アライドルータで、IPSecを使い倒す-LAN環境下で3つの拠点をIPSecトンネルで結ぶ 応用編

ただ3か所で接続するだけでなく、IPSecで接続してきた先にあるサーバに接続できるように設定を変更していきたいと思います。

ルータA

ルータAは本社の位置づけにあるルータで、拠点間をIPSec通信で結んで本社サーバに接続します。受け側のルータというか、

!
interface eth1
  ip address 10.0.0.1/8
!
interface vlan1
 ip address 192.168.0.4/24
!
!subnet 192.168.22 のネットワークは拡張
zone private
 network lan
  ip subnet 173.16.0.0/30
  ip subnet 173.17.0.0/30
  ip subnet 173.18.0.0/30
  ip subnet 192.168.0.0/24
  ip subnet 192.168.20.0/24
  ip subnet 192.168.21.0/24
  ip subnet 192.168.22.0/24
  ip subnet 192.168.200.0/24
!
!host eth1のip addressは直接割り当てたIPアドレスを指定します
zone public
 network wan
  ip subnet 0.0.0.0/0 interface eth1
  host eth1
   ip address 10.0.0.1
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 sport 500
 dport 500
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.eth1 to public.wan
 rule 40 permit isakmp from public.wan to public.wan.eth1
 rule 50 permit esp from public.wan.eth1 to public.wan
 rule 60 permit esp from public.wan to public.wan.eth1
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
crypto isakmp key secret-ab address 10.0.0.2
crypto isakmp key secret-ac address 10.0.0.3
!
interface tunnel0
 ip address 173.16.0.1/30
 tunnel source 10.0.0.1
 tunnel destination 10.0.0.2
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip tcp adjust-mss 1260
 mtu 1300
!
interface tunnel1
 ip address 173.17.0.1/30
 tunnel source 10.0.0.1
 tunnel destination 10.0.0.3
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip tcp adjust-mss 1260
 mtu 1300
!
!tunnel2は拡張
interface tunnel2
 ip address 173.18.0.1/30
 tunnel source 10.0.0.1
 tunnel destination 10.0.0.4
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip tcp adjust-mss 1260
 mtu 1300
!
ip route 192.168.20.0/24 tunnel0
ip route 192.168.20.0/24 null 254
ip route 192.168.21.0/24 tunnel1
ip route 192.168.21.0/24 null 254
ip route 192.168.22.0/24 tunnel1
ip route 192.168.22.0/24 null 254
ip route 192.168.200.0/24 192.168.0.253
!
end

ルータB

ルータB配下のネットワークは本社ネットワークの

192.168.0.0/24

および、もっと深いところにあるサーバ

192.168.200.0/24

に接続できるようにします。

!
interface eth1
 ip address 10.0.0.2/8
!
interface vlan1
 ip address 192.168.20.253/24
!
zone private
 network lan
  ip subnet 173.16.0.0/30
  ip subnet 192.168.0.0/24
  ip subnet 192.168.20.0/24
! IPSecで直接ではないが、200のネットワークを追記しておく
  ip subnet 192.168.200.0/24
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface eth1
  host eth1
   ip address 10.0.0.2
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 sport 500
 dport 500
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.eth1 to public.wan
 rule 40 permit isakmp from public.wan to public.wan.eth1
 rule 50 permit esp from public.wan.eth1 to public.wan
 rule 60 permit esp from public.wan to public.wan.eth1
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
crypto isakmp key secret-ab address 10.0.0.1
!
interface tunnel0
 ip address 173.16.0.2/30
 tunnel source 10.0.0.2
 tunnel destination 10.0.0.1
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip tcp adjust-mss 1260
 mtu 1300
!
ip route 192.168.0.0/24 tunnel0
ip route 192.168.0.0/24 null 254
ip route 192.168.200.0/24 tunnel0
ip route 192.168.200.0/24 null 254
!
end

ルータC

ルータC配下のネットワークからは、

192.168.0.0/24

のみアクセスできるようにする。

ルータC

!
interface eth1
 ip address 10.0.0.3/8
!
interface vlan1
 ip address 192.168.21.253/24
!
zone private
 network lan
  ip subnet 173.17.0.0/30
  ip subnet 192.168.0.0/24
  ip subnet 192.168.21.0/24
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface eth1
  host eth1
   ip address 10.0.0.3
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 sport 500
 dport 500
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.eth1 to public.wan
 rule 40 permit isakmp from public.wan to public.wan.eth1
 rule 50 permit esp from public.wan.eth1 to public.wan
 rule 60 permit esp from public.wan to public.wan.eth1
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
crypto isakmp key secret-ac address 10.0.0.1
!
interface tunnel1
 ip address 173.17.0.2/30
 tunnel source 10.0.0.3
 tunnel destination 10.0.0.1
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip tcp adjust-mss 1260
 mtu 1300
!
ip route 192.168.0.0/24 tunnel1
ip route 192.168.0.0/24 null 254
!
end

