Network Users' Group ``wheel'' / Dai ISHIJIMA's Page / SL Zaurus関連 /
IPsecでVPN | 関連リンク
NAT併用版 | →RTX1000とFreeBSD boxをIPsec/VPNで接続 | →NetVolanteでPPTP VPN

初版: 2003-12-18
最終更新日: 2004-06-04


IPsecでVPN

〜 SL-ZaurusとYAMAHA RTX1000をIPsecでつなぐ 〜


☆はじめに

このページは、シャープSL-C760とヤマハRTX1000のVPNに関する備忘録です。

2003年5月に発表されたSL-C750/760の特徴の一つに 「VPN(IPsec)対応でモバイルオフィスを実現」 というものがあります。 しかし、紙の取扱説明書にもPDFのマニュアルにも、 詳しい設定方法などは記載されていません。 また、 サポートステーション (http://support.ezaurus.com/) にも具体的な情報はみあたらないようです。 提供されている情報は、仕様一覧や、設定に使うGUIの説明程度で、 実際にどんな設定をザウルス側や対向ルータに行えばよいのかといった 設定例のようなものはないようです(2003/12/18現在)。

そこで、このページでは、実際に「VPNを張るのにどういう設定をしたか」 という具体的な設定例を紹介します。 なお、ここでは、細かい説明は後回しにして、 「こうやったらつながりました」という結果のみを報告しております。

細かい説明その他はいずれこのページ、あるいはどこか:-)で 紹介する予定です。


☆ネットワーク構成

下図のネットワークにおいて、SL-C760・RTX1000間をIPsec/VPNで接続します。 SL-C760 (172.16.0.2) から Server (192.168.1.252) にパケットが届くようにし、 SL-C760からServerにtelnetでログインできるようにすることが目標です。

下図において、RTW65bの部分をインターネット、 RTX1000より下の部分をイントラネットと考えると、 出先からどこかのプロバイダ経由で社内イントラネットに インターネットVPNでアクセスする場合の 参考になるのではないでしょうか。

RTW65bは、単に 172.16.0.0/24 と 192.168.0.0/24 をつなぐために 置いているだけで、LAN1 (LAN) と LAN2 (WAN) のIPアドレスと 経路の設定ぐらいしかしていません。

RTX1000でNATを併用する場合の例こちらへどうぞ。

	            +-------+
	            |SL-C760|
	            +-------+
	                |172.16.0.2(DHCP)
	                |
	+-------+-------+-------+ 172.16.0.0/24
	        |
	        |172.16.0.1
	    +-------+(LAN2[WAN])
	    |RTW65b |
	    +-------+(LAN1[LAN])
	        |192.168.0.1
	        |
	+-------+-------+-------+ 192.168.0.0/24
	                |
	                |192.168.0.254
	            +-------+(LAN2)
	            |RTX1000|
	            +-------+(LAN1)
	                |192.168.1.253
	                |
	+-------+-------+-------+ 192.168.1.0/24
	        |
	        |192.168.1.252
	    +-------+
	    |Server |
	    +-------+


☆RTX1000の設定

	ip route default gateway 192.168.0.1
	ip route 172.16.0.0/24 gateway tunnel 1 filter 1 2 3
	ip lan1 address 192.168.1.253/24
	ip lan2 address 192.168.0.254/24
	tunnel select 1
	 ipsec tunnel 101
	  ipsec sa policy 101 1 esp aes-cbc md5-hmac
	  ipsec ike encryption 1 aes-cbc
	  ipsec ike group 1 modp1024
	  ipsec ike local address 1 192.168.0.254
	  ipsec ike pre-shared-key 1 text himitsu
	  ipsec ike remote address 1 any
	  ipsec ike remote name 1 test
	 tunnel enable 1
	ip filter 1 reject * * udp * 500
	ip filter 2 reject * * esp
	ip filter 3 pass * *
	ipsec auto refresh on


☆SL-C760の設定


☆RTW65bの設定

	ip lan1 address 192.168.0.1/24
	ip lan2 address 172.16.0.1/24
	ip route 192.168.0.0/16 gateway 192.168.0.254
	dhcp scope 1 192.168.0.2-192.168.0.191/24
	dhcp scope 2 172.16.0.2-172.16.0.191/24


☆Serverの設定


☆VPN接続の確認

SL-C760からServerに向けてpingやtelnetをかけてみます。 また、このとき、ルータのログには次のようなメッセージが残っているはずです。
	[IKE] respond ISAKMP phase to 172.16.0.2
	[IKE] respond IPsec phase to 172.16.0.2
	[IKE] activate IPsec socket[tunnel:1](inbound)
	[IKE] activate IPsec socket[tunnel:1](outbound)
	IP Tunnel[1] Up
「Tunnel[1] Up」が出ないときは、 事前共有鍵や暗号アルゴリズムその他の条件が SL-C760とRTX1000で合致していない可能性があります。 「Tunnel[1] Up」が出ているのにつながらない場合は、 経路設定に問題がある可能性があります。


☆関連リンク

  1. RTX1000でNATを併用する場合の例
  2. SL-ZaurusでもIPv6
  3. RT/RTAシリーズルータ関連情報
  4. RTX1000とFreeBSD boxをIPsec/VPNで接続する例
  5. RTA55iでMRTG
  6. IPsecでVPN (Zaurus with Linux #09)


☆参考文献

  1. http://www.rtpro.yamaha.co.jp/RT/docs/example/vpnclient/vpn_client.html
    YAMAHA RTシリーズの接続事例集 / VPNクライアントソフトとの接続 .
  2. 馬場 達也; マスタリングIPsec, (2001/10, オライリー), ISBN4-87311-059-9 .
  3. http://support.ezaurus.com/sl-c760/qa/qa-slc760-internet-04.asp
    Zaurus Support Station / SL-C760,750 / VPN対応
    たいした情報は出ていませんが…(^^;;; .

ご質問などありましたらお気軽に