AR415S/AR550S/AR560S/AR570SとWindows - アライドテレシス

AR415S/AR550S/AR560S/AR570S
と Windows Azure 仮想ネットワー
クの IPsec 接続設定例
はじめに
企業向け VPN アクセス・ルーター アライドテレシス AR415S/AR550S/AR560S/
AR570S を Windows Azure Virtual Network (以後 Windows Azure 仮想ネットワー
ク)の IPsec ゲートウェイと IPsec 接続する設定例です。以降の記述は AR560S を前提
として説明いたします。
本接続設定例について
2013 年 1 月 23 日現在の仕様に基づいて記載していますので、今後の仕様変更によって、
画面変更や VPN 接続できない可能性もあります。
Windows Azure について
Windows Azure はオープンで柔軟なクラウド プラットフォームです。このプラット
フォームを利用すると、Microsoft が管理するデータセンターのグローバル ネットワ
ーク上で、アプリケーションを簡単に作成、デプロイ、管理できます。アプリケーショ
ンの作成には、任意の言語、ツール、またはフレームワークを使用できます。パブリッ
ク クラウド アプリケーションを既存の IT 環境と統合することもできます。
http://www.windowsazure.com/ja-jp/home/features/what-is-windows-azure/
http://msdn.microsoft.com/ja-jp/windowsazure/cc994380
Windows Azure 仮想ネットワークについて
Windows Azure 仮想ネットワークは、豊富な Windows Azure 提供サービスの中のひ
とつで、Windows Azure 内部に仮想の L2 イーサネットを構築し、任意の IP アドレス
範囲のローカルネットワーク構成を可能にします。
1
また、IPsec ゲートウェイを追加し、オンプレミスネットワークと相互接続する事で、
あたかも Windows Azure を自社のネットワークの一部として利用する事ができます。
Windows Azure 仮想ネットワークの詳しい詳細は以下の URL を参照してください。
http://msdn.microsoft.com/en-us/library/windowsazure/jj156007.aspx
http://thinkit.co.jp/story/2012/10/03/3732
ネットワーク構成について
本設定例におけるネットワーク構成は、以下の図 1/表 1/表 2 の通りです。
Windows Azure Virtual Network
Address Space 172.16.0.0/16
Gateway subnet 172.16.0.0/24
IPsec
Internet
IPsec Gateway
Instance
Instances1 172.16.1.0/24
Instances2 172.16.2.0/24
Local Area Network
192.168.1.0/24
Cloud Services
WebRole
Cloud Services
WorkerRole
Cloud Services
WebRole
Cloud Services
WorkerRole
AR560S
192.1681.254
PC
192.168.1.X
オンプレミス
Virtual Machine
Windows Server
Virtual Machine
Linux Server
Virtual Machine
Windows Server
Virtual Machine
Linux Server
図 1
オンプレミス側ネットワーク
構成
接続メディア
ADSL/FTTH など
接続プロトコル
PPPoE
WAN
1 個(/32) 固定のグローバルアドレス
LAN
192.168.1.254/24
表 1
2
AR560S は PPPoE でプロバイダに常時接続を行い、インターネット接続と IPsec 接続
を同時に動作させています。プロバイダからは固定のグローバル IP アドレス(1 個)
が提供されています。
Windows Azure 側ネットワーク
Windows Azure 仮想ネットワークは 172.16.0.0/16 のアドレス空間の中に、以下に示
すサブネットが 3 つ存在します。
サブネット名
アドレス範囲
Gateway subnet
172.16.0.0/24
Instances1
172.16.1.0/24
Instances2
172.16.2.0/24
表 2
Gateway subnet は IPsec ゲートウェイを担当する仮想マシン専用のサブネットです。
それ以外の任意のインスタンスを追加する事はできません。
Instances1/Instances2 には、任意の仮想マシンインスタンスや任意のアプリケーショ
ンサービスを追加します。サービス単位でサブネットを追加し、管理することが可能で
す。オンプレミスはこれらのサブネットと IPsec トンネル越しに通信します。
Windows Azure での作業
Windows Azure サブスクリプションの申し込みは終わっている事を前提としていま
す。申込みなどの詳細に関しては、以下の URL を参照してください。
http://msdn.microsoft.com/ja-jp/windowsazure/ee943806.aspx#02
作業は以下の手順で行います。
1.