関連コンテンツ

iPhoneのあらゆるテキストを読み上げたい

Siriに読み上げさせる

車の運転中は、テキストを読むのは難しいです。

そこで、テキストを読み上げてくれる機能がないかなぁと思っていたら、ありました。

Siriに読み上げてもらう方法です。

iPhoneに表示されるテキストを読み上げる

設定 ⇒ 一般 ⇒ アクセシビリティ

スピーチ ⇒ 画面の読み上げ

2本指で画面の上から下にスワイプする

再生バーが出てくるのでこちらで再生ボタンを押すと読み上げが開始されます。

関連コンテンツ

WAPS-APG600Hの初期設定

リセットスイッチを3秒以上押して工場出荷時状態に戻ります。

DHCPサーバがない環境下では

192.168.11.00

が初期IPアドレスです。

初期ユーザ名 admin

初期パスワード password

でアクセス可能です。

関連コンテンツ

Vivotek ネットワークカメラの初期設定

この前初期設定やったはずなのに忘れちゃって。

今度は忘れないように備忘録です。

Vivotekのネットワークカメラを買ってきたら、初期設定するためにソフトウエアを使います。

決まった初期IPアドレスなどはないようです。

Instration Wizard 2

を利用して、カメラを探すところから行います。

恐らくDHCP環境下で利用する事を想定しているのではないかと思います。MACアドレス、IPアドレスが取得できたらそのネットワークアドレスを頼りにwebブラウザでアクセスとなります。

DHCPサーバない環境で

DHCPサーバがない環境でも、 自動プライベート IP アドレス指定 (APIPA)  が可能なようで、Windowsもこれに対応しているので、自動的に通信できるプライベートIPアドレスが振られ、ウェブブラウザでアクセスできるようになります。

関連コンテンツ

Ciscoハブと、NetgearハブのVLAN接続試験

ネットワーク構成

今回試験したネットワーク構成はこんな感じです。

VLANを駆使して利用します。

WS-C2960L-8PS-JPの設定

Cisco WS-C2960L-8PS-JPの8ポートにタグVLANを設定し、Netgear GS108PEv3を接続します。

interface GigabitEthernet0/8
 description -- Network VLAN TEST
 switchport trunk allowed vlan 210,230,1000
 switchport mode trunk
 mls qos trust dscp
 srr-queue bandwidth share 255 50 25 25
 priority-queue out 
 spanning-tree portfast edge trunk

8ポートと、Netgear GS108PEv3の8ポートを接続します。

NetgearHUBの初期設定

LAN接続しない状態で、ブラウザ192.168.0.239でアクセス可能

初期パスワード password

NetgearHUBの初期化

1.本体のリセットボタン(8番ポートの隣にある、小さな丸いスイッチです)を
ペンなどの先の細いもので10秒ほど押します。
2.TESTランプが光るので、消えれば初期化完了です。

初期化方法を教えてください。

802.1QベースVLANの設定

タグVLANを設定します。

VLAN ⇒ 802.1Q ⇒ VLANメンバーシップにて、TagポートとUntagポートを作成します。Tと書かれたポートがTagedです。

VLAN IDを追加します。

ここではVLAN ID 210,230,300 を追加しました。

各ポートにVLAN IDを割り当てます。

VLAN IDをプルダウンで選択し、それをどのポートにTagedにするか、Untagにするかを選択して適用します。

GS108PEv3設定のtagvlan要所

VLAN設定にて、VLAN IDを追加し、そのVLAN IDにVLANメンバーシップにてポートを割り当てます。割り当てたポートはVLAN設定にて一覧する事が出来ますが、どのポートがUntag,Tagedかは確認する事は出来ません。

VLANメンバーシップにて Tと表示されるのはTagedで、Uと表示されるのがUntagになります。

また、Untagを設定しただけでは物理ポートへのVLAN ID割り当てになりません。Untagにし、さらにPort VLAN IDを割り当てる必要があります。以下では、1ポートに、VLAN210を割り当てています。さらにVLANメンバーシップにて1ポートにVLAN210をUntagで設定し、これで物理的にポート1はUntag VLAN 210で動くようになります。

最初、このPVIDの使い方が分からずに、思った通信ができなくて焦りましたが、やはり物理的にUntagポートをつくるのは1つのポートに対して1つって事になります。

WAPS-APG600Hの設定

GS108PEv3の、2ポートから4ポートに割り当てた、VLAN230を、WAPS-APG600Hに割り当ててあげます。WAPS-APG600HはTagがしゃべれる無線LAN APです。

