接続できたところまで確認した設定例を記載します。
ー目次
ー はじめに
- 本ページ内容はすべてサポート対象外となります。問い合わせには対応いたしません。
- 接続できることを保証するものではありません。
- 長期安定性試験や障害試験を実施しておりません。
- 本設定例を利用したことにより、被った損害、及び損失について、いかなる理由に関わらず、弊社は一切責任を負わないものとします。予めご了承ください。
ー 環境
構成:NAPTルータ配下のLinuxマシン
+--------------+ +--------------------+
| Debian 10.04 +--------+ブロードバンドルータ +----- Internet---
+--------------+ +--------------------+
※以下記載は省略
interfaceの設定
Internet接続の確認
strongswan-swanctl(5.7.2)のaptインストール
IFを2つ利用したLinuxをルーターとして利用する準備
ー strongSwanの設定例
/etc/swanctl/swanctl.conf
connections {
nttpc {
local_addrs = DebianのWAN側IP
remote_addrs = IPSecGlobalIP
reauth_time = 0
rekey_time = 240m
over_time = 20m
dpd_delay = 30s
fragmentation = no
unique = replace
local {
auth = psk
id = hogehoge@nfv.nttpc.ne.jp
}
remote {
auth = psk
id = IPSecGlobalIP
}
children {
nttpc {
mode = tunnel
start_action = start
local_ts = 0.0.0.0/0
remote_ts = 0.0.0.0/0
esp_proposals = aes256-sha256-modp2048-noesn
life_time = 120m
rekey_time = 100m
dpd_action = restart
mark_in = 1
mark_out = 1
}
}
version = 2
proposals = aes256-sha256-prfsha256-modp2048
}
}
secrets {
ikev2-ussgw {
id = IPSecGlobalIP
secret = PRESHARE
}
}
/etc/strongswan.d/charon.conf
install_routes = no
start-scripts {
swanctl = /usr/sbin/swanctl -q
/etc/strongswan.d/charon-logging.conf
filelog {
charon {
append = yes
default = 1
path = /var/log/charon.log
flush_line = yes
ike_name = yes
time_add_ms = yes
time_format = %b %e %T
}
/etc/apparmor.d/usr.lib.ipsec.charon
#以下行を追加
/var/log/charon.log rw
/etc/logrotate.d/charon
/var/log/charon.log {
missingok
copytruncate
compress
notifempty
daily
rotate 5
}
- TunnelInterfaceの設定例
VTIインターフェースの作成
sudo ip tunnel add vti0 mode vti local DebianのWAN側IP remote IPSecGlobalIP key 1
sudo ip link set vti0 up
sudo ip addr add NAPT後アドレス/30 dev vti0
VTIインターフェースへのルーティング変更+トンネル確立のためのGWへのルート追加
sudo ip route del default via ブロードバンドルーターのIPアドレス
sudo ip route add default dev vti0
sudo ip route add IPSecGlobalIP/32 via ブロードバンドルーターのIPアドレス dev DebianのWAN側IF名
VTIインターフェースでのNAPT
sudo iptables -t nat -A POSTROUTING -o vti0 -j MASQUERADE
MSS値の調整
sudo iptables -t mangle -A FORWARD -o vti0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1280:1536 -j TCPMSS --set-mss 1280
- 動作確認
sudo swanctl -l
nttpc: #1, ESTABLISHED, IKEv2, b935c42313d8eca7_i* f9de2bc081896714_r
local 'hogehoge@nfv.nttpc.ne.jp' @ DebianのWAN側IP[4500]
remote 'IPSecGlobalIP' @ IPSecGlobalIP[4500]
AES_CBC-256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
established 10117s ago, rekeying in 3970s
nttpc: #2, reqid 1, INSTALLED, TUNNEL-in-UDP, ESP:AES_CBC-256/HMAC_SHA2_256_128/MODP_2048
installed 5005s ago, rekeying in 14s, expires in 2195s
in cacf8b48 (0x00000001), 16619 bytes, 42 packets, 3s ago
out e4b1574e (0x00000001), 4088 bytes, 46 packets, 3s ago
local 0.0.0.0/0
remote 0.0.0.0/0
grep rekeyed /var/log/charon.log
May 14 12:19:56.869 12[IKE] <nttpc|1> IKE_SA nttpc[2] rekeyed between DebianのWAN側IP[hogehoge@nfv.nttpc.ne.jp...IPSecGlobalIP[IPSecGlobalIP]
grep established /var/log/charon.log
May 14 08:25:09.835 14[IKE] <nttpc|1> IKE_SA nttpc[1] established between DebianのWAN側IP[hogehoge@nfv.nttpc.ne.jp]...IPSecGlobalIP[IPSecGlobalIP]
May 14 08:25:09.836 14[IKE] <nttpc|1> CHILD_SA nttpc{1} established with SPIs ca139835_i a49a5b10_o and TS 0.0.0.0/0 === 0.0.0.0/0
May 14 09:50:21.874 16[IKE] <nttpc|1> inbound CHILD_SA nttpc{2} established with SPIs ce3a6697_i 036742ab_o and TS 0.0.0.0/0 === 0.0.0.0/0
May 14 09:50:21.874 16[IKE] <nttpc|1> outbound CHILD_SA nttpc{2} established with SPIs ce3a6697_i 036742ab_o and TS 0.0.0.0/0 === 0.0.0.0/0
May 14 11:14:00.909 13[IKE] <nttpc|1> inbound CHILD_SA nttpc{3} established with SPIs cacf8b48_i e4b1574e_o and TS 0.0.0.0/0 === 0.0.0.0/0
May 14 11:14:00.910 13[IKE] <nttpc|1> outbound CHILD_SA nttpc{3} established with SPIs cacf8b48_i e4b1574e_o and TS 0.0.0.0/0 === 0.0.0.0/0
May 14 12:38:06.944 09[IKE] <nttpc|2> inbound CHILD_SA nttpc{4} established with SPIs c351a9d8_i 5fa85714_o and TS 0.0.0.0/0 === 0.0.0.0/0
May 14 12:38:06.944 09[IKE] <nttpc|2> outbound CHILD_SA nttpc{4} established with SPIs c351a9d8_i 5fa85714_o and TS 0.0.0.0/0 === 0.0.0.0/0
ping NAPT後アドレス/30のもう一方のアドレス
ping -s 1472 NAPT後アドレス/30のもう一方のアドレス
PING NAPT後アドレス/30のもう一方のアドレス (NAPT後アドレス/30のもう一方のアドレス) 1472(1500) bytes of data.
From NAPT後アドレス icmp_seq=1 Frag needed and DF set (mtu = 1422)
1480 bytes from NAPT後アドレス/30のもう一方のアドレス : icmp_seq=2 ttl=255 time=19.4 ms
1480 bytes from NAPT後アドレス/30のもう一方のアドレス : icmp_seq=3 ttl=255 time=21.2 ms
(略)
コメント
0件のコメント
記事コメントは受け付けていません。