[リストへもどる]
一括表示


<PR> 月額2100円/3675円でグローバル固定IPを取得、サーバ構築・VPN・SOHOが可能。 「ZOOT for Bフレッツ」

タイトルipsecのフィルタについて
記事No131
投稿日: 2004/11/03(Wed) 13:55
投稿者かなりの初心者
またまたすみません。
お世話になりっぱなしです。

Ipsecのフィルタについて質問です。
マロンさんのHPにおいて固定IP同士の接続で、
フィルタの設定を以下のようにするようなっていますが、

 ip filter 200018 pass * ルータLAN側IP udp * 500
 ip filter 200019 pass * ルータLAN側IP esp * *

rtx1000をブラウザ(rev8〜可能)で開いてipsecのトンネルの設定の検証をすると、
 espの受信とikeの受信に失敗しましたとなります。
そこで、
 ip filter 200020 pass * ルータWAN側IP udp * 500
 ip filter 200021 pass * ルータWAN側IP esp * *
を追加してみたところ、全て正常となります。
なぜでしょう?
また、追加したフィルタはそのままのほうがいいのでしょうか?
削除したほうがいいのでしょうか?

タイトルRe: ipsecのフィルタについて
記事No132
投稿日: 2004/11/03(Wed) 14:05
投稿者かなりの初心者
> またまたすみません。
> お世話になりっぱなしです。
>
> Ipsecのフィルタについて質問です。
> マロンさんのHPにおいて固定IP同士の接続で、
> フィルタの設定を以下のようにするようなっていますが、
>
>  ip filter 200018 pass * ルータLAN側IP udp * 500
>  ip filter 200019 pass * ルータLAN側IP esp * *
>
> rtx1000をブラウザ(rev8〜可能)で開いてipsecのトンネルの設定の検証をすると、
>  espの受信とikeの受信に失敗しましたとなります。
> そこで、
>  ip filter 200020 pass * ルータWAN側IP udp * 500
>  ip filter 200021 pass * ルータWAN側IP esp * *
> を追加してみたところ、全て正常となります。
> なぜでしょう?

 グローバルアドレスをトンネルのところで設定しているからでしょうか?


> また、追加したフィルタはそのままのほうがいいのでしょうか?
> 削除したほうがいいのでしょうか?

タイトルRe^2: ipsecのフィルタについて
記事No133
投稿日: 2004/11/03(Wed) 23:32
投稿者marron(管理人)
参照先http://www.marronkun.net/
YAMAHAさんのHPの設定例でもあるように通常、ルータのLAN側IPのフィルタを
定義するのが一般的だと思います。
http://netvolante.jp/solution/vpn/case1/example2.html

私は、Rev.8系ではWebインターフェースがついているようでメモリを
多く食いつぶすと聞いたのでRev.7しか利用したことがありませんが、Rev.8の問題なのでしょうかね。。。
> > Ipsecのフィルタについて質問です。
> > マロンさんのHPにおいて固定IP同士の接続で、
> > フィルタの設定を以下のようにするようなっていますが、
> >
> >  ip filter 200018 pass * ルータLAN側IP udp * 500
> >  ip filter 200019 pass * ルータLAN側IP esp * *
> >
> > rtx1000をブラウザ(rev8〜可能)で開いてipsecのトンネルの設定の検証をすると、
> >  espの受信とikeの受信に失敗しましたとなります。
> > そこで、
> >  ip filter 200020 pass * ルータWAN側IP udp * 500
> >  ip filter 200021 pass * ルータWAN側IP esp * *
> > を追加してみたところ、全て正常となります。
> > なぜでしょう?
>
>  グローバルアドレスをトンネルのところで設定しているからでしょうか?
>
>
> > また、追加したフィルタはそのままのほうがいいのでしょうか?
> > 削除したほうがいいのでしょうか?
とくにその状態で動作するなら問題ないかと思いますが、再度フィルタをはずして、
syslog notice on
としてRejectしているログをみてはいかがでしょうか?
IKEがどこでRejectしているか分かるかと思います。
また、差し支えなければconfigを見せて頂けないでしょうか?