RADIUSサーバにアクセスさせます。

802.11gのSSIDとVLANモードと、VLAN IDを設定して、SSIDとVLANを紐づけます。

SSIDとその認証方法を設定します。WPA-EAPを設定する事でRADIUS認証となります。

Vivotek IB8369A の設定

同じセグメントにいるIB8369Aの設定は、Installation Wizard 2を利用します。

初期設定の仕方はこちら

Netgear GS108PEv3の1ポート、ネットワークカメラのVLAN ID230 Untagを設定し、PVIDにも230を設定して接続して、無事にタグVLANネットワーク越しにカメラへアクセスできるようになりました。

関連コンテンツ

お得に光コラボ 2019キャッシュバックランキング

今あるインターネット接続料金・電話料金をお安くできる光コラボレーション。キャッシュバックの多い順にランキングを作ってみました。

auひかりとは

auひかりとはKDDIによる光ファイバー網、およびNTT東西のダークファイバを用いたサービスを提供しています。 東京電力のTEPCOひかりから受け継いだ光ファイバー網等、関東の一部地域等では自社の光ファイバー もっていますが、それ以外の地域では、NTT東西のダークファイバ(NTTから光ファイバーを借り受けて)を利用しています。

月額料金プラン例 5,100円

auひかり ホーム1ギガ:ずっとギガ得プラン ネットのみ利用

1年目 5,100円

2年目 5,000円

3年目以降 4,900円

インターネットプロバイダ料込みで4,900円/月はそこそこいい線での値段になります。

【auひかり】

特徴

◎知名度の高いKDDI auひかりに【最大110,000円】と高額還元実施中!

◎auスマートバリュー
auひかりご加入ならスマホはauが断然おトク!ご家族の携帯まで割引き!
もちろんauケータイ以外の方でもおトクに光ファイバーを始められます。

◎auひかりスタートサポート
auひかりに乗り換えで他社回線の解約金を保証!最大30,000円

◎auひかり公式キャンペーン
初期費用、月額費用割引 実質0円!おトクに開始♪
最大37,500円相当割引

◎世界最速!超高速通信!上り下り最大10ギガ

auの光ファイバー回線で、キャッシュバック・月額料金もお得です。

提供される地域が限定されています。利用したい地域がサービス提供外だと使えません。

【auひかり】

新規の方も、お乗り換えの方も!
キャッシュバック最大「85,000円」or豪華人気商品プレゼント!

その他、
学生応援キャンペーンや紹介キャンペーンなど・・
この機会にキャッシュバックを有効活用しましょう♪

WEBお申込み特典はとにかく盛りだくさん!

WEBお申込み特典!最大85,000円キャッシュバック!【フレッツ光】

フレッツ光オプション及びプロバイダオプションの加入条件は一切なし!
光回線+プロバイダ基本プランのみの新規加入で、法人・店舗・個人事業主向けに、
西日本エリアは40,000円、東日本エリアは30,000円のキャッシュバック特典がございます。

キャッシュバックは最短2ヶ月で現金振込。

また、法人・店舗・個人事業主向けにキャッシュバック以外の特典希望の方は、PS4、液晶テレビ、
新品パソコン等豪華プレゼントもございます。

こちらは業界初!フレッツ光の開通工事完了後、1週間前後で発送致します。

フレッツ光新規申込で最大45,000円キャッシュバック!

株式会社S&Nパートナーが運営する
「SoftBank 光」キャンペーンサイトです。

当社キャンペーンはIPv6高速ハイブリッドが
使えるようになる「おうち割」または「光BBユニット」の
お申し込みでキャッシュバック36,000円を進呈致します。
(※転用、事業者変更の場合は15,000円)

【ソフトバンク光】

格安!安心!高速! 月額料金初月無料! さらに最大23,000円キャッシュバックでおトクに開始できます! 提供エリアや回線品質も変わりません。 フレッツ光と同じ回線を使用するのでNTT東日本、西日本と 変わらない高品質な光回線をご提供します。 プロバイダーも光回線も 【楽天ひかり】がまとめてサポート。 フレッツ光と違い、プロバイダーも光回線もまとめて契約。 サポートも楽天ひかりでまとめて承ります。

【楽天ひかり】

◎公式施策 最大20,000ptのdポイントプレゼント! ◎当サイト限定特典 最大15,000円キャッシュバック! 更に「ひかりTV for docomo」を同時お申込みで+3,000円、 「DAZN for docomo」を同時お申込みで+2,000円 ◎ドコモ光パック ドコモ光とドコモのスマホをセットで ご利用いただくとスマホの料金がさらお安く! ◎無線ルーターレンタル無料!無料訪問設定! 選べるドコモ光対応プロバイダー

