ー目次
ー はじめに
- 接続できたところまで確認した設定例を記載します。
- 本ページ内容はすべてサポート対象外となります。問い合わせには対応いたしません。
- 接続できることを保証するものではありません。
- 長期安定性試験や障害試験を実施しておりません。
- 本設定例を利用したことにより、被った損害、及び損失について、いかなる理由に関わらず、弊社は一切責任を負わないものとします。予めご了承ください。
ー 環境
構成:NAPTルータ配下のLinuxマシン
+-------------+ +--------------------+
| Ubuntu18.04 +--------+ブロードバンドルータ +----- Internet---
+-------------+ +--------------------+
※以下記載は省略
interfaceの設定
Internet接続の確認
strongSwan(5.6.2)のaptインストール
IFを2つ利用したLinuxをルーターとして利用する準備
ー strongSwanの設定例
/etc/ipsec.conf
conn NTTPC
left=UbuntuのWAN側IP
leftsubnet=0.0.0.0/0
leftid=hogehoge@nfv.nttpc.ne.jp
right=IPSecGlobalIP
rightsubnet=0.0.0.0/0
rightid=IPSecGlobalIP
auto=start
authby=secret
reauth=no
rekey=yes
ikelifetime=14400s
lifetime=7200s
keyexchange=ikev2
fragmentation=yes
type=tunnel
dpdtimeout=5
dpddelay=10
dpdaction=restart
ike=aes256-sha256-prfsha256-modp2048!
esp=aes256-sha256-modp2048-noesn!
mark=42
/etc/ipsec.secrets
IPSecGlobalIP: PSK PRESHARE
/etc/strongswan.d/charon.conf
install_routes = no
/etc/strongswan.d/charon-logging.conf
syslog {
identifier = charon-custom
daemon {
}
auth {
default = 0
ike = 0
}
}
- TunnelInterfaceの設定例
VTIインターフェースの作成
sudo ip tunnel add vti0 mode vti local UbuntuのWAN側IP remote IPSecGlobalIP key 42
sudo ip link set vti0 up
sudo ip link set vti0 up mtu 1280
sudo ip addr add NAPT後アドレス/30 dev vti0
VTIインターフェースへのルーティング変更+トンネル確立のためのGWへのルート追加
sudo ip route add 0.0.0.0/0 dev vti0
sudo ip route add IPSecGlobalIP/32 via ブロードバンドルーターのIPアドレス dev UbuntuのWAN側IF名
VTIインターフェースでのNAPT
sudo iptables -t nat -A POSTROUTING -o vti0 -j MASQUERADE
MSS値の調整
sudo iptables -t mangle -A FORWARD -o vti0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1280:1536 -j TCPMSS --set-mss 1280
コメント
0件のコメント
サインインしてコメントを残してください。