Notes

2016/10/26

L2TP/IPSEC-VPN IX2025 リモートアクセス.

リモートアクセスVPNテスト

シナリオ

想定1：インターネットVPNを使用したリモートアクセスVPN
想定2：VPN構築後にiphoneからインターネットに接続する

機器：NEC IX2025(8.11.11) とiphone

目標1：LTE通信のiphoneからIX2025までをVPNでつなぎ、internal内のPCにリモートデスクトップで接続する
目標2：iphoneからインターネットに接続する

簡易ネットワーク

IX2025 L2TP/IPSEC-VPN設定

config

hostname ix2025
!
ip ufs-cache enable
ip route default FastEthernet0/0.1
ip access-list all-block deny ip src any dest any
ip access-list all-pass permit ip src any dest any
ip access-list sec-list permit ip src any dest any
ip access-list vpn permit udp src any sport any dest any dport eq 500
ip access-list vpn permit udp src any sport any dest any dport eq 4500
ip access-list dynamic dyn-access access all-pass
!
ike nat-traversal
ike proposal ike1 encryption aes-256 hash sha group 1024-bit
ike proposal ike2 encryption aes hash sha group 1024-bit
ike proposal ike3 encryption 3des hash sha group 1024-bit
ike policy ike-policy peer any key XXXXXXX ike1,ike2,ike3
!
ipsec autokey-proposal sec1 esp-aes-256 esp-sha
ipsec autokey-proposal sec2 esp-aes esp-sha
ipsec autokey-proposal sec3 esp-3des esp-sha
ipsec dynamic-map ipsec-map sec-list sec1,sec2,sec3
!
proxy-dns ip enable
!
ppp profile プロバイダー
 authentication myname XXXXX@XXXXXX
 authentication password XXXXX@XXXXX パスワード
!
ppp profile L2TP-IPSEC-VPN
 authentication request chap
 authentication password ユーザー名 パスワード
 lcp pfc
 lcp acfc
 ipcp ip-compression
 ipcp provide-remote-dns 192.168.1.254
 ipcp provide-ip-address range 192.168.1.101 192.168.1.102
!
interface FastEthernet1/0.0
 ip address 192.168.1.254/24
 ip proxy-arp 
 ip dhcp binding 192.168.1.0/24
 no shutdown
!
interface FastEthernet0/0.1
 encapsulation pppoe
 auto-connect
 ppp binding プロバイダー
 ip address ipcp
 ip mtu 1454
 ip tcp adjust-mss auto
 ip napt enable
 ip napt static FastEthernet0/0.1 udp 500
 ip napt static FastEthernet0/0.1 udp 4500
 ip napt static FastEthernet0/0.1 50
 ip filter vpn 100 in
 ip filter all-block 65535 in
 ip filter dyn-access 100 out
 ip filter all-block 65535 out
 no shutdown
!
interface Tunnel0.0
 ppp binding L2TP-IPSEC-VPN
 tunnel mode l2tp ipsec
 ip unnumbered FastEthernet1/0.0
 ip tcp adjust-mss auto
 ipsec policy transport ipsec-map
 no shutdown

iphone L2TP/IPSEC-VPN設定準備

iphone -> 設定 -> VPN -> VPN構成を追加

タイプ：L2TP
説明：IX2025
サーバ：XXX.XXX.XXX.XXX　(固定IPアドレス)
アカウント：userX
RSA SecureID：無効
パスワード：XXXXXXXXXX
シークレット：XXXXXX　//事前共有鍵を指定
すべての信号を送信：有効

iphone PCへリモートデスクトップ

app storeからmicrosoft RD Clientをインストール

RD Clientの設定して接続

PC名：192.168.1.XXX (PCのIPアドレス)
ユーザーアカウント：
パスワード：

2016/10/25

IPSEC-VPN Fortigate-IX2025 拠点間VPN

拠点間VPNテスト

シナリオ

想定1：インターネットVPNを使用した拠点間VPN(10.0.0.0/24をインターネットと想定)
想定2：Fortigate40Cは固定IPを使用し、IX2025は動的IPでIX2025からアクセスする

機器：Fortigate40C(ver 4.0 MR3 patch18) とIX2025(8.11.11)でIPSEC-VPN

目標：192.168.2.0/24ネットワークから192.168.2.0/24ネットワークの共有ファイルにアクセス

簡易ネットワーク図

※ピンクの太線がIPSEC-VPN

VPN設定(FG40C)

