Diffie-Hellman'',双方の当事者が本来の鍵情報をやり取り...
,''PFS(Perfect Forward Secrecy)'',Diffie-Hellmanアルゴリ...
IPsecにおける
非カプセル化通信をトランスポートモード
カプセル化通信をトンネルモード
一般的にはトンネルモード+暗号化(ESP)の組み合わせが標準と...
IPsecでは最初にIKE(Internet Key Exchange)プロセスを利用し...
***IKEメインモードの動き [#ad578fd2]
+プロポーザルの送信
+利用するアルゴリズムの選択
+ISAKMP SAで使用する暗号化用の鍵生成
+接続相手の認証
+ISAKMP SAの確立
***IKEアグレッシブモードの動き(フェーズ1) [#t5e206d7]
+プロポーザルの送信
+利用するアルゴリズムの選択
+ISAKMP SAの確立
***IKEアグレッシブモードの動き(フェーズ2) [#t19330cc]
+IPsecの動作内容を指定する
+提出内容の受諾と鍵生成
+IPsec用の共通鍵生成
+IPsec SAの確立
+IPsec SA確立後のre-key
***ネットボランチDNSサービス [#yd71113c]
ネットボランチDNSサービスはIPアドレスの変動に対応する為の...
YAMAHAルータは****.***.netvolante.jpというホスト名を割り...
IPアドレスが変更されても変わりにホスト名で指定出来るよう...
ネットボランチ対応機種:RT58i(PPTPのみ)、RT107e(IP Secの...
***トンネル数の上限 [#be88b92b]
PPTPの上限は4対地、IPsecの上限は30対地。
,機器名,PPTP,IPsec,PPTP・IPsec併用時の合計
,RT58i,4,-,-
,RTV700,4,30,30
,RTX1100,4,30,30
,RTX1500,-,100,-
***RTX1100-3000の設定方法 [#l586c788]
ルータを出荷時設定する
-管理者パスワードの設定
login password
administrator password
-LAN側TCP/IP設定
ip lan1 address 192.168.0.1/24
-LAN側のDHCPクライアント設定(オプション)
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.2-192.168.0.99/24
-WAN側のDNSサーバとDNSリレー設定
--手動設定
dns server 10.0.0.1
dns private address spoof on
--自動取得(PPPoEでPP1の場合)
dns server pp 1
dns private address spoof on
--インターネット接続設定①PPPoE
,pp select 1 ,管理番号
,pppoe auto connect on ,自動接続
,pppoe auto disconnect off ,自動切断
,pppoe use lan2 ,接続port
,pp auth accept pap chap ,認証形式
,pp auth myname pp auth myname access system ,ID&PASSWORD...
,pp always-on on ,常時接続
,ppp lcp mru on 1454 ,MRU設定
,ppp ccp type none ,圧縮/暗号方法
,ip pp address 192.168.0.1/24 ,IFのアドレス
,ppp ipcp msext on ,MS拡張IPCP...
,ip pp mtu 1454 ,MTU値
,ip pp nat descriptor 1 ,NAT適用
,pp enable 1 ,フィルタ設定
,ip route default gateway pp 1 ,静的経路設定
--WAN側IPアドレス自動取得
,pp select 1 ,管理番号
,pppoe auto connect on ,自動接続
,pppoe auto disconnect off ,自動切断
,pppoe use lan2 ,接続port
,pp auth accept pap chap ,認証形式
,pp auth myname pp auth myname access system ,ID&PASSWORD...
,pp always-on on ,常時接続
,ppp lcp mru on 1454 ,MRU設定
,ppp ccp type none ,圧縮/暗号方法
,ppp ipcp ipaddress on ,IP ADDRESS...
,ppp ipcp msext on ,MS拡張IPCP...
,ip pp mtu 1454 ,MTU値
,ip pp nat descriptor 1 ,NAT適用
,pp enable 1 ,PP1の有効化
,ip route default gateway pp 1 ,静的経路設...
-インターネット接続設定②Not PPPoE
IPアドレスを手作業で設定する
ip lan2 address 172.16.0.2/24
ip route default gateway 172.16.0.1
ip lan2 nat descriptor1
DHCPで自動設定
ip lan2 address dhcp
ip lan2 nat descriptor 1
-NATディスクリプタ設定
--PPPoEを使用する場合のNATディスクリプタ設定
nat descriptor type 1 masquerade
nat descriptor address inner 1 192.168.0.1-192.168.0.254
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
--PPPoEを使用しない場合のNATディスクリプタ設定
nat descriptor type 1 masquerade
nat descriptor address inner 1 192.168.0.1-192.168.0.254
nat descriptor address outer 1 primary
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
下から二つはIPsecの為にUDP 500 と ESPの穴あけ作業になりま...
一つ目の1はNAT識別番号の1、二つ目の1と2は個々の静的IPマ...
従って『1 1』『1 2』『1 3』と番号が続きます。
-ファイアーウォール設定①静的フィルタ
ip filter 1000 reject 192.168.0.0/24 * udp,tcp * 135
送信元 送信先 [tcp/udp/icmp/gre/esp] 送信元ポート番号 宛...
通常TCP/IP通信では送信元が使うポートは不明(エフェメラル・...
宛先のポートはアプリケーション毎に固定のポート(ウェルノウ...
その為、設定方法は上記のようにするのが一般的である。
逆に135番ポートの通信を遮断するには『135 *』と逆に書くと...
--IPsecを通すフィルタ例
ip fillter 1071 pass 相手IP 自分IP udp * 500
ip fillter 1072 pass 相手IP 自分IP esp * *
ip fillter 1073 pass 自分IP 相手IP udp * 500
ip fillter 1074 pass 自分IP 相手IP udp * *
ip lan2 secure filter in 1071 1072
ip lan2 secure filter out 1073 1074
-ファイアーウォール設定②動的フィルタ
-ファイアーウォール設定③フィルタ適用
-ファイアーウォール設定④不正アクセス検知
-PPTP設定(PPTP使用時のみ)
-log設定
-インターネット接続設定
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