お得なお申込みキャンペーン実施中!【ドコモ光】

関連コンテンツ

アライドルータで、IPSecを使い倒す-LAN環境下で3つの拠点をIPSecトンネルで結ぶ

アライドAT-AR1050V

今、キャンペーンで半額になっているので、ここで今まで利用していたOMRONのIPSec通信ルータを切り捨て、AT-AR1050Vに乗り移るべく設定試験中です。

3拠点間でIPSec接続

3拠点間接続のコンフィグを試してみます。PPPoE接続環境を3拠点準備できないので、テストでLAN環境固定IPにてIPSec通信を行う場合のコンフィグです。

アライドの設定事例集では、LAN環境でのIPSec構築方法は掲載されていません。元になる設定事例はこちらです

PPPoE接続環境における3点間IPsec VPN(支社間通信なし、全拠点アドレス固定)

ルータAのコンフィグ

!
interface eth1
  ip address 10.0.0.1/8
!
interface vlan1
 ip address 192.168.10.1/24
!
zone private
 network lan
  ip subnet 172.16.0.0/30
  ip subnet 172.17.0.0/30
  ip subnet 192.168.10.0/24
  ip subnet 192.168.20.0/24
  ip subnet 192.168.30.0/24
!
!host eth1のip addressは直接割り当てたIPアドレスを指定します
zone public
 network wan
  ip subnet 0.0.0.0/0 interface eth1
  host eth1
   ip address 10.0.0.1
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 sport 500
 dport 500
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.eth1 to public.wan
 rule 40 permit isakmp from public.wan to public.wan.eth1
 rule 50 permit esp from public.wan.eth1 to public.wan
 rule 60 permit esp from public.wan to public.wan.eth1
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
crypto isakmp key secret-ab address 10.0.0.2
crypto isakmp key secret-ac address 10.0.0.3
!
interface tunnel0
 ip address 172.16.0.1/30
 tunnel source 10.0.0.1
 tunnel destination 10.0.0.2
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip tcp adjust-mss 1260
 mtu 1300
!
interface tunnel1
 ip address 172.17.0.1/30
 tunnel source 10.0.0.1
 tunnel destination 10.0.0.3
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip tcp adjust-mss 1260
 mtu 1300
!
ip route 192.168.20.0/24 tunnel0
ip route 192.168.20.0/24 null 254
ip route 192.168.30.0/24 tunnel1
ip route 192.168.30.0/24 null 254
!
end

ルータBのコンフィグ

!
interface eth1
 ip address 10.0.0.2/8
!
interface vlan1
 ip address 192.168.20.1/24
!
zone private
 network lan
  ip subnet 172.16.0.0/30
  ip subnet 192.168.10.0/24
  ip subnet 192.168.20.0/24
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface eth1
  host eth1
   ip address 10.0.0.2
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 sport 500
 dport 500
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.eth1 to public.wan
 rule 40 permit isakmp from public.wan to public.wan.eth1
 rule 50 permit esp from public.wan.eth1 to public.wan
 rule 60 permit esp from public.wan to public.wan.eth1
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
crypto isakmp key secret-ab address 10.0.0.1
!
interface tunnel0
 ip address 172.16.0.2/30
 tunnel source 10.0.0.2
 tunnel destination 10.0.0.1
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip tcp adjust-mss 1260
 mtu 1300
!
ip route 192.168.10.0/24 tunnel0
ip route 192.168.10.0/24 null 254
!
end

ルータCのコンフィグ

interface eth1
 ip address 10.0.0.3/8
!
interface vlan1
 ip address 192.168.30.1/24
!
zone private
 network lan
  ip subnet 172.17.0.0/30
  ip subnet 192.168.10.0/24
  ip subnet 192.168.30.0/24
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface eth1
  host eth1
   ip address 10.0.0.3
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 sport 500
 dport 500
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.eth1 to public.wan
 rule 40 permit isakmp from public.wan to public.wan.eth1
 rule 50 permit esp from public.wan.eth1 to public.wan
 rule 60 permit esp from public.wan to public.wan.eth1
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
crypto isakmp key secret-ac address 10.0.0.1
!
interface tunnel0
 ip address 172.17.0.2/30
 tunnel source 10.0.0.3
 tunnel destination 10.0.0.1
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip tcp adjust-mss 1260
 mtu 1300
!
ip route 192.168.10.0/24 tunnel0
ip route 192.168.10.0/24 null 254
!
end