仮想ネットワークの作成
2.
仮想ネットワークにサブネットを追加
3.
ローカルネットワークの作成
4.
ゲートウェイサブネットの追加
5.
ゲートウェイの作成
3
仮想ネットワークの作成
Windows Azure に仮想ネットワークの作成を行います。ここでは一旦、簡易作成を行
い、後に詳細を変更してカスタマイズする事にします。
1.
Windows Azure マネジメントポータル.にログインします。
2.
画面の左下角の[新規]をクリックします。
3.
[ネットワーク]、[仮想ネットワーク]と辿り、[簡易作成]をクリックします。
4.
以下の表 3 を参考に、必要項目を入力します。
5.
入力後、画面右下[仮想ネットワークを作成する]の右側のチェックボタンを
クリックします。
4
仮想ネットワーク-簡易作成
名前
company
アドレス空間
172.16.---.---
最大 VM 数
65536 (CIDR/16)
アフィニティグループ作成/地域
東アジア
既存 DNS への接続
なし
表 3
仮想ネットワークにサブネットを追加
作成直後のサブネットは 172.16.0.0/16 のサブネットがデフォルトで一つ定義されて
います。これを表 4 の 2 つのサブネット範囲に修正します。
5
1.
左の一覧から[ネットワーク]をクリックし、作成した[ネットワークの名前]
をクリックします。(ここでは、company がネットワークの名前です)。
2.
ダッシュボードが表示されましたら、画面上部から[構成]をクリックします。
3.
表 4 を参考に、アドレス空間に Instances1 と Instances2 サブネットを作
成します。
4.
画面下部の保存ボタンをクリックし、構成変更を反映します。
サブネット名
アドレス範囲
Instances1
172.16.1.0/24
Instances2
172.16.2.0/24
表 4
ローカルネットワークの作成
6
ローカルネットワークの定義を追加します、ここではローカル側を OnPremises という
名称で定義します。
1.
画面の左下角の[新規]をクリックします。
2.
[ネットワーク]、[仮想ネットワーク]と辿り、[ローカルネットワークの登録]をクリ
ックします。
3.
表 5 を参考に「ローカルネットワーク詳細を指定する」ダイアログに、[名前]と
[VPN デバイスの IP アドレス]を入力後、ダイアログ右下の右矢印ボタンをクリッ
クします。
4.
表 5 を参考に AR560S の LAN 側サブネットを CIDR 形式で入力します。
入力後はダイアログ右下のチェックボタンをクリックします。
7
ローカルネットワーク
名前
OnPremises
VPN デバイスの IP アドレス
AR560S のグローバル IP アドレス
アドレス空間
192.168.1.0/24
表 5
ゲートウェイサブネットの追加
仮想ネットワークにローカルネットワークを指定し、IPsec ゲートウェイインスタンス
専用のゲートウェイサブネットを追加します。
1.
左の一覧から[ネットワーク]をクリックし、作成したネットワークの名前を
クリックします。(ここでは、company がネットワークの名前です)。
2.
画面上部から構成をクリックします。
8
3.
[ローカルネットワーク接続]から[ローカルネットワークに接続する]をチェ
ックします
4.
ローカルネットワークは、事前に定義した[OnPremises]を選択します。
5.
ゲートウェイサブネットを入力します。
6.
画面下部の[保存]ボタンをクリックし、構成変更を反映します。
ローカルネットワーク接続
接続
[ローカルネットワークに接続する]にチ
ェック
ローカルネットワーク
OnPremises
ゲートウェイサブネット
172.16.0.0/24
表 6
9
ゲートウェイの作成
仮想ネットワークに IPsec ゲートウェイを追加します。
1.
左の一覧から[ネットワーク]をクリックし、作成した[ネットワークの名前]をクリ
ックします。(ここでは、company がネットワークの名前です)。
2.
画面下部の[ゲートウェイの作成]をクリックし、ゲートウェイ作成を開始します。
3.
作成完了まで 10 分ほどかかりますので、しばらくお待ちください。
10
AR560S の設定
作業は以下の手順で行います。
1.
Windows Azure のゲートウェイ IP アドレスの確認
2.
共有鍵の取得
3.
AR560S の設定
4.
IPsec 接続確認
Windows Azure のゲートウェイ IP アドレスの確認
11
Windows Azure に作成したゲートウェイ IP アドレスを確認します。
1.