VPN -> IPSec -> 自動鍵(IKE) -> フェーズ1を作成

名前：To_IX2025_p1
リモートゲートウェイ：ダイアルアップユーザ
ローカルインターフェース：wan1
モード：アグレッシブモード
認証方法：事前共有鍵
事前共有鍵：XXXXXXXXXXX
ピアオプション：あらゆるピアIDを受け入れる
特別オプション
　IPSECインターフェースモードを有効にする：オン
　フェーズ1
　　1.暗号化：AES128　認証：SHA1
　　DHグループ：2

VPN -> IPSec -> 自動鍵(IKE) -> フェーズ2を作成

名前：To_IX2025_p2
フェイズ1：To_IX2025_p1
特別オプション
　フェーズ2
　　1.暗号化：AES128　認証：SHA1
　　リプレイ検知を有効にする：無効
　　PFSを有効にする：有効
　　　DHグループ：２
　鍵の有効時間：28800秒
　クイックモードセレクタ
　　送信元アドレス：192.168.1.0/24
　　宛先アドレス：192.168.2.0/24

ポリシー設定(FG40C)

ポリシー -> ポリシー -> 新規作成

送信元インタフェース/ゾーン：To_IX2025_p1
送信元アドレス：all
宛先インタフェース/ゾーン：internal
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT

送信元インタフェース/ゾーン：internal
送信元アドレス：all
宛先インタフェース/ゾーン：To_IX2025_p1
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT

ルーティング(FG40C)

ネットワーク -> Routing -> 新規作成

宛先IP/ネットマスク：192.168.2.0/255.255.255.0
デバイス：To_IX2025_p1

VPN設定(IX2025)

hostname IX2025

ip ufs-cache enable
ip route default FastEthernet0/0.0
ip route 192.168.1.0/24 Tunnel0.0
ip access-list flt-list1 permit udp src 10.0.0.1/32 sport eq 500 dest any dport eq 500
ip access-list flt-list1 permit 50 src 10.0.0.1/32 dest any
ip access-list flt-list2 permit ip src 192.168.1.0/24 dest 192.168.2.0/24
ip access-list sec-list permit ip src any dest any
!
ike proposal ike-prop encryption aes hash sha group 1024-bit
!
ike suppress-dangling
!
ike policy ike-policy peer 10.0.0.1 key XXXXXXXX mode aggressive ike-prop
ike keepalive ike-policy 30 6
ike local-id ike-policy keyid ix2025
!
ipsec autokey-proposal ipsec-prop esp-aes esp-sha lifetime time 288000
!
ipsec autokey-map ipsec-policy sec-list peer 10.0.0.1 ipsec-prop pfs 1024-bit
ipsec local-id ipsec-policy 192.168.2.0/24
ipsec remote-id ipsec-policy 192.168.1.0/24
!
interface FastEthernet0/0.0
 ip address 10.0.0.2/24
 ip napt enable
 ip napt static FastEthernet0/0.1 udp 500
 ip napt static FastEthernet0/0.1 50
 ip filter flt-list1 1 in
 no shutdown
!
interface FastEthernet0/1.0
 ip address 192.168.2.254/24
 no shutdown
!
interface Tunnel0.0
 tunnel mode ipsec
 ip unnumbered FastEthernet0/1.0
 ip filter flt-list2 1 in
 ipsec policy tunnel ipsec-policy out
 no shutdown

共有ファイルアクセス

・サーバ
共有サーバ：smb://192.168.1.11
ユーザー：userX
パスワード：password123456
OS：windows 7

・クライアント
クライアント：192.168.2.2
ユーザー：userX
パスワード：password123456
OS：Mac

・結果
MacのFinderの「サーバに接続」からsmb://192.168.1.11を入力してアクセス成功

2016/10/24

L2TP/IPSEC-VPN Fortigate リモートアクセス

リモートアクセスVPNテスト

シナリオ

想定：インターネットVPNを使用したリモートアクセスVPN

機器：Fortigate40C(ver 4.0 MR3 patch18) とiphone SE

目標1：LTE通信のiphone SEからFortigate40CまでをVPNでつなぎ、internal内のPCにリモートデスクトップで接続する

簡易ネットワーク

Fortigate L2TP/IPSEC-VPN設定

ファイアウォールオブジェクト -> アドレス -> アドレス -> 新規作成

アドレス名：L2TP-Clients
タイプ：サブネット/IP範囲指定
サブネット/IP範囲指定：192.168.11.[2-9]
インタフェース：すべて

VPN -> IPSec -> 自動鍵(IKE) -> フェイズ1を作成

名前：L2TP_IPSEC_
リモートゲートウェイ：ダイアルアップユーザ
ローカルインターフェース：wan1
モード：アグレッシブ
認証方法：事前共有鍵
事前共有鍵：XXXXXXXXXXXXX
ピアオプション：このピアIDを受け入れる[ ipsecvpn ]
特別オプション(変更箇所のみ)
　PSecインターフェースモードを有効にする：オン
　DNSサーバ：指定 192.168.1.254
　フェーズ1
　　DHグループ：2
　XAUTH：サーバを有効にする
　　サーバタイプ：AUTO
　　ユーザグループ：IPSEC-VPN　　//グループを作成して指定
　　NATトラバーサル：有効

