RTX830とTL-R600VPNでIPsec拠点間接続
上記2機種のVPNルータでIPsec VPN確立を試行したメモ。
しかし、各拠点側にかけるコストは抑えたい。」という事情が生じたため、
拠点側にはTP-Link TL-R600VPN Ver.4(以下R600)を採用して
拠点間(LAN to LAN)VPNを構築します。
センター側のIPアドレスは固定。拠点側は不定(動的IPアドレス)です。
参考にする構成例はこちら。
RTX810 GUI「IPsecを使用したネットワーク型LAN間接続VPN」による設定方法(拠点側が動的IPアドレス)
参考例では、センター側・拠点側ともRTX810(RTX830の前型)を使ってますが、
拠点側だけを安価なR600で置き換える構成を目指します。
RTXの設定をWeb UIで済ませられればなと期待したのですが、残念ながら叶わず。
一方のR600はWeb UIしかありません。
RTXの設定内容はconfigに沿って、R600の内容はWeb UIに沿って記します。
前提として、先の参考例のように両ルータのLAN側アドレスを変更しておいてください。
■以下の設定をRTXのconfigに追加する
tunnel select 1
tunnel name [VPN設定名]
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 auto dpd
ipsec ike local address 1 [RTXのプライベートIPアドレス]
ipsec ike nat-traversal 1 on
ipsec ike payload type 1 3
ipsec ike pre-shared-key 1 text [事前共有鍵]
ipsec ike remote address 1 any
ipsec ike remote name 1 [R600の識別ID] key-id
ip tunnel tcp mss limit auto
tunnel enable 1
ip route [拠点側NWのサブネット] gateway tunnel 1
以上。
keepaliveはオフにしても問題ないかも知れませんが、
R600がDPDに対応しているので合わせることにします。
payload typeは、接続先がYAMAHA製品ではないため3にセットします。
参考例に合わせて読み替えると以下のようになります。
tunnel select 1
tunnel name center
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 auto dpd
ipsec ike local address 1 192.168.1.1
ipsec ike nat-traversal 1 on
ipsec ike payload type 1 3
ipsec ike pre-shared-key 1 text secret
ipsec ike remote address 1 any
ipsec ike remote name 1 kyoten_name key-id
ip tunnel tcp mss limit auto
tunnel enable 1
ip route 192.168.2.0/24 gateway tunnel 1
以上。
R600の設定に移ります。
ユーザガイドの131ページ以降に沿って記します。
Policy Name: 設定名ですので、RTXでのtunnel nameと同様にお好みで。
Mode: "LAN-to-LAN"を選択。
Remote Gateway: RTXのWAN側IPアドレス。参考例では、203.0.113.1 となってます。
WAN: R600がインターネットへつながっているポートを選択。
Local Subnet: R600のLAN側サブネット。参考例では、192.168.2.0/24 。
Remote Subnet: RTXのLAN側サブネット。参考例では、192.168.1.0/24 。
Pre-shared Key: 事前共有鍵です。参考例では、secret 。
以下、133ページ以降で説明されているAdvanced Settings 。
まずはPhase-1 Settings。
Proposal: "sha1-aes256-dh2"にセット。RTXのipsec sa policyに対応する箇所です。
Exchange Mode: "Aggressive Mode"にセット。
Negotiation Mode: "Initiator Mode"にセット。
Local ID Mode: "NAME"にセット。
Local ID: 識別IDを入力。参考例では、kyoten_name 。
以下、Phase-1 Settingsは、初期値のとおり。
続いてPhase-2 Settings。
Encapsulation Mode: "Tunnel Mode"にセット。
Proposal: "esp-sha1-aes256"にセット。
以下、Phase-2 Settingsは、初期値のとおり。
R600の設定は以上。
うまくいかないときはsyslog(特にRTX側のDebugログ)を読んでみてください。
なお、センター側にYAMAHA RTX810を使った場合でも
異機種間でVPN確立可能なことを確認しています。