接続状況の確認

awplus#show ipsec sa
-----------------------------------------------------------------------------
Peer                  SPI (in:out)          Mode          Proto  Expires
                      Encryption            Integrity     PFS
-----------------------------------------------------------------------------
10.0.0.3              c6f160f2:cdfe6fe6     tunnel        ESP    28696s
                      AES256                SHA256        -
10.0.0.2              c1c23fb5:c47a5b76     tunnel        ESP    28539s
                      AES256                SHA256        -
show ipsec peer
IPsec
  Selectors (local:remote)
    Address:  0.0.0.0/0 : 0.0.0.0/0
    Protocol: any:any
    Port:     any:any
    Mark:     16385:16385
  Profile: default
    SPI (In:Out): c1c23fb5:c47a5b76
        Selectors:  0.0.0.0/0           0.0.0.0/0
      Proto:      ESP
      Mode:       tunnel
      Encryption: AES256
      Integrity:  SHA256
      Expires:    28485s
ISAKMP
  LocalID:  10.0.0.1
  RemoteID: 10.0.0.2
    Cookies (Initiator:Responder) 6b5e84574fa59fd1:b08493cd7cafef4d
      Ver:            2             Lifetime: 79374s    State: Established
      Authentication: PSK           Group:    14
      Encryption:     AES256        NATT:     no
      Integrity:      SHA256        DPD:      yes
IPsec
  Selectors (local:remote)
    Address:  0.0.0.0/0 : 0.0.0.0/0
    Protocol: any:any
    Port:     any:any
    Mark:     16386:16386
  Profile: default
    SPI (In:Out): c6f160f2:cdfe6fe6
        Selectors:  0.0.0.0/0           0.0.0.0/0
      Proto:      ESP
      Mode:       tunnel
      Encryption: AES256
      Integrity:  SHA256
      Expires:    28642s
ISAKMP
  LocalID:  10.0.0.1
  RemoteID: 10.0.0.3
    Cookies (Initiator:Responder) 4d4dae450edd7d2f:244f2ed473ccecf9
      Ver:            2             Lifetime: 85848s    State: Established
      Authentication: PSK           Group:    14
      Encryption:     AES256        NATT:     no
      Integrity:      SHA256        DPD:      yes
awplus#show isakmp counters
Name                       Value
-------------------------------------
ikeInitRekey               0
ikeRspRekey                0
ikeChildSaRekey            0
ikeInInvalid               0
ikeInInvalidSpi            0
ikeInInitReq               2
ikeInInitRsp               0
ikeOutInitReq              1
ikeOutInitRsp              2
ikeInAuthReq               2
ikeInAuthRsp               0
ikeOutAuthReq              0
ikeOutAuthRsp              2
ikeInCrChildReq            0
ikeInCrChildRsp            0
ikeOutCrChildReq           0
ikeOutCrChildRsp           0
ikeInInfoReq               7
ikeInInfoRsp               13
ikeOutInfoReq              13
ikeOutInfoRsp              7
awplus#show isakmp sa
--------------------------------------------------------------------------------
Peer                 Cookies (initiator:responder)       Auth  Ver   Expires
                   Encryption    Integrity    Group    DPD   NATT  State
--------------------------------------------------------------------------------
10.0.0.3             4d4dae450edd7d2f:244f2ed473ccecf9   PSK   2     85722s
                   AES256        SHA256       14       yes   no    Established
10.0.0.2             6b5e84574fa59fd1:b08493cd7cafef4d   PSK   2     79248s
                   AES256        SHA256       14       yes   no    Established

本社セキュリティを上げる

本社のネットワークに支社から接続するイメージで、この3地点IPSecを検討しています。

ルータAで接続を受け入れるIPアドレスを支社B(ルータB)だけに絞ってみたいと思います。ルータAのpublic.wan設定を以下のように行うと、

zone public
 network wan
  host ipsec
   ip address 10.0.0.2
  host eth1
   ip address 10.0.0.1

firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.eth1 to public.wan.ipsec
 rule 40 permit isakmp from public.wan.ipsec to public.wan.eth1
 rule 50 permit esp from public.wan.eth1 to public.wan.ipsec
 rule 60 permit esp from public.wan.ipsec to public.wan.eth1
 protect

ルータA配下にいるパソコンからPING試験

C:\Users>ping 192.168.30.1

192.168.30.1 に ping を送信しています 32 バイトのデータ:
要求がタイムアウトしました。
192.168.10.1 からの応答: 宛先ホストに到達できません。
192.168.10.1 からの応答: 宛先ホストに到達できません。
要求がタイムアウトしました。

192.168.30.1 の ping 統計:
    パケット数: 送信 = 4、受信 = 2、損失 = 2 (50% の損失)、

C:\Users>ping 192.168.20.1

192.168.20.1 に ping を送信しています 32 バイトのデータ:
要求がタイムアウトしました。
192.168.20.1 からの応答: バイト数 =32 時間 =1ms TTL=63
192.168.20.1 からの応答: バイト数 =32 時間 =1ms TTL=63
192.168.20.1 からの応答: バイト数 =32 時間 <1ms TTL=63

192.168.20.1 の ping 統計:
    パケット数: 送信 = 4、受信 = 3、損失 = 1 (25% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
    最小 = 0ms、最大 = 1ms、平均 = 0ms

