IPsec de VPN / RTX1000 / FreeBSD 4.8R

Network Users' Group ``wheel'' / Dai ISHIJIMA's Page / RTA55i /
RTX1000とFreeBSD boxをIPsec/VPNで接続
→ PPTPでVPN ・ 2台のRTをPPTP接続・ PoPToP PPTPサーバ
→ IPsecでVPN ・ RTとBSDをIPsecで接続

初版: 2003/12/22
最終更新日: 2003/12/22

IPsecでVPN

～ YAMAHA RTX1000とFreeBSD boxをIPsecでつなぐ～

☆ネットワーク構成

下図のネットワークにおいて、FreeBSD box・RTX1000間をIPsec/VPNで接続します。 FreeBSD box (172.16.2.2) および、ネットワーク172.16.2.0/24上のマシンから Server (192.168.1.1) にパケットが届くようにし、 FreeBSD box（と172.16.2.0/24のマシン）から Serverにtelnetでログインできるようにすることが目標です。

このネットワークでは、RTX1000でNATを使っています。このため、RTW65bやFreeBSD boxからは、通常の状態では、 Server向けてパケットを投げる（通信の発呼を行う）ことはできません。しかし、VPNを使ってFreeBSD boxをRTX1000に接続すると、 NATを通り越して（迂回して??）FreeBSD boxからServerへtelnetをかけることができるようになります。

下図において、RTW65bの部分をインターネット、 RTX1000より下の部分をイントラネットと考えると、出先からどこかのプロバイダ経由で社内イントラネットにインターネットVPNでアクセスする場合の参考になるのではないでしょうか。

RTW65bは、単に 172.16.1.0/24 と 172.16.0.0/24 をつなぐために置いているだけで、LAN1 (LAN) と LAN2 (WAN) のIPアドレスと経路の設定ぐらいしかしていません。

       +----------------+-------+ 172.16.2.0/24
                        |
                        |172.16.2.2 (ed1)
	          +-----------+ FreeBSD 4.8R
	          |FreeBSD box|   (IPsec ready kernel,
	          +-----------+    racoon-20030826a)
	                |172.16.1.2 (rl0)
	                |
	+-------+-------+-------+ 172.16.1.0/24
	        |
	        |172.16.1.1
	    +-------+(LAN1[LAN])
	    |RTW65b |
	    +-------+(LAN2[WAN])
	        |172.16.0.1
	        |
	+-------+-------+-------+ 172.16.0.0/24
	                |
	                |172.16.0.254
	            +-------+(LAN2)         ↑ pseudo Internet
	            |RTX1000|      --↑NAT =====================
	            +-------+(LAN1)         ↓ Intranet
	                |192.168.1.254
	                |
	+-------+-------+-------+ 192.168.1.0/24
	        |
	        |192.168.1.1
	    +-------+
	    |Server |
	    +-------+

☆RTX1000の設定

	ip route default gateway 172.16.0.1
	ip route 172.16.2.0/24 gateway tunnel 2
	ip lan1 address 192.168.1.254/24
	ip lan2 address 172.16.0.254/24
	ip lan2 nat descriptor 1
	tunnel select 2
	 ipsec tunnel 102
	  ipsec sa policy 102 2 esp 3des-cbc md5-hmac
	  ipsec ike encryption 2 3des-cbc
	  ipsec ike group 2 modp1024
	  ipsec ike local address 2 192.168.1.254
	  ipsec ike pre-shared-key 2 freebsd-rtx1000
	  ipsec ike remote address 2 172.16.1.2
	 tunnel enable 2
	nat descriptor type 1 masquerade
	nat descriptor address outer 1 primary
	nat descriptor masquerade rlogin 1 on
	nat descriptor masquerade static 1 1 192.168.1.254 udp 500
	nat descriptor masquerade static 1 2 192.168.1.254 esp
	ipsec auto refresh on

☆FreeBSD boxの設定

以下オプションを設定し、事前にIPsec対応カーネルを作成しておく。
```
	options IPSEC
	options IPSEC_ESP
	options IPSEC_DEBUG
	
```
racoonをインストールしておく。

トンネルの作成

	# ifconfig gif0 create tunnel 172.16.1.2 172.16.1.1
	# ifconfig gif0 172.16.2.2 192.168.1.254 netmask 255.255.255.255
	# route add 192.168.1.0/24 192.168.1.254

