blog.monophile.net

Takaaki Yamamoto

東京工業大学において計算機科学と応用数学を学び、情報科学芸術大学院大学[IAMAS]においてメディア表現を専攻し修了。 現在は digitiminimi Inc. において、インフラエンジニアとして生計をたててている。 また、計算を主題に制作を行い、現代音楽作品や公共インスタレーション作品など技術提供を行う。 三輪眞弘に師事する。

List

2台のRTX1100でIPsec

概要

YAMAHA RTX1100が安かったので、2台でIPsecの設定をしてみた。

前提

RT0

ip lan2 address A.A.A.A/A
ip lan1 address b.b.b.b/b

(RT0) IPsec トンネルモード

RT1のアドレスがわからない、という前提なので、remote addressはanyに設定する。

tunnel select TUNNEL_ID
 description tunnel RT0-RT1
 ipsec ipcomp type none
 ipsec tunnel POLICY_ID
  ipsec sa policy POLICY_ID GATEWAY esp aes-cbc sha-hmac
  ipsec ike encryption GATEWAY aes-cbc
  ipsec ike group GATEWAY modp1024
  ipsec ike hash GATEWAY sha
  ipsec ike keepalive log GATEWAY on
  ipsec ike keepalive use GATEWAY on dpd 20 3
  ipsec ike local address GATEWAY b.b.b.1
  ipsec ike local id GATEWAY b.b.b.0/b
  ipsec ike nat-traversal GATEWAY on
  ipsec ike payload type GATEWAY 2
  ipsec ike pre-shared-key GATEWAY text pskpskpsk
  ipsec ike remote address GATEWAY any
  ipsec ike remote name GATEWAY RT1
  ipsec auto refresh GATEWAY on
 ip tunnel tcp mss limit auto
 tunnel enable TUNNEL_ID

(RT0) masquerade

(RT0)をデフォルトゲートウェイにしたい場合は、マスカレードの設定が必要。

nat descriptor type 1 masquerade
nat descriptor address outer 1 A.A.A.A
nat descriptor address inner 1 b.b.b.1-b.b.b.254
nat descriptor masquerade static 1 1 b.b.b.1 udp 500
nat descriptor masquerade static 1 2 b.b.b.1 udp 4500
nat descriptor masquerade static 1 3 b.b.b.1 esp
nat descriptor masquerade static 1 10 b.b.b.1 tcp 22
nat descriptor masquerade static 1 11 b.b.b.1 tcp telnet
nat descriptor masquerade static 1 12 b.b.b.1 tcp www

RT1

ip lan2 address c.c.c.2/c
ip lan1 address d.d.d.1/d

(RT1) IPsec トンネルモード

tunnel select TUNNEL_ID
 description tunnel RT1-RT0
 ipsec ipcomp type none
 ipsec tunnel POLICY_ID
  ipsec sa policy POLICY_ID GATEWAY esp aes-cbc sha-hmac
  ipsec ike encryption GATEWAY aes-cbc
  ipsec ike group GATEWAY modp1024
  ipsec ike hash GATEWAY sha
  ipsec ike keepalive use GATEWAY on dpd 20 3
  ipsec ike local address GATEWAY d.d.d.1
  ipsec ike local id GATEWAY d.d.d.0/d
  ipsec ike local name GATEWAY RT1 key-id
  ipsec ike nat-traversal GATEWAY on
  ipsec ike payload type GATEWAY 2
  ipsec ike pre-shared-key GATEWAY text pskpskpsk
  ipsec ike remote address GATEWAY A.A.A.A
  ipsec auto refresh GATEWAY on
 ip tunnel tcp mss limit auto
 tunnel enable TUNNEL_ID

(RT1) 静的ルーティング

RT1からRT0へのトラフィックのみはRT9を通るようにし、それ以外はトンネルインターフェースを経由するように設定する。

ip filter 1000 pass c.c.c.1/c * * * *
ip filter 1001 pass d.d.d.0/d * * * *
ip route default gateway c.c.c.1 filter 1000 gateway tunnel 1 filter 1001 hide gateway c.c.c.1
ip route b.b.b.0/b gateway tunnel TUNNEL_ID
ip route A.A.A.A gateway c.c.c.1