192.168.30.1 はフィルタされており、192.168.20.1とはPING疎通できる事が分かります。

フィルタで許可した 10.0.0.2とはIPSecが張られている事も分かります。

awplus>en
awplus#show ipsec sa
-----------------------------------------------------------------------------
Peer                  SPI (in:out)          Mode          Proto  Expires
                      Encryption            Integrity     PFS
-----------------------------------------------------------------------------
10.0.0.2              cde4a4ba:ce1afbf9     tunnel        ESP    28661s
                      AES256                SHA256        -

関連コンテンツ

アライドAR1050VとARX640SでIPSec通信する

以前から利用しているオムロンルータ。もう、オムロンはルータ作ってません。そろそろ買えないとセキュリティ的にもまずかなと感じ、新しいルータを物色中です。

そこで目に留まったのがアライドのAR1050Vです。

現在キャンペーン中で半額で購入できます。1台購入してみて、どんな感じか試したところ、中々IPSec通信ができなくてコンフィグ書くのにも一苦労でしたがアライドのサポートセンターに連絡したら丁寧に教えていただく事が出来ました。

アライド設定事例集

設定例集#18: PPPoE接続環境におけるARX640Sとの2点間IPsec VPN(両側アドレス固定)

古いOMRONのルータと接続できないか試していましたが、どうも難しかったので、アライドのルータ同士なら接続しやすいだろうと思い、在庫として眠らせてあった、ARX640Sを引っ張り出してきて設定しました。

この設定事例集との違いは、PPPoE環境を準備できなかったのでWAN側のIPアドレスを固定IPとした事。LAN内というか、直接AR1050Vと、ARX640sのWAN側を接続して試験しました。

接続構成

このため、設定事例集と比較してコンフィグの書き換えが必要になるわけですが、アライドのルータは触りなれていないのでどうも要領を得ず、アライドのサポートに連絡して無事接続できるようになりました。

AR1050Vの設定

service password-encryption
!
no banner motd
!
username manager privilege 15 password 8 $1$bJoVec4D$JwOJGPr7YqoExA0GVasdE0
!
!
no service ssh
!
service telnet
!
no service http
!
no clock timezone
!
snmp-server
!
aaa authentication enable default local
aaa authentication login default local
!
!内部ネットワークを表すゾーン「private」を作成します。
!ここでipsec相手側のネットワークを登録しておく事もポイントになります
zone private
 network lan
  ip subnet 192.168.10.0/24
  ip subnet 192.168.20.0/24
!
!外部ネットワークを表すゾーン「public」を作成します。
zone public
 network wan
  ip subnet 0.0.0.0/0 interface eth1
  host eth1
   ip address 10.10.10.1
!
!IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。 
application esp
 protocol 50
!
!ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。 
application isakmp
 protocol udp
 sport 500
 dport 500
!
!rule 10 - 内部から内部への通信を許可します
!rule 20 - 内部から外部への通信を許可します
!rule 30, 40 - ISAKMPパケットを許可します
!rule 50, 60 - IPsec(ESP)パケットを許可します
!rule 70 - 本製品のWAN側インターフェースから外部へのDNS通信を許可します
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.eth1 to public.wan
 rule 40 permit isakmp from public.wan to public.wan.eth1
 rule 50 permit esp from public.wan.eth1 to public.wan
 rule 60 permit esp from public.wan to public.wan.eth1
 rule 70 permit dns from public.wan.eth1 to public.wan
 protect
!
!LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
nat
 rule 10 masq any from private to public
 enable
!
!対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。
crypto isakmp key 8 ************** address 10.20.20.1
!
ip domain-lookup

no service dhcp-server
!
interface port1.0.1-1.0.4
 switchport
 switchport mode access
!
!設定事例集ではPPPを利用しますが、ここではeht1を利用します
interface eth1
 ip address 10.10.10.1/8
!
!LAN側インターフェースvlan1にIPアドレスを設定します。
interface vlan1
 ip address 192.168.10.1/24
!
!IPsecトンネルインターフェースtunnel0を作成します。
!・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source)
!・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination)
!・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec)
!・トンネリング方式(tunnel mode ipsec)
!・トンネルインターフェースのIPアドレス(ip address)
!・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss)
interface tunnel0
 tunnel source 10.10.10.1
 tunnel destination 10.20.20.1
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.1/30
 ip tcp adjust-mss 1260
!
!デフォルト経路(0.0.0.0/0)とルーターBのLAN側(192.168.20.0/24)への経路を設定します。これにはip routeコマンドを使います。
ただし、ルーター間のVPN接続が有効になるまでは、対向側LANへの経路は使用できないように設定します。
!ip route 0.0.0.0/0 10.10.10.2 ⇒このコマンドはなくてもipsec通信できた
ip route 192.168.20.0/24 tunnel0
ip route 192.168.20.0/24 null 254
!
!DNSリレー機能を有効にします。
ip dns forwarding
!
line con 0
line vty 0 4
!
end

