show log include yuh

勉強したことの復習を兼ねて、IT関係(ネットワーク/サーバ/アプリケーション)についてまとめてます。たまに趣味のこと

スポンサーリンク

Softether on Raspberry PiとIX2015で拠点間VPN

Network Server

概要

実家と自宅をL2で結ぶVPNSoftether <-> Softether で接続して使っていました。
VPN ServerはESXi上で動かしていたのですが、サーバの調子が悪かったため、ラズベリーパイを実家におき、自宅用にIX2015を中古で購入したので拠点間VPNを張ってみました。

IX2015

IX2015はNEC製の企業向けルータです。
非常にコンパクトでファンレスです、ヤフオク楽天市場の中古でおおよそ4000~5000円程度で購入できます。
CLICisco ライクですがGUIでも設定できるようでした。今回はCLIで設定をしていきます。

構成図

今回作りたい構成の概要は以下のようになります。
SoftetherVPNサーバとし起動し、ブランチにIX2015を配置する構成です。
ちなみに実家はNuro,自宅はau回線を使っているため、それぞれのHGWではポートフォワードでVPN機器へ通信を転送します。

env

設定内容

Softether

  • IPsec/L2TP設定 -> "EtherIP/L2TPv3 over IPsecサーバ機能の有効"にチェックを入れる
  • IPsec/L2TP設定 -> EtherIP/L2TPv3 over IPsecサーバ機能の詳細設定->追加-> "ISAKMP Phease 1 ID"に任意の値を設定する。ユーザ名とパスワードは仮想HUBにすでに登録されているユーザ名とパスワードを入力してください。
  • ※仮想HUBを作っていない場合は -> 仮想HUBの管理 -> ユーザの管理

IX2015 Config

以下を読み替えてください。

- <HGW IP> : デフォルトゲートウェイの指定  
- <SECRET KEY> : 共有シークレット  
- <VPN SERVER IP> : VPN先のグローバルIP
- <ISAKMP PHEASE 1 ID> : EtherIP/L2TPv3 over IPsecサーバ機能の詳細設定で設定したID
- <VPN SERVER PRIVATE IP> : VPN先サーバに割り当てているプライベートIP
- <IX2015 IP> : IXに割り当てるプライベートIP
# ルーティングとACL
ip route default <HGW IP>
ip access-list softether-acl permit ip src any dest any

# VPN
ike proposal ike-prop encryption aes hash sha group 1024-bit lifetime 3600
!
ike policy ike-policy peer <VPN SERVER IP> key <SECRET KEY> mode aggressive ike-prop
#ike policy ike-policy peer-fqdn-ipv4 <VPN DOMAIN> key <SECRET KEY> mode aggressive ike-prop
ike keepalive ike-policy 10 2
ike local-id ike-policy keyid <ISAKMP PHEASE 1 ID>
ike nat-traversal policy ike-policy keepalive 10
!
ipsec autokey-proposal ipsec-prop esp-aes esp-sha lifetime time 3600
!
ipsec autokey-map ipsec-map softether-acl peer <VPN SERVER IP> ipsec-prop
#ipsec autokey-map ipsec-map softether-acl peer-fqdn-ipv4 <VPN DOMAIN> ipsec-prop

# ブリッジ
bridge irb enable

# watch
watch-group keepalive 10
  event 10 ip unreach-host <VPN SERVER PRIVATE IP> BVI1 source BVI1
!
network-monitor keepalive enable
!
#インターフェイス
interface GigaEthernet0.0
  no ip address
  bridge-group 1
  no shutdown
interface GigaEthernet1.0
  no ip address
  bridge-group 1
  no shutdown
interface BVI1
  ip address <IX2015 IP>
  bridge-group 1
  no shutdown
interface Tunnel0.0
  tunnel mode ether-ip ipsec
  no ip address
  ipsec policy tunnel ipsec-map out
  bridge-group 1
  no shutdown

設定が終わるとIX2015のVPNのランプが緑に光ります。