Windows Azure マネジメントポータル.にログインします。
2.
左の一覧から[ネットワーク]をクリックし、作成した[ネットワークの名前]
をクリックします。(ここでは company がネットワークの名前です)
3.
ダッシュボードが表示されたら、ゲートウェイアドレスが記載されていま
すので、メモなどに控えます。
共有鍵の取得
IPsec ゲートウェイに接続する為の共有鍵を取得します。
1.
Windows Azure マネジメントポータル.にログインします。
2.
左の一覧から[ネットワーク]をクリックし、作成した[ネットワークの名前]
をクリックします。(ここでは company がネットワークの名前です)
3.
ダッシュボードが表示されたら、画面下部の[キーの管理]をクリックします。
共有鍵が表示されますので、メモなどに控えます。控え終えたら、ダイア
ログ右下のチェックボタンをクリックします。
12
AR560S の設定
本設定例では以下のパラメータを使用します。
WAN 側物理インターフェース
eth0
WAN 側(pppoe)グローバル IP アドレス
xx.xx.xx.xx/32(ISP から割当)
yy.yy.yy.yy(Windows Azure マネジメン
Windows Azure のゲートウェイ IP アドレ
ス
トポータル「Windows Azure のゲートウ
ェイ IP アドレス確認」で入手した IP アド
レス)
IKE フェーズ 1 の認証方式
事前共有鍵(pre-shared key)
事前共有鍵(pre-shared key)
Windows Azure マネジメントポータル「共
有鍵の取得」で入手した文字列
Oakley グループ
2
ISAKMP メッセージの暗号化方式
AES128
ISAKMP メッセージの認証方式
SHA1
ISAKMP SA の有効期限(時間)
28800 秒(8 時間)
NAT-Traversal のネゴシエーション
行う
表 7
IKE フェーズ1(ISAKMP SA のネゴシエーション)
13
SA モード
トンネルモード
セキュリティープロトコル
ESP(暗号化+認証)
暗号化方式
AES128
認証方式
SHA1
IPsec SA の有効期限(時間)
3600 秒(1 時間)
トンネリング対象 IP アドレス
192.168.1.0/24←→172.16.0.0/16
xx.xx.xx.xx(AR560S)
トンネリング終端アドレス
yy.yy.yy.yy(Windows Azure マネジメン
トポータル「Windows Azure のゲートウェ
イ IP アドレス確認」で入手した IP アドレ
インターネットとの平文通信
ス)
行う
表 8 IKE フェーズ2(IPsec SA のネゴシエーション)
工場出荷時設定のユーザー名とパスワードは以下の通りです

ユーザー名:manager

パスワード:friend
IP アドレスおよび Security Officer レベルユーザーの作成
1. IP モジュールを有効にします。
ENABLE IP ↓
2. セキュリティーモードで各種設定を行うことのできる Security Officer レベルのユ
ーザー「secoff」を作成します。パスワードは「secoff」とします。
ADD USER=secoff
PASSWORD=secoff
PRIVILEGE=SECURITYOFFICER ↓
14
WAN 側インターフェースおよびスタティックルートの設定
1. WAN 側 Ethernet インターフェース(eth0)上に PPP インターフェースを作成します。
「OVER=eth0-XXXX」の「XXXX」の部分には、ISP から通知された PPPoE の「サービス名」
を記述します。ISP から指定がない場合は、どのサービス名タグでも受け入れられるよ
う、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
2. ISP から通知された PPP ユーザー名とパスワードを指定します。Windows Azure 仮
想ネットワークと接続する際には、MSS サイズを設定します。また、ISDN 向けの機能で
ある BAP はオフにします。
SET PPP=0 BAP=OFF USERNAME="PPP ユーザー名" PASSWORD="PPP パスワ
ード" MSSHEADER=94 ↓
3. LQR はオフにし、代わりに LCP Echo パケットを使って PPP リンクの状態を監視する
ようにします。
SET PPP=0 OVER=ETH0-ANY LQR=OFF ECHO=10 ↓
4. LAN 側(vlan1)インターフェースに IP アドレスを設定します。
ADD IP INT=vlan1 IP=192.168.1.254
↓
5. WAN 側(ppp0)インターフェースに ISP から割り当てられたグローバル IP アドレス
(この例では、xx.xx.xx.xx)を設定します。
ADD IP INT=ppp0 IP=xx.xx.xx.xx MASK=255.255.255.255
↓
6. デフォルトルートを設定します。
ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=ppp0 NEXT=0.0.0.0
15
↓
ファイアウォールの設定
1. ファイアウォール機能を有効にします。
ENABLE FIREWALL ↓
2. ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
CREATE FIREWALL POLICY="net" ↓
3. ルーターの ident プロキシー機能を無効にし、外部のメール(SMTP)サーバーなど
からの ident 要求に対して、ただちに TCP RST を返すよう設定します。
DISABLE FIREWALL POLICY="net" IDENTPROXY ↓