ARX640S

service password-encryption
!
clock timezone JST 9
!
!Pインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。
ip address-up-always
!
!WAN0インターフェース(gigabitEthernet 0)を有効にします。
!LAN内で利用する時は gigabitEthernet 0 , PPPで利用する時は gigabitEthernet 0.1
interface gigabitEthernet 0
 ip address 10.20.20.1/8
 no shutdown
 ip traffic-filter pppoe0-in in
 ip traffic-filter pppoe0-out out
!
!LAN内で利用する時はこちらは使わない
interface gigabitEthernet 0.1
 no shutdown
 ip napt inside any
 ip traffic-filter pppoe0-in in
 ip traffic-filter pppoe0-out out
 ip ids in protect
!
!トンネルインターフェース(tunnel 0)を作成し、インターフェースを使用できるようにします。
!このトンネルインターフェースに対応するIPsecポリシーを設定します。
interface tunnel 0
 tunnel mode ipsec
 ip address 172.16.0.2/30
 ip tcp mss auto
 no shutdown
 tunnel policy vpn
!
!LAN側インターフェース(vlan 1)にIPアドレスを設定します。
interface vlan 1
 ip address 192.168.20.1/24
 no shutdown
!
!デフォルト経路(0.0.0.0/0)とルーターAのLAN側(192.168.10.0/24)への経路を設定します。
ただし、ルーター間のVPN接続が有効になるまでは、対向側LANへの経路は使用できないように設定します。
ip route default 10.20.20.2
ip route 192.168.10.0/24 tunnel 0
ip route 192.168.10.0/24 Null 254
!
!IPsec処理の適用対象パケットを指定するためのアクセスリストipsecを作成します。
access-list ip extended ipsec
 permit ip any any
!ISAKMPパケットだけを許可し他の通信はすべて遮断するアクセスリストpppoe-inを作成します。
access-list ip extended pppoe0-in
 dynamic permit udp any interface gigabitEthernet 0 eq 500 sequence 30
!すべての通信を許可するアクセスリストpppoe0-outを作成します。
access-list ip extended pppoe0-out
 dynamic permit ip any any
!フェーズ1のプロポーザルを設定します。
isakmp proposal isakmp encryption aes256 prf sha1 hash sha1 group 14
isakmp proposal isakmp lifetime 86400
!ISAKMPポリシーを設定します。
isakmp policy vpn
 peer 10.10.10.1
 mode ikev2
 auth preshared key 8 ****************
 proposal isakmp
 keepalive enable
 nat-traversal enable
!フェーズ2のプロポーザルを設定します。
ipsec proposal ipsec esp encryption aes256 hash sha1
ipsec proposal ipsec lifetime 28800
!IPsecポリシーを設定します。
ipsec policy vpn
 peer 10.10.10.1
 access-list ipsec
 proposal ipsec
 always-up-sa
!DNSリレー機能を有効にします。
proxydns ip enable
!
!
ip dhcp pool vlan 1
 range 192.168.1.155 192.168.1.254
dhcp-server ip enable
!
http-server username manager password 8 $1$EJO/tsuy$RzBmhy76wsZcqWR6mhELk0
http-server ip enable
!
telnet-server ip enable
!
end

接続状況の確認

awplus#show ipsec peer
IPsec
  Selectors (local:remote)
    Address:  0.0.0.0/0 : 0.0.0.0/0
    Protocol: any:any
    Port:     any:any
    Mark:     16385:16385
  Profile: default
    SPI (In:Out): c379309e:ddf97910
        Selectors:  0.0.0.0/0           0.0.0.0/0
      Proto:      ESP
      Mode:       tunnel
      Encryption: AES256
      Integrity:  SHA1
      Expires:    28480s
ISAKMP
  LocalID:  10.10.10.1
  RemoteID: 10.20.20.1
    Cookies (Initiator:Responder) a213551305668a1c:71710b668c9c7df5
      Ver:            2             Lifetime: 82406s    State: Established
      Authentication: PSK           Group:    14
      Encryption:     AES256        NATT:     no
      Integrity:      SHA1          DPD:      yes
awplus#show ipsec sa
-----------------------------------------------------------------------------
Peer                  SPI (in:out)          Mode          Proto  Expires
                      Encryption            Integrity     PFS
-----------------------------------------------------------------------------
10.20.20.1            c379309e:ddf97910     tunnel        ESP    28413s
                      AES256                SHA1          -
awplus#show isakmp counters
Name                       Value
-------------------------------------
ikeInitRekey               2
ikeRspRekey                0
ikeChildSaRekey            7
ikeInInvalid               0
ikeInInvalidSpi            0
ikeInInitReq               4
ikeInInitRsp               1
ikeOutInitReq              1
ikeOutInitRsp              43129
ikeInAuthReq               4
ikeInAuthRsp               1
ikeOutAuthReq              1
ikeOutAuthRsp              4
ikeInCrChildReq            0
ikeInCrChildRsp            9
ikeOutCrChildReq           9
ikeOutCrChildRsp           0
ikeInInfoReq               354
ikeInInfoRsp               5168
ikeOutInfoReq              5170
ikeOutInfoRsp              354
awplus#show isakmp sa
--------------------------------------------------------------------------------
Peer                 Cookies (initiator:responder)       Auth  Ver   Expires
                   Encryption    Integrity    Group    DPD   NATT  State
--------------------------------------------------------------------------------
10.20.20.1           a213551305668a1c:71710b668c9c7df5   PSK   2     82244s
                   AES256        SHA1         14       yes   no    Established

