前回は、IPSec VPNにおいて重要な役割を担う、認証アルゴリズムや暗号アルゴリズムについて簡単に解説しました。また、「RTX1210」を使ったIPSec VPNの事業所間接続では、固定のグローバルIPもしくはネットボランチDNSホスト名が必要となるので、ネットボランチDNSホスト名を登録しました。

今回は、RTX1210にIPSec VPNの設定を行い、事業所間でVPN接続できていることを確認するところまで進めましょう。

VPN接続を導入する

事業所間でVPN接続を導入する状況としては、次のようなケースを想定できます。

「ゼロから始める株式会社」(仮称)は、本社と支社の2拠点からなる中小企業です。本社と支社は物理的に離れています。それぞれの拠点では、独立してLAN環境を構築しており、インターネットへの接続も別々に設定しています。本社と支社の間に専用線などのネットワークはなく、電子ファイルのやり取りは、電子メールやクラウドサービスを使って行っています。
セキュリティ対策が必要という認識はありながらも、具体的な対策を取っていなかったところ、事業所間でVPN接続を構築することはそれほど難しくないとの記事を見かけて導入を考えた。

このようなケースです。

ネットワーク構成の整理

まず、「ゼロから始める株式会社」のネットワーク構成を整理しましょう。

本社
1. ルータ … ヤマハ製「RTX1210」
2. LAN側のIPアドレス … 192.168.100.0 / 24
3. ネットボランチDNSホスト名 … shiolab.aa0.netvolante.jp

支社
1. ルータ … ヤマハ製「RTX810」
2. LAN側のIPアドレス … 192.168.200.0 / 24
3. ネットボランチDNSホスト名 … shiolab.aa1.netvolante.jp

VPN接続する事業所では、LAN側のIPアドレスに同一のものを使うことができないため、違うアドレス帯を設定します。また、それぞれの拠点はインターネット側に固定のグローバルIPを持っていないので、ネットボランチDNSホスト名を登録しています。

認証鍵、認証アルゴリズム、暗号アルゴリズムの決定

双方で共有すべき情報は、以下のように設定します。

(1)認証鍵
適当な文字列を決めます。ここでは、「test」という文字列とします。

(2)認証アルゴリズム
「RTX1210」では、「HMAC-SHA」「HMAC-SHA256」「HMAC-MD5」の3つから認証アルゴリズムを選択できます。MD5よりもSHAのほうが強固で、SHAよりもSHA256のほうが新しいアルゴリズムなので、「HMAC-SHA256」を使用することにします。

(3)暗号アルゴリズム
「RTX1210」では、暗号アルゴリズムとして、「AES-CBC」「AES256-CBC」「3DES-CBC」「DES-CBC」の4つから選択できます。AESはDESよりも安全であり、米国標準規格としても導入されています。また、暗号鍵として最長の256ビット暗号鍵を使用しているAES256は、強固な暗号化方式の1つと言われていますので、「AES256-CBC」を使用することにします。

VPNの設定をする

それでは、本社と支社のルータにVPN設定をしましょう。いずれも、WebベースのGUIから設定できます。

本社のルータ「RTX1210」に設定する

(1)Webブラウザを起動し「http://192.168.100.1/」にアクセスします。

(2)ユーザー名とパスワードを入力してログインします。

(3)「かんたん設定」タブから「VPN」-「拠点間接続」ボタンの順でクリックすると、拠点間接続VPNの設定画面が表示されます。

(4)「新規」ボタンをクリックします。

(5)「接続種別の選択」で「IPsec」をチェックして、「次へ」をクリックします。

(6) IPsecに関する設定を行います。先に決定した情報を入力して、「次へ」をクリックします。

ネットワーク環境 … 両方ともネットボランチDNS名を持っている
接続先のホスト名 … shiolab.aa1.netvolante.jp
認証鍵 … test
認証アルゴリズム … HMAC-SHA256
暗号アルゴリズム … AES256-CBC

(7) 経路に関する設定を行います。接続先(支社)のLAN側のアドレスである「192.168.200.0」を入力して、「次へ」をクリックします。

(8) 「入力内容の確認」画面が表示されるので、確認したら「設定の確定」ボタンをクリックします。

(9) 接続設定の一覧に、「TUNNEL[01]」として表示されます。

支社のルータ「RTX810」に設定する

支社のルータ「RTX810」にも、本社のルータ「RTX1210」と同様の設定をします。ここでは細かい説明を省きますが、以下のように設定をしてください。

VPN接続が確立されていることを確認する

両方のルータで設定が済むと、VPN接続が開始されます。ルータがインターネットに接続しており、設定が正しければ、VPN接続は自動で確立します。接続が確立できている場合、WebGUIでは以下のように緑色の矢印が表示されます。

コマンドで接続状態を確認

接続状態は、WebGUIからコマンドを発行することで確認することもできます。それには、WebGUIの「管理」タブから、「保守」-「コマンドの実行」画面を開き、コマンドを入力して実行します。

例えば、トンネルインタフェースの状態を確認する場合は以下のコマンドを実行します。

show status tunnel 01

接続が確立できている場合は、「トンネルインターフェースは接続されています」と表示されます。また、ipsec saの状態を確認するには以下のコマンドを実行します。(saについては別途解説します)

show ipsec sa gateway 1 detail

接続が確立できている場合は、以下のように表示されます。

SA[1] 寿命: 28561秒
自分側の識別子: 192.168.100.1
相手側の識別子: xxx.xxx.xxx.xxx
送受信方向: 送信
プロトコル: ESP (モード: tunnel)
アルゴリズム: AES256-CBC (認証: HMAC-SHA2-256)
SPI: a5 ae 59 dd
鍵 : * * * * *  (confidential)   * * * * *

双方のルータでの設定を適切に行えば、比較的スムーズにVPN接続は確立できるでしょう。しかし、実際にはスムーズに接続できないことも多いものです。次回は、接続に失敗する場合のトラブルシューティングを紹介します。