/etc/ipsec.conf

	#
	flush;
	spdflush;
	spdadd  172.16.2.0/24   192.168.1.0/24  any
        	-P out ipsec esp/tunnel/172.16.1.2-172.16.0.254/require;
	spdadd  192.168.1.0/24  172.16.2.0/24   any
        	-P in  ipsec esp/tunnel/172.16.0.254-172.16.1.2/require;

/usr/local/etc/racoon/psk.txt
```
	172.16.0.254	freebsd-rtx1000
	
```

/usr/local/etc/racoon/racoon.conf

	path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
	remote anonymous
	{
	        exchange_mode aggressive,main;
	        doi ipsec_doi;
	        situation identity_only;
	        nonce_size 16;
	        lifetime time 1 min;    # sec,min,hour
	        initial_contact on;
	        support_mip6 on;
	        proposal_check obey;    # obey, strict or claim
	        proposal {
	                encryption_algorithm 3des;
	                #hash_algorithm sha1;
	                hash_algorithm md5;
	                authentication_method pre_shared_key ;
	                dh_group 2 ;
	        }
	}
	sainfo anonymous
	{
	        pfs_group 2;
	        lifetime time 30 sec;
	        encryption_algorithm 3des ;
	        authentication_algorithm hmac_md5 ;
	        compression_algorithm deflate ;
	}

☆RTW65bの設定

	ip lan1 address 172.16.1.1/24
	ip lan1 routing protocol none
	ip lan1 rip listen none
	ip lan2 address 172.16.0.1/24
	ip lan2 routing protocol none
	ip lan2 rip listen none
	syslog notice on
	httpd service off
	dhcp service server
	dhcp server rfc2131 compliant except remain-silent
	dhcp scope 1 172.16.1.2-172.16.1.194/24

☆Serverの設定

経路をRTX1000に向けておく

	# route add -net 172.16.0.0/16 gw 192.168.1.254

別のマシンからtelnetでログインできるようにしておく

結果

とりあえずつながってますが、 RTX1000のログに（意図していないものが）イロイロ残るの（次のログの5,6行めの「no SPI」や「invalid cookie」など）が美しくないです。設定に抜けている点があるのかもしれません。

	2003/12/22 23:54:49: IP Tunnel[2] Up
	2003/12/22 23:54:50: [IKE] IPsec socket[tunnel:2] is refered
	2003/12/22 23:54:53: [IKE] [1015] retransmit to 172.16.1.2 (count = 9)
	2003/12/22 23:54:53: [IKE] add info context [1020] 2c084c9b0a83c07d 610a3361
	2003/12/22 23:54:53: [IKE] no SPI is specified.
	2003/12/22 23:54:53: [IKE] invalid cookie : no message

FreeBSD boxでのifconfig(8)実行結果

	% ifconfig -a
	rl0: flags=8843 mtu 1500
	        inet 172.16.1.2 netmask 0xffffff00 broadcast 172.16.1.255
	        …
	gif0: flags=8051 mtu 1280
	        tunnel inet 172.16.1.2 --> 172.16.0.254
	        inet 172.16.2.2 --> 192.168.1.254 netmask 0xffffffff 
	        …
	ed1: flags=8843 mtu 1500
	        inet 172.16.2.2 netmask 0xffffff00 broadcast 172.16.2.255
	        …

サーバにtelnetをかけてみたときのログ

	% telnet -N -K 192.168.1.1
	Trying 192.168.1.1...
	Connected to 192.168.1.1.
	Escape character is '^]'.

	Lineo Embedix Linux(TM)
	Copyright 1999-2000 Lineo, Inc.


	BusyBox on zaurus login:

☆関連リンク

☆参考文献

FreeBSDでIPsecを利用するにあたり、次の文献を参考にしました。特に、1. と 2. が大変役立ちましたm(_ _)m。

http://www.y-min.or.jp/~nob/FreeBSD/IPsec.html
NobさんのIPSec on FreeBSD
http://menter.rightstuff.co.jp/~yasu/VPN/
桑田康夫さんのIPFW+IPSEC で VPN on FreeBSD
http://www.rtpro.yamaha.co.jp/RT/docs/example/vpnclient/vpn_client.html
YAMAHA RTシリーズの接続事例集 / VPNクライアントソフトとの接続 .
馬場達也; マスタリングIPsec, (2001/10, オライリー), ISBN4-87311-059-9 .

ご質問などありましたらお気軽に