関連コンテンツ

Untangleインターネット接続できない

現在、うちの環境で利用しているUntangleインターネットゲートウェイは3台あります。そのうち、2台で夜中にインターネット接続できない現象が出ていてちょっと困っています。

遠方にあるUntangleもOpenVPNで管理できる事を思い出して調整したところ、状況が分かってきたのですが、どうやら接続できなくなる原因は2台とも違うみたい。

1台目の事象はこちら

アラートが急増

アラートが急増している時間があり、この時間のログを調べてみると、

Malware Sites website visit detected

ウィルスサイトに多数アクセスがいっています。

{“reason”:”BLOCK_CATEGORY”,”appName”:”web_monitor”,”requestLine”:”GET http://b9good.com/attachments/video/201908/20190809041602_7612.jpg”,”sessionEvent”:{“entitled”:true,”partitionTablePostfix”:”_2019_08_13″,”CServerPort”:80,”hostname”:”DESKTOP-6OAG28H”,”protocol”:6,”protocolName”:”TCP”,”localAddr”:”/192.168.15.123″,”serverLatitude”:45.3161,”class”:”class com.untangle.uvm.app.SessionEvent”,”SServerAddr”:”/144.217.71.186″,”remoteAddr”:”/144.217.71.186″,”serverIntf”:1,”CClientAddr”:”/192.168.15.123″,”serverCountry”:”CA”,”SClientAddr”:”/122.23.4.30″,”sessionId”:102593047950494,”CClientPort”:49177,”policyRuleId”:0,”clientCountry”:”XL”,”timeStamp”:”2019-08-13 20:28:11.454″,”serverLongitude”:-73.8736,”clientIntf”:2,”SClientPort”:38619,”policyId”:1,”SServerPort”:80,”bypassed”:false,”CServerAddr”:”/144.217.71.186″,”tagsString”:””},”partitionTablePostfix”:”_2019_08_13″,”timeStamp”:”2019-08-13 20:28:50.393″,”blocked”:false,”flagged”:true,”tag”:”Web_Monitor [5]:”,”ruleId”:56,”category”:”Malware Sites”,”class”:”class com.untangle.app.web_filter.WebFilterEvent”,”categoryId”:56}

これが100件ほど短時間に上がっていて、これが原因でCPU LOAD HIGH(過負荷)とかかなと思ったのですが、システムイベント系にはそれは記録されていない。

この状況から、なぜインターネット接続が止まったかが釈然としないんですね。

tcp_max_orphanedとは違う?

tcp_max_orphaned問題は、セッションがうまくきれない通信が増えすぎメモリを食い過ぎてなるものかな?と思っているわけですが、この時のアラートは、

Server load is high

The current system state is: [ Load (1-minute): 195.13, Load (5-minute): 283.48, Load (15-minute): 129.74, Memory Free: 2987MB, Disk Free: 73075MB, Swap Used: 216MB ]

こんなアラートを出した後、インターネット接続ができなくなるわけですが、この記録がないんです。

接続できなくなった時間は、通信量もまったくなくなります。

通信はなくなってない

もう一台の方は通信がなくなっていないので。通信しづらい状況なのか?とも追われますが、それにしては通信量はそこまで多くない感じです。

関連コンテンツ

PoE VLAN HUBが1万円以下?Netgear HUB

最近Ciscoを触るようになり、基幹ネットワークもCiscoHUBになったはいいのですが、やっぱり高い。

VLANが利用できて、Poe給電ができるのは、

Catalyst 2960L 8 port GigE PoE

4万円近くになります。

ところが、NetGearは同程度の性能を持っていて安い。

GS108PE-300JPS

PoE給電できて、VLANが解釈できる製品で1万円を切るんです。

はぁ。ネットワーク管理者としては、製品を揃えたいのですがNetgearも数年使っていますが特に不具合を起こしたこともなく。Ciscoと比べて費用を4分の1に抑える事ができて永久保証。これはNetgear製品を購入する事になりますね。

関連コンテンツ