4. ICMP パケットは Ping(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向
で許可します。
ENABLE FIREWALL POLICY="net" ICMP_F=UNRE,PING ↓
5. ファイアウォールポリシーの適用対象となるインターフェースを指定します。
・LAN 側インターフェース(vlan1)を PRIVATE(内部)に設定します。
ADD FIREWALL POLICY=”net“ INT=vlan1 TYPE=PRIVATE ↓
・WAN 側インターフェース(ppp0)を PUBLIC(外部)に設定します。
ADD FIREWALL POLICY="net" INT=ppp0 TYPE=PUBLIC ↓
6. LAN 側ネットワークに接続されているすべてのコンピューターが ENAT 機能を使用で
きるよう設定します。グローバルアドレスには、ppp0 の IP アドレスを使用します。
ADD FIREWALL POLICY=”net” NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
7. Windows Azure 仮想ネットワークから受信した IKE パケット(UDP500 番および
UDP4500 番)がファイアウォールを通過できるように設定します。
ADD FIREWALL POLI=”net” RU=1 AC=ALLO INT=ppp0 PROT=UDP PO=500
IP=xx.xx.xx.xx GBLIP=xx.xx.xx.xx GBLP=500 ↓
16
ADD FIREWALL POLI="net" RU=2 AC=ALLO INT=ppp0 PROT=UDP PO=4500
IP=xx.xx.xx.xx GBLIP=xx.xx.xx.xx GBLP=4500 ↓
8. Windows Azure 仮想ネットワークとの通信(192.168.1.0/24→172.16.0.0/16)を NAT
の対象から除外するよう設定します。
ADD FIREWALL POLI="net" RU=3 AC=NON INT=vlan1 PROT=ALL
IP=192.168.1.1-192.168.1.254 ↓
SET FIREWALL POLI="net" RU=3 REM=172.16.0.1-172.16.255.254 ↓
9. 基本ルールのままでは IPsec パケットまで遮断されてしまうので、これらのパケッ
トを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsec パケットから
オリジナルのパケットを取り出したあとでこのルールを適用することを示します。よっ
て、以下のコマンドは、「取り出したパケットの終点が 192.168.11~192.168.1.254、
つまり、ローカル側 LAN ならば NAT の対象外とする」の意味になります。
ADD FIREWALL POLI="net" RU=4 AC=NON INT=ppp0 PROT=ALL
IP=192.168.1.1-192.168.1.254 ENC=IPS ↓
17
IPsec の設定
1. ISAKMP 用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」
とし、鍵の値は Windows Azure マネジメントポータル「共有鍵の取得」で入手した文字
列を指定します。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="「共有鍵の取得」で入手した文
字列" ↓
Note - CREATE ENCO KEY コマンドは、コンソール上でログインしている場合のみ有効
なコマンドです。そのため、EDIT コマンド(内蔵スクリーンエディター)などで設定
スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意く
ださい。
2. Windows Azure のゲートウェイ IP アドレス(この例では、yy.yy.yy.yy)からの IKE
ネゴシエーション要求を受け入れる ISAKMP ポリシー「i_A」を作成します。
ISAKMP メッセージの暗号化には「AES128」、Phase1 のライフタイムは 28800 秒(8 時
間)Oakley グループは「2」を使用し、Windows Azure 仮想ネットワークとの認証には
前の手順で作成した事前共有鍵(鍵番号「1」)を使います。
さらに、NAT-Traversal を有効にします。
CREATE ISAKMP POL="i_A" PE=yy.yy.yy.yy ENC=AES128 KEY=1 NATT=TRUE
↓
SET ISAKMP POL="i_A" EXPIRYS=28800 GRO=2 ↓
SET ISAKMP POL="i_A" SENDD=TRUE SENDN=TRUE ↓
3. IPsec 通信の仕様を定義する SA スペック「1」を作成します。鍵管理方式「ISAKMP」、
プロトコル「ESP」、暗号化方式 「AES128bit」、認証方式「SHA」に設定します。
CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=AES128 HASHA=SHA
↓
18
4. SA スペック「1」だけからなる SA バンドルスペック「1」を作成します。鍵管理方
式は「ISAKMP」、Windows Azure 仮想ネットワークとの接続で使用する Phase2 のライ
フタイムは 3600 秒(1 時間)を指定します。
CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1" EXPIRYS=3600 ↓
