前回、VPNルータ「RTX1210」を使ってLANとインターネット接続を構築しました。今回はそれをそのまま使い、RTX1210にIPSecVPNの設定をしていきましょう。
VPNの種類を理解する
まず、VPNとはどういったものかについておさらいしておきましょう。
VPN(Virtual Private Network)とは、共有ネットワーク上にプライベートなネットワークを構築する技術のことで、最近では、インターネット上に構築するVPNが一般的です。外出先から事業所のサーバにアクセスしたり、事業所間のLANとLANを接続したり、あたかも専用線のようにネットワークを使うことを目的としています。
インターネット上には、盗聴、改竄、なりすましなどのさまざまな脅威が存在しますが、VPNではその通信経路を認証や暗号化の仕組みを使って保護することで、安全な通信を実現します。
VPNにはいくつかの種類がありますが、とりわけ企業に関係があるのは、IPSecVPNとSSL-VPNの2つでしょう。導入にあたっては、適した用途を踏まえ、初期設定、運用コストなども考慮しながら検討してください。参考までに、IPSecVPNとSSL-VPNを比較すると以下のようになります。
IPSecは暗号化通信方式の標準規格です。IPSecが動作するレイヤはネットワーク層で、IPレベルで動作することが大きな特徴と言えます。SSLが動作するのはセッション層で、さらにTCP/IPが必要ですので、UDPのアプリケーションは動作しないといった制約が出てきます。しかし、IPSecには、そのようなアプリケーションの制約を受けないというメリットがあります。
またでは、認証アルゴリズムと暗号アルゴリズムという2種類のアルゴリズムを使用します。アルゴリズムは固定していないので、用途によって選択できます。
「RTX1210」で利用可能な認証アルゴリズムと暗号アルゴリズム
RTX1210においてもIPSecを使う場合は、以下のように、認証アルゴリズムと暗号アルゴリズムを選択します。
認証アルゴリズム
「RTX1210」では、暗号化方式として生成された鍵を自分と相手とで共有する「共有鍵暗号方式」が使われます。共有鍵暗号方式は、公開鍵暗号方式よりも暗号化の速度が高速であると言われています。よって、認証方式は「HMAC」となります。また、認証と合わせて使用するハッシュ関数は「SHA」「SHA256」「MD5」があります。
つまり、認証アルゴリズムは以下の3つから選択できます。
- HMAC-SHA
- HMAC-SHA256
- HMAC-MD5
暗号アルゴリズム
先に述べたように、「RTX1210」では「共有鍵暗号方式」を用いるので、データを暗号化するための暗号化方式は「AES」「AES256」「3DES」「DES」のいずれかを利用できます。また、暗号利用モードは「CBC」です。
つまり、暗号アルゴリズムは以下の4つから選択できます。
- AES-CBC
- AES256-CBC
- 3DES-CBC
- DES-CBC
RTX1210におけるIPSecVPN設定の事前準備
さて、RTX1210でIPSecVPNの設定を進めていきたいところですが、設定を行うにあたり、いくつか事前に準備することがあります。
固定のグローバルIP/ネットボランチDNSホスト名の設定
自分と接続先の両方、または、どちらかのルータに、固定のグローバルIP、または、ネットボランチDNSホスト名を設定します。
どちらかのルータで固定のグルーバルIPを取得していればよいのですが、なかなか取得できない場合も多いです。そこで、ヤマハから提供されている「ネットボランチDNSサービス」を使い、ネットボランチDNSホスト名を取得します。
このサービスは、ホスト名と動的なIPアドレスをひもづけるサービスで、サービスに対応するルータを使用する場合は、無料かつ無保証で使えます。RTX1210もこのサービスを使えますので、WebGUIから早速登録しましょう。その手順は以下になります。
(1)Webブラウザを起動し「http://192.168.100.1/」にアクセスします。 (2)ユーザー名とパスワードを入力してログインします。 (3)「かんたん設定」タブから「ネットボランチDNS」ボタンをクリックすると、ネットボランチDNSの設定画面が表示されます。
(4) WANに接続されているインタフェースを選択し、登録するホスト名を入力します。
例えば、ホスト名に「shiolab」を入力した場合は、ネットボランチDNSホスト名は「shiolab.aa0.netvolante.jp」のように登録されます。
認証鍵の文字列、認証アルゴリズム、暗号アルゴリズムを接続先と共有
認証鍵(pre-shared key)の文字列、認証アルゴリズム、暗号アルゴリズムを決めて、接続先と情報共有します。その手順は以下になります。
(1)認証鍵の文字列には、半角英数字で128文字までの文字列を設定します。
(2)認証アルゴリズムと暗号アルゴリズムについて、どれを選択すべきかの判断は、状況によって異なると思います。ここでは、認証アルゴリズムに「HMAC-SHA」、暗号アルゴリズムに「AES-CBC」を使うものとします。
接続先のLAN側のアドレス情報を入手する
接続先のLAN側IPアドレスは、自分側のIPアドレスと重複できません。接続先ではIPアドレスを「192.168.200.1/24」などで設定してください。
次回は、いよいよRTX1210にIPSecVPNの設定をしていきます。事業所間での接続が確認できるところまで進める予定です。