IPsec on SL Zaurus / RTX1000

Network Users' Group ``wheel'' / Dai ISHIJIMA's Page / SL Zaurus関連 /
IPsecでVPN | 関連リンク
→NAT併用版 | →RTX1000とFreeBSD boxをIPsec/VPNで接続 | →NetVolanteでPPTP VPN

初版: 2003-12-18
最終更新日: 2004-06-04

IPsecでVPN

～ SL-ZaurusとYAMAHA RTX1000をIPsecでつなぐ～

☆はじめに

このページは、シャープSL-C760とヤマハRTX1000のVPNに関する備忘録です。

2003年5月に発表されたSL-C750/760の特徴の一つに「VPN（IPsec）対応でモバイルオフィスを実現」というものがあります。しかし、紙の取扱説明書にもPDFのマニュアルにも、詳しい設定方法などは記載されていません。また、サポートステーション (http://support.ezaurus.com/) にも具体的な情報はみあたらないようです。提供されている情報は、仕様一覧や、設定に使うGUIの説明程度で、実際にどんな設定をザウルス側や対向ルータに行えばよいのかといった設定例のようなものはないようです（2003/12/18現在）。

そこで、このページでは、実際に「VPNを張るのにどういう設定をしたか」という具体的な設定例を紹介します。なお、ここでは、細かい説明は後回しにして、「こうやったらつながりました」という結果のみを報告しております。

細かい説明その他はいずれこのページ、あるいはどこか:-)で紹介する予定です。

☆ネットワーク構成

下図のネットワークにおいて、SL-C760・RTX1000間をIPsec/VPNで接続します。 SL-C760 (172.16.0.2) から Server (192.168.1.252) にパケットが届くようにし、 SL-C760からServerにtelnetでログインできるようにすることが目標です。

下図において、RTW65bの部分をインターネット、 RTX1000より下の部分をイントラネットと考えると、出先からどこかのプロバイダ経由で社内イントラネットにインターネットVPNでアクセスする場合の参考になるのではないでしょうか。

RTW65bは、単に 172.16.0.0/24 と 192.168.0.0/24 をつなぐために置いているだけで、LAN1 (LAN) と LAN2 (WAN) のIPアドレスと経路の設定ぐらいしかしていません。

→RTX1000でNATを併用する場合の例はこちらへどうぞ。

	            +-------+
	            |SL-C760|
	            +-------+
	                |172.16.0.2(DHCP)
	                |
	+-------+-------+-------+ 172.16.0.0/24
	        |
	        |172.16.0.1
	    +-------+(LAN2[WAN])
	    |RTW65b |
	    +-------+(LAN1[LAN])
	        |192.168.0.1
	        |
	+-------+-------+-------+ 192.168.0.0/24
	                |
	                |192.168.0.254
	            +-------+(LAN2)
	            |RTX1000|
	            +-------+(LAN1)
	                |192.168.1.253
	                |
	+-------+-------+-------+ 192.168.1.0/24
	        |
	        |192.168.1.252
	    +-------+
	    |Server |
	    +-------+

☆RTX1000の設定

	ip route default gateway 192.168.0.1
	ip route 172.16.0.0/24 gateway tunnel 1 filter 1 2 3
	ip lan1 address 192.168.1.253/24
	ip lan2 address 192.168.0.254/24
	tunnel select 1
	 ipsec tunnel 101
	  ipsec sa policy 101 1 esp aes-cbc md5-hmac
	  ipsec ike encryption 1 aes-cbc
	  ipsec ike group 1 modp1024
	  ipsec ike local address 1 192.168.0.254
	  ipsec ike pre-shared-key 1 text himitsu
	  ipsec ike remote address 1 any
	  ipsec ike remote name 1 test
	 tunnel enable 1
	ip filter 1 reject * * udp * 500
	ip filter 2 reject * * esp
	ip filter 3 pass * *
	ipsec auto refresh on

☆SL-C760の設定

接続先
- 名前／仮想専用線(VPN)接続
  ※別に何でもいい
基本設定
- サーバー／192.168.0.254
- 相手認証方式／事前共有鍵方式
- ID／test
- 事前共有鍵／himitsu
- 詳細設定
  - 暗号
    - 暗号化／あり(ESP)
    - 暗号アルゴリズム／AES
  - ハッシュ
    - ハッシュアルゴリズム／MD5
  - 鍵共有
    - 鍵共有アルゴリズム／グループ2
    - PFSを有効にしない
  - 圧縮
    - 圧縮アルゴリズム／なし
  - ID Type
    - ID Type／自動選択
  - 仮想アドレス
    - 自アドレス／外部アドレスをそのまま使う
  - 接続先ネットワーク
    - 接続先ネットワーク／0.0.0.0/0
DNS
- プライマリーDNS／
- セカンダリーDNS／
  ※本質的な問題ではないので省略
プロキシ
- プロキシを使用しない
  ※本質的な問題ではないので省略

☆RTW65bの設定

	ip lan1 address 192.168.0.1/24
	ip lan2 address 172.16.0.1/24
	ip route 192.168.0.0/16 gateway 192.168.0.254
	dhcp scope 1 192.168.0.2-192.168.0.191/24
	dhcp scope 2 172.16.0.2-172.16.0.191/24

☆Serverの設定

デフォルト経路をRTX1000に向けておく
別のマシンからtelnetでログインできるようにしておく

☆VPN接続の確認

SL-C760からServerに向けてpingやtelnetをかけてみます。また、このとき、ルータのログには次のようなメッセージが残っているはずです。

	[IKE] respond ISAKMP phase to 172.16.0.2
	[IKE] respond IPsec phase to 172.16.0.2
	[IKE] activate IPsec socket[tunnel:1](inbound)
	[IKE] activate IPsec socket[tunnel:1](outbound)
	IP Tunnel[1] Up

「Tunnel[1] Up」が出ないときは、事前共有鍵や暗号アルゴリズムその他の条件が SL-C760とRTX1000で合致していない可能性があります。「Tunnel[1] Up」が出ているのにつながらない場合は、経路設定に問題がある可能性があります。

☆関連リンク

☆参考文献

http://www.rtpro.yamaha.co.jp/RT/docs/example/vpnclient/vpn_client.html
YAMAHA RTシリーズの接続事例集 / VPNクライアントソフトとの接続 .
馬場達也; マスタリングIPsec, (2001/10, オライリー), ISBN4-87311-059-9 .
http://support.ezaurus.com/sl-c760/qa/qa-slc760-internet-04.asp
Zaurus Support Station / SL-C760,750 / VPN対応
たいした情報は出ていませんが…(^^;;; .

ご質問などありましたらお気軽に