5. IKE パケット(UDP500 番)と NAT-T パケット(UDP4500 番)を素通しさせる IPsec
ポリシー「isa」「nat」を作成します。
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500
TRANSPORT=UDP ↓
CREATE IPSEC POLICY=nat INT=ppp0 ACTION=PERMIT LPORT=4500
TRANSPORT=UDP ↓
6. Windows Azure 仮想ネットワークとの IPsec 通信に使用する IPsec ポリシー「vpn_A」
を PPP インターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEER
には Windows Azure 仮想ネットワークのゲートウェイ IP アドレス(この例では、
yy.yy.yy.yy)を、BUNDLE には SA バンドルスペック「1」を指定します。
CREATE IPSEC POL="vpn_A" INT=PPP0 AC=IPSEC KEY=ISAKMP BUND=1
PEER=yy.yy.yy.yy ↓
7. Windows Azure 仮想ネットワークと実際に IPsec 通信を行う IP アドレスの範囲を指
定します。コマンドが長くなるため、できるだけ省略形を用いてください。
SET IPSEC POL="vpn_A" LAD=192.168.1.0 LMA=255.255.255.0 RAD=172.16.0.0
RMA=255.255.0.0 ↓
19
8. インターネットへの平文通信を許可する IPsec ポリシー「inet」を PPP インターフ
ェース「0」に対して作成します。
CREATE IPSEC POL="inet" INT=ppp0 AC=PERMIT ↓
Note - インターネットにもアクセスしたい場合は、必ず最後の IPsec ポリシーですべ
てのパケットを通過させる設定を行ってください。いずれの IPsec ポリシーにもマッチ
しなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないと
Windows Azure 仮想ネットワーク以外との通信ができなくなります。
9. IPsec モジュールを有効にします。
ENABLE IPSEC ↓
10. ISAKMP モジュールを有効にします。
ENABLE ISAKMP ↓
11. Windows Azure 側 仮想ネットワーク空間のいずれかの IP アドレスに対し、ping ポ
ーリングの設定をします。
add ping poll=1 ip=172.16.zz.zz sipa=192.168.1.254 ↓
enable ping poll=1
Note - Windows Azure との VPN 接続において、無通信状態が 5 分間継続すると Azure 側
から VPN 接続が切断されます。AR560S から Windows Azure の仮想ネットワーク空間へ
継続的に ping を打つ設定を行うことにより、切断を回避します。
12. Security Officer レベルのユーザーでログインしなおします。
LOGIN secoff ↓
20
13. 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note - セキュリティーモードを使用しないと IPsec 機能で用いる共有鍵がルーター
の再起動時に消去されます。
14. 設定は以上です。設定内容をファイルに保存し、SET CONFIG コマンドで起動時設
定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
※以下メッセージが表示されたら「y」を入力します。
Warning: Config file MUST add a user with SECURITY OFFICER privilege
Do you wish to proceed with setting config?(y/n)
y ↓
IPsec 接続の確認
AR560S をインターネットに接続したら、5 分ほど待ってから IPsec の確立状態を確認
します。
Windows Azure 仮想ネットワークと IPsec が確立していれば、AR560S の「show
isakmp sa」、「show ipsec sa」コマンドでは以下のように SA が表示されます。
SecOff > show isakmp sa
Expiry Limits - hard/soft/used
SA Id PeerAddress
EncA. HashA. Bytes
Seconds
----------------------------------------------------------------------------1
yy.yy.yy.yy
AES
SHA
-/-/28800/25194/519
SecOff > show ipsec sa
SA Id Policy
Bundle State
Protocol
OutSPI
InSPI
----------------------------------------------------------------------------0 vpn_A
1
Valid
ESP
62963557
4260650853
21
完成したコンフィグレーション
#
#
#
#
#
使用機器:CentreCOM AR560S
FirmVer:2.9.2-0.9
AR560SのWAN側グローバルIPxx.xx.xx.xx
Windows AzureのゲートウェイIPアドレス yy.yy.yy.yy
# ※で始まる行は、コンソールから入力しないと意味を持たないコマンドです
# User configuration
set user securedelay=3600