VPN -> IPSec -> 自動鍵(IKE) -> フェイズ2を作成

名前：L2TP_IPSEC_p2
フェイズ1：L2TP_IPSEC_p1
特別オプション(特別オプション)
　リプレイ検知を有効にする：有効
　PFSを有効にする：無効
自動鍵キープアライブ：有効

Fortigate L2TP/IPSEC-VPNユーザー設定

ユーザー -> ローカル -> 新規作成

ユーザー名：userX
パスワード：XXXXXX

ユーザー -> ユーザーグループ -> ユーザーグループ -> 新規作成

名前：IPSEC-VPN
タイプ：ファイアウォール
SSL-VPNアクセスを許可：無効
利用できるユーザー：userX

Fortigate 静的ルーティング

システム -> ネットワーク -> Routing -> 新規作成

宛先IP/ネットマスク：192.168.11.0/255.255.255.0
デバイス：L2TP_IPSEC_p1
ゲートウェイ：0.0.0.0
コメント：なし

Forigate ポリシー

ポリシー -> ポリシー -> 新規作成

送信元インタフェース/ゾーン：L2TP_IPSEC_p1
送信元アドレス：all
宛先インタフェース/ゾーン：internal
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT

送信元インタフェース/ゾーン：internal
送信元アドレス：all
宛先インタフェース/ゾーン：L2TP_IPSEC_p1
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT

※インターネットにもアクセスする場合
送信元インタフェース/ゾーン：L2TP_IPSEC_p1
送信元アドレス：all
宛先インタフェース/ゾーン：wan1
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT
NAT有効：有効
　宛先インターフェースアドレスを使う

iphone L2TP/IPSEC-VPN設定準備

iphone -> 設定 -> VPN -> VPN構成を追加

タイプ：IPSEC
説明：FG40C
サーバ：XXX.XXX.XXX.XXX　(wan1の固定IPアドレス)
アカウント：userX
パスワード：XXXXXXXXXX
証明書を使用：無効
グループ名：ipsecvpn　//ピアIPを指定
シークレット：XXXXXX　//事前共有鍵を指定

iphone PCへリモートデスクトップ

app storeからmicrosoft RD Clientをインストール

RD Clientの設定して接続

PC名：192.168.1.XXX (PCのIPアドレス)
ユーザーアカウント：
パスワード：

2016/10/23

SSL-VPN Fortigate リモートアクセス

リモートアクセスVPNテスト

シナリオ

想定：インターネットVPNを使用したリモートアクセスVPN

機器：Fortigate40C(ver 4.0 MR3 patch18) とiphone SE

目標1：LTE通信のiphone SEからFortigate40CまでをVPNでつなぎ、internal内のPCにリモートデスクトップで接続する

簡易ネットワーク

Fortigate SSL-VPN設定

ファイアウォールオブジェクト -> アドレス -> アドレス -> 新規作成

アドレス名：SSLVPN-Clients
タイプ：サブネット/IP範囲指定
サブネット/IP範囲指定：192.168.12.[2-9]
インタフェース：すべて

VPN -> SSL -> 設定

IPプール：SSLVPN-Clients
サーバ証明書：自己署名
クライアント証明書：なし
暗号鍵アルゴリズム：デフォルト
アイドルタイム：300秒
ログインポート：10443

VPN -> SSL -> ポータル -> 新規作成

名前：tunnel-access
ウィジェット：トンネルモード、Seesion Information
setting：デフォルトのまま

Fortigate SSL-VPNユーザー設定

ユーザー -> ローカル -> 新規作成

ユーザー名：userX
パスワード：XXXXXX

ユーザー -> ユーザーグループ -> ユーザーグループ -> 新規作成

名前：SSL-VPN
タイプ：ファイアウォール
SSL-VPNアクセスを許可：tunnel-access //tunnel-accessはポータル名
利用できるユーザー：userX