以上よろしくお願いいたします。

タイトルRe^3: ipsecのフィルタについて
記事No134
投稿日: 2004/11/04(Thu) 19:34
投稿者かなりの初心者
> YAMAHAさんのHPの設定例でもあるように通常、ルータのLAN側IPのフィルタを
> 定義するのが一般的だと思います。
> http://netvolante.jp/solution/vpn/case1/example2.html
>
> 私は、Rev.8系ではWebインターフェースがついているようでメモリを
> 多く食いつぶすと聞いたのでRev.7しか利用したことがありませんが、Rev.8の問題なのでしょうかね。。。
> > > Ipsecのフィルタについて質問です。
> > > マロンさんのHPにおいて固定IP同士の接続で、
> > > フィルタの設定を以下のようにするようなっていますが、
> > >
> > >  ip filter 200018 pass * ルータLAN側IP udp * 500
> > >  ip filter 200019 pass * ルータLAN側IP esp * *
> > >
> > > rtx1000をブラウザ(rev8〜可能)で開いてipsecのトンネルの設定の検証をすると、
> > >  espの受信とikeの受信に失敗しましたとなります。
> > > そこで、
> > >  ip filter 200020 pass * ルータWAN側IP udp * 500
> > >  ip filter 200021 pass * ルータWAN側IP esp * *
> > > を追加してみたところ、全て正常となります。
> > > なぜでしょう?
> >
> >  グローバルアドレスをトンネルのところで設定しているからでしょうか?
> >
> >
> > > また、追加したフィルタはそのままのほうがいいのでしょうか?
> > > 削除したほうがいいのでしょうか?
> とくにその状態で動作するなら問題ないかと思いますが、再度フィルタをはずして、
> syslog notice on
> としてRejectしているログをみてはいかがでしょうか?
> IKEがどこでRejectしているか分かるかと思います。
> また、差し支えなければconfigを見せて頂けないでしょうか?
>
> 以上よろしくお願いいたします。

syslog notice on
としてやってみました。検証では通過できませんとなりますが、
実際には通信できています。Rev8のバグでしょうか。。。
とりあえず一般的な方法に直しました。

タイトルRe^4: 差し支えなければconfigの提示をお願いします
記事No135
投稿日: 2004/11/04(Thu) 19:39
投稿者marron(管理人)
参照先http://www.marronkun.net/
気になる症状ですね。
私もRev8で試してみたいと思いますので差し支えなければ
configを貼っていただけませんか?

以上よろしくお願い致します。

> syslog notice on
> としてやってみました。検証では通過できませんとなりますが、
> 実際には通信できています。Rev8のバグでしょうか。。。
> とりあえず一般的な方法に直しました。

タイトルRe^5: 差し支えなければconfigの提示をお願いします
記事No136
投稿日: 2004/11/04(Thu) 20:37
投稿者かなりの初心者
configの抜粋です。

ip lan3 address グローバルIP
ip lan3 secure filter in 30000 30001 30002 30003 30008 30009 30010 30011 30012 
30013 30014 30015 30016 30018 30019 30020 30021
ip lan3 secure filter out 30004 30005 30006 30007 30008 30009 30010 30011 30012
 30013 30099 dynamic 30080 30081 30082 30083 30084 30085 30098 30099
ip lan3 intrusion detection in on reject=on
ip lan3 intrusion detection out on reject=on
ip lan3 nat descriptor 1

tunnel select 1
 tunnel name 名前
 ipsec tunnel 1
  ipsec sa policy 1 1 esp 3des-cbc md5-hmac
  ipsec ike always-on 1 on
  ipsec ike encryption 1 des-cbc
  ipsec ike esp-encapsulation 1 off
  ipsec ike group 1 modp768
  ipsec ike hash 1 md5
  ipsec ike keepalive log 1 on
  ipsec ike keepalive use 1 on
  ipsec ike local address 1 グローバルIP
  ipsec ike pfs 1 off
  ipsec ike pre-shared-key 1 text キー
  ipsec ike remote address 1 接続先グローバルIP
 tunnel enable 1