set user=manager pass=3af00c6cad11f7ab5db4467b66ce503eff priv=manager lo=yes
set user=manager telnet=yes desc="Manager Account"
add user=secoff pass=secoff priv=securityOfficer lo=yes
set user=secoff telnet=no netmask=255.255.255.255
# PPP configuration
create ppp=0 over=eth0-ANY
set ppp=0 bap=off username="PPPユーザー名" password="PPPパスワード" mssheader=94
set ppp=0 over=eth0-ANY lqr=off echo=10
# IP configuration
enable ip
add ip int=vlan1 ip=192.168.1.254
add ip int=ppp0 ip=xx.xx.xx.xx mask=255.255.255.255
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0
# Firewall configuration
enable firewall
create firewall policy="net"
disable firewall policy="net" identproxy
enable firewall policy="net" icmp_f=unre,ping
add firewall policy="net" int=vlan1 type=private
add firewall policy="net" int=ppp0 type=public
add firewall poli="net" nat=enhanced int=vlan1 gblin=ppp0
add firewall poli="net" ru=1 ac=allo int=ppp0 prot=udp po=500 ip=xx.xx.xx.xx
gblip=xx.xx.xx.xx gblp=500
add firewall poli="net" ru=2 ac=allo int=ppp0 prot=udp po=4500 ip=xx.xx.xx.xx
gblip=xx.xx.xx.xx gblp=4500
add firewall poli="net" ru=4ac=non int=ppp0 prot=ALL ip=192.168.1.1-192.168.1.254
enc=ips
add firewall poli="net" ru=3 ac=non int=vlan1 prot=ALL ip=192.168.1.1-192.168.1.254
set firewall poli="net" ru=3 rem=172.16.0.1-172.16.255.254
※ CREATE ENCO KEY=1 TYPE=GENERAL VALUE="「共有鍵の取得」で入手した文字列"
# Ping configuration
add ping poll=1 ip=172.16.zz.zz sipa=192.168.1.254
enable ping poll=1
# IPSEC configuration
create ipsec sas=1 key=isakmp prot=esp enc=aes128 hasha=sha
create ipsec bund=1 key=isakmp string="1" expirys=3600
create ipsec pol="isa" int=ppp0 ac=permit
set ipsec pol="isa" lp=500 tra=UDP
create ipsec pol="nat" int=ppp0 ac=permit
set ipsec pol="nat" lp=4500 tra=UDP
create ipsec pol="vpn_A" int=ppp0 ac=ipsec key=isakmp bund=1 peer=yy.yy.yy.yy
set ipsec pol="vpn_A" lad=192.168.1.0 lma=255.255.255.0 rad=172.16.0.0 rma=255.255.0.0
create ipsec pol="inet" int=ppp0 ac=permit
enable ipsec
# ISAKMP configuration
create isakmp pol="i_A" pe=yy.yy.yy.yy enc=aes128 key=1 natt=true
set isakmp pol="i_A" expirys=28800 gro=2
set isakmp pol="i_A" sendd=true sendn=true
enable isakmp
※ LOGIN secoff
※ ENABLE SYSTEM SECURITY_MODE
各コマンドの詳細は、コマンドリファレンスを参照ください。
http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/index.html
22
サポート情報
Windows Azure との VPN 接続において、通信速度が低下するなど、通信が不安定に
なる問題が確認されております。問題の詳細や解決方法については、下記 Microsoft 様
サポートページをご参照下さい。
http://support.microsoft.com/kb/2902923/ja
このドキュメントについて
このドキュメントは、日本マイクロソフト株式会社、アライドテレシス株式会社、株式
会社 pnop の3社の協力によって、公式に提供されているリファレンス機器と同等の動
作が可能である事を検証しております。
23