Fortigate 静的ルーティング

システム -> ネットワーク -> Routing -> 新規作成

宛先IP/ネットマスク：192.168.12.0/255.255.255.0
デバイス：ssl.root
ゲートウェイ：0.0.0.0
コメント：なし

Forigate ポリシー

ポリシー -> ポリシー -> 新規作成

送信元インタフェース/ゾーン：sslvpn トンネルインターフェース
送信元アドレス：SSLVPN-Clients
宛先インタフェース/ゾーン：internal
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT
NAT：有効(宛先インタフェースアドレスを使う)

送信元インタフェース/ゾーン：wan1
送信元アドレス：all
宛先インタフェース/ゾーン：internal
宛先アドレス：all
アクション：SSL-VPN
SSL-VPNユーザを設定
　ルールID:1
　ユーザグループ：SSL−VPN
　サービス：any
　スケジュール：always

iphone SSL-VPN設定準備

app storeからFortiClientをインストール

FortiClientの設定

Name：fortigate-ssl-vpn
Host：XXX.XXX.XXX.XXX　(wan1の固定IPアドレス)
Port：10443
User：userX
Password：XXXXXXXXXX

iphone PCへリモートデスクトップ

app storeからmicrosoft RD Clientをインストール

RD Clientの設定して接続

PC名：192.168.1.XXX (PCのIPアドレス)
ユーザーアカウント：<ユーザー名>
パスワード：<パスワード>

2016/09/27

IPSEC-VPN Fortigate 拠点間VPN

拠点間VPNテスト

シナリオ

想定：インターネットVPNを使用した拠点間VPN(10.0.0.0/24をインターネットと想定)

機器：Fortigate40C(ver 4.0 MR3 patch18) x2個でIPSEC-VPN

目標1：172.16.1.0/24ネットワークから192.168.2.0/24ネットワークへ共有ファイルにアクセス

目標2：172.16.1.0/24ネットワークから192.168.2.0/24ネットワークへリモートデスクトップでアクセス

簡易ネットワーク図

※ピンクの太線がIPSEC-VPN

VPN設定(FG40C_1)

VPN -> IPSec -> 自動鍵(IKE) -> フェーズ1を作成

名前：40C1_to_40C2_p1
リモートゲートウェイ：スタティックIP
IPアドレス：10.0.0.2
ローカルインターフェース：wan2
モード：メイン
認証方法：事前共有鍵
事前共有鍵：XXXXXXXXXXX
ピアオプション：あらゆるピアIDを受け入れる
特別オプション
IPSECインターフェースモードを有効にする：オン

VPN -> IPSec -> 自動鍵(IKE) -> フェーズ2を作成

名前：40C1_to_40C2_p2
フェイズ1：40C1_to_40C2_p1

VPN設定(FG40C_2)

VPN -> IPSec -> 自動鍵(IKE) -> フェーズ1を作成

名前：40C2_to_40C1_p1
リモートゲートウェイ：スタティックIP
IPアドレス：10.0.0.1
ローカルインターフェース：wan2
モード：メイン
認証方法：事前共有鍵
事前共有鍵：XXXXXXXXXXX
ピアオプション：あらゆるピアIDを受け入れる
特別オプション
IPSECインターフェースモードを有効にする：オン

VPN -> IPSec -> 自動鍵(IKE) -> フェーズ2を作成

名前：40C2_to_40C1_p2
フェイズ1：40C2_to_40C1_p1

ポリシー設定(FG40C_1)

ポリシー -> ポリシー -> 新規作成

送信元インタフェース/ゾーン：internal
送信元アドレス：all
宛先インタフェース/ゾーン：wan2
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT
 NAT：有効(宛先インタフェースアドレスを使う)

送信元インタフェース/ゾーン：40C1_to_40C2_p1
送信元アドレス：all
宛先インタフェース/ゾーン：internal
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT

送信元インタフェース/ゾーン：internal
送信元アドレス：all
宛先インタフェース/ゾーン：40C1_to_40C2_p1
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT

ポリシー設定(FG40C_2)

ポリシー -> ポリシー -> 新規作成

送信元インタフェース/ゾーン：internal
送信元アドレス：all
宛先インタフェース/ゾーン：wan2
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT
NAT：有効(宛先インタフェースアドレスを使う)

送信元インタフェース/ゾーン：40C2_to_40C1_p1
送信元アドレス：all
宛先インタフェース/ゾーン：internal
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT

送信元インタフェース/ゾーン：internal
送信元アドレス：all
宛先インタフェース/ゾーン：40C2_to_40C1_p1
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT

ルーティング(FG40C_1)

ネットワーク -> Routing -> 新規作成

宛先IP/ネットマスク：172.16.1.0/255.255.255.0
デバイス：40C1_to_40C2_p1

宛先IP/ネットマスク：192.168.2.0/255.255.255.0
デバイス：internal
ゲートウェイ：192.168.1.1

宛先IP/ネットマスク：0.0.0.0/0.0.0.0
デバイス：wan2

ルーティング(FG40C_2)

ネットワーク -> Routing -> 新規作成

宛先IP/ネットマスク：192.168.1.0/255.255.255.0
デバイス：40C2_to_40C1_p1

宛先IP/ネットマスク：192.168.2.0/255.255.255.0
デバイス：40C2_to_40C1_p1

宛先IP/ネットマスク：0.0.0.0/0.0.0.0
デバイス：wan2

ルーティング(IX2025)

宛先IP/ネットマスク：0.0.0.0/0.0.0.0
デバイス：Fa0/0.0
ゲートウェイ：192.168.1.254

共有ファイルアクセス

・サーバ
共有サーバ：smb://192.168.2.3
ユーザー：userX
パスワード：password123456
共有領域：/Users/userX/share
OS：Mac OSX el capitan

・クライアント
クライアント：172.16.1.2
ユーザー：userX
パスワード：password123456
OS：windows 7 64bit

・結果
クライアントからサーバに¥¥192.168.2.3へアクセス成功

リモートデスクトップアクセス

・アクセス元
IP：172.16.1.2
ユーザー：userX
パスワード：password123456
OS：Mac OSX el capitan
アプリ：Microsoft Remote Desktop

・アクセス先
IP：192.168.2.2
ユーザー：userX
パスワード：password123456
OS：windows 7 64bit

・結果
MACからWindowsのリモートデスクトップサービスにuserXアカウントでアクセス成功

2015/11/17

SSL導入

使用する証明書

さくらのSSL
* ドメイン認証
* ジオトラストラピッドSSL
* ¥1,500-/year

証明書作成手順

鍵とCSR作成

参考URL
https://www.geotrust.co.jp/support/ssl/csr/apache_openssl_new.html

鍵とCSR作成
# mkdir 20151116-SSL
# cd /root/20151116-SSL
# openssl md5 * > rand.dat
# openssl genrsa -rand rand.dat -des3 2048 > 20151116-www.mylines.org.key
# openssl req -new -key 20151116-www.mylines.org.key -out 20151116-www.mylines.org.csr

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:Hiroshima
Locality Name (eg, city) [Default City]:Hiroshima
Organization Name (eg, company) [Default Company Ltd]:XXXXXXX
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:www.mylines.org
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:        
An optional company name []:

# openssl rsa -in 20151116-www.mylines.org.key -out 20151116-www.mylines.org_nonepass.key

さくらのSSLに申し込みする
作成したCSRをさくらのSSLの申し込み途中で貼り付ける
# cat /root/20151116-www.mylines.org.csr

認証ファイルをアップロード

さくらのSSLから認証ファイルをダウンロードしてサーバにアップロード
# mv nm3acaco.htm /var/www/html/wp-www/nw3acaco.htm
アクセスできることを確認
http://www.mylines.org/nw3acaco.htm
サーバ証明書ができるまでapacheの設定をする

Apache + mod_ssl

# yum install mod_ssl
# vi /etc/httpd/conf.d/ssl.conf //以下変更箇所

DocumentRoot "/var/www/html/wp-www"
ServerName www.mylines.org:443
SSLCertificateFile /etc/pki/tls/certs/20151116-www.mylines.org.crt
SSLCertificateKeyFile /etc/pki/tls/private/20151116-www.mylines.org_nonepass.key
SSLCACertificateFile /etc/pki/tls/certs/20151116-ica.crt

サーバ証明書配置

中間証明書ダウンロードと配置
# cp -a 20151116-ica.crt /etc/pki/tls/certs/20151116-ica.crt
# cat /etc/pki/tls/certs/20151116-ica.crt

サーバ証明書ダウンロードと配置
さくらからサーバ証明書作成完了メールが来るのでそれに従ってダウンロード
# cp -a server.crt /etc/pki/tls/certs/20151116-www.mylines.org.crt
秘密鍵配置
# cp -a 20151116-www.mylines.org.key /etc/pki/tls/private/20151116-www.mylines.org_nonepass.key

Apache再起動とweb確認

# service httpd restart
https://www.mylines.org へアクセス
証明書を確認する

登録: 投稿 (Atom)