IX2015同士でIPアドレスを決め打ちしたIPsecを張る

1. IPアドレス決め打ちのIPsecを対向で張る

最近増えてきたIX2015。これまでは片側のIPアドレスのみを指定した IKE-IPsecだったんだけれど、お互いが固定IPアドレスを払い出されるような環境だとお互いIPアドレス決め打ちのほうがセキュリティ的に良かったりする。

なのでコレを試してみた。

2. コンフィグ

コレまで使ってきたコンフィグにちょっと手直しをするだけで行けた。設定事例集をみるともっとシンプルに出来るみたいなので、ここではあくまで自分流のメモということで。

ルータ1 (こいつのグローバルは203.0.113.1、ローカルは192.0.2.1/28、セグメント名はs1)

ike proposal ike-prop1 encryption 3des hash sha lifetime 3600
ike policy ike-s2 peer 203.0.113.2 key random mode aggressive ike-prop1
ike commit-bit ike-s2
ike keepalive ike-s2 10 3
ike remote-id ike-s2 keyid s2keyid

!

ipsec autokey-proposal ipsec-prop1 esp-3des esp-sha lifetime time 3600


ipsec autokey-map ipsec-s2 sec-list peer 203.0.113.2 ipsec-prop1
ipsec commit-bit ipsec-s2
ipsec local-id ipsec-s2 192.0.2.0/28
ipsec remote-id ipsec-s2 192.0.2.16/28

interface Tunnel0.0
description s2vpn
tunnel mode ipsec
ip unnumbered FastEthernet1/0.0
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-s2out
no shutdown

ルータ2(こいつのグローバルは203.0.113.2、ローカルは192.0.2.17/28、セグメント名はs2)

ike proposal ike-prop1 encryption 3des hash sha lifetime 3600
ike policy ike-s1 peer 203.0.113.1 key random mode aggressive ike-prop1
ike keepalive ike-s1 30 6
ike local-id ike-s1 keyid s2keyid
!
ipsec autokey-proposal ipsec-prop1 esp-3des esp-sha lifetime time 3600
ipsec autokey-map ipsec-s1 sec-list peer 203.0.113.1 ipsec-prop1
ipsec local-id ipsec-s1 192.0.2.16/28
ipsec remote-id ipsec-s1 192.0.2.0/28

interface Tunnel0.0
tunnel mode ipsec
ip unnumbered FastEthernet1/0.0
ip mtu 1382
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-s1 out
no shutdown


コメントを残す