ip filter 30000 reject 10.0.0.0/8 * * * *
ip filter 30001 reject 172.16.0.0/12 * * * *
ip filter 30002 reject 192.168.0.0/16 * * * *
ip filter 30003 reject 192.168.0.0/24 * * * *
ip filter 30004 reject * 10.0.0.0/8 * * *
ip filter 30005 reject * 172.16.0.0/12 * * *
ip filter 30006 reject * 192.168.0.0/16 * * *
ip filter 30007 reject * 192.168.0.0/24 * * *
ip filter 30008 reject * * udp,tcp 135 *
ip filter 30009 reject * * udp,tcp * 135
ip filter 30010 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 30011 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 30012 reject * * udp,tcp 445 *
ip filter 30013 reject * * udp,tcp * 445
ip filter 30014 pass * * icmp * *
ip filter 30015 pass * * established * *
ip filter 30016 pass * * tcp * ident
ip filter 30018 pass * RT_LAN側IP tcp * 1723
ip filter 30019 pass * RT_LAN側IP gre * *
ip filter 30020 pass * RT_LAN側IP udp * 500
ip filter 30021 pass * RT_LAN側IP esp * *
ip filter 30099 pass * * * *
ip filter dynamic 30080 * * ftp
ip filter dynamic 30081 * * domain
ip filter dynamic 30082 * * www
ip filter dynamic 30083 * * smtp
ip filter dynamic 30084 * * pop3
ip filter dynamic 30085 * * telnet
ip filter dynamic 30098 * * tcp
ip filter dynamic 30099 * * udp
nat descriptor type 1 masquerade
nat descriptor address outer 1 グローバルIP
nat descriptor address inner 1 RT_LAN側IPクライアントの範囲
nat descriptor masquerade incoming 1 reject 
nat descriptor masquerade static 1 1 RT_LAN側IP tcp 1723
nat descriptor masquerade static 1 2 RT_LAN側IP gre
nat descriptor masquerade static 1 3 RT_LAN側IP udp 500
nat descriptor masquerade static 1 4 RT_LAN側IP esp
ipsec auto refresh on
ipsec ike retry 10 5
upnp use on
変なところがあったらぜひご指摘ください。

タイトルRe^6: 差し支えなければconfigの提示をお願いします
記事No137
投稿日: 2004/11/05(Fri) 09:26
投稿者かなりの初心者
ipsec時のNATの設定をYAMAHAのホームページで見つけました。

http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat.html

これを見ると、ipsecにおけるローカルアドレスの設定は
LAN側のIPアドレスでなければならない(NATでLAN側のIPアドレスを指定の場合)となっているので、
そのようにしてみると、検証をしても特に問題ありませんとなります
グローバルIPだと、検証するともんだいありになります。

この辺でしょうか?

タイトルRe^7: 差し支えなければconfigの提示をお願いします
記事No138
投稿日: 2004/11/05(Fri) 11:25
投稿者marron(管理人)
参照先http://www.marronkun.net/
かなりの初心者様

marronです。
以下のURLをみてみました。
本当ですね。NATした環境でLAN側のアドレスで定義をまとめる場合
ike local address の定義はLAN側のアドレスで定義するのが正しいんですね。
私の理解が間違っていたようです。お恥ずかしい(^^;
早速、HPの内容をローカルIPに変更しました。
http://www.marronkun.net/network/yamaha/vpn_3.html
http://www.marronkun.net/network/yamaha/vpn_4.html
# Rev7では問題なく動作したんだけど。。。何故なんでしょう。。。

参考になる情報ありがとうございました。
固定IP、変動するIPの設定を考慮するとローカルIPで定義した方がスマートですね。

また、当方所有のルータでike local adress の定義をLAN側IPに変更しましたが問題なく動作しました。

> ipsec時のNATの設定をYAMAHAのホームページで見つけました。
>
> http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat.html
>
> これを見ると、ipsecにおけるローカルアドレスの設定は
> LAN側のIPアドレスでなければならない(NATでLAN側のIPアドレスを指定の場合)となっているので、
> そのようにしてみると、検証をしても特に問題ありませんとなります
> グローバルIPだと、検証するともんだいありになります。
>
> この辺でしょうか?

タイトルRe^8: 差し支えなければconfigの提示をお願いします
記事No139
投稿日: 2004/11/05(Fri) 15:27
投稿者かなりの初心者
> かなりの初心者様
>
> marronです。
> 以下のURLをみてみました。
> 本当ですね。NATした環境でLAN側のアドレスで定義をまとめる場合
> ike local address の定義はLAN側のアドレスで定義するのが正しいんですね。
> 私の理解が間違っていたようです。お恥ずかしい(^^;
> 早速、HPの内容をローカルIPに変更しました。
> http://www.marronkun.net/network/yamaha/vpn_3.html
> http://www.marronkun.net/network/yamaha/vpn_4.html
> # Rev7では問題なく動作したんだけど。。。何故なんでしょう。。。

YAMAHAの技術者のこだわりなのかな?
 いろいろお世話になりました。
 これからもどうぞよろしくお願いします。