Hatena::ブログ(Diary)

放浪するエンジニアの覚え書き このページをアンテナに追加 RSSフィード

2011-04-21

初めてのインターネットVPN(中古RTX1000編); 支社のルーターをSRT100からRTX1000に置き換える。

| 08:20 |  初めてのインターネットVPN(中古RTX1000編); 支社のルーターをSRT100からRTX1000に置き換える。 - 放浪するエンジニアの覚え書き のブックマークコメント

前回で、中古のYAMAHA RTX1000の初期セットアップができたので、支社にあるSRT100と置き換える。

支社のネットワークは以下のようになる。

f:id:tetsuya_odaka:20110409141350p:image


IPsec VPNの設定であれば、GUIから設定できてしまう。

f:id:tetsuya_odaka:20110409141522j:image


RTX1000にはSSHサーバーの機能がないので、Telnetシリアル接続でコンフィグを入れてしまう。以下がその内容となる。これで、RTX1200-RTX1000間でのIPsec VPNがはられる。支社はCATVのため、入れ替えたタイミングでインターネットアドレスが振りなおされてしまうので、本社側のアドレスも変更した。

ip route 192.168.11.0/24 gateway tunnel 1
ip lan1 address 192.168.20.1/24
description lan2 PRV/DHCP/38:
ip lan2 address dhcp
ip lan2 nat descriptor 200
ip lan3 address 192.168.21.1/24
tunnel select 1
 tunnel name toHonsha
 description tunnel toHonsha
 ipsec tunnel 2
  ipsec sa policy 2 2 esp 3des-cbc md5-hmac
  ipsec ike keepalive use 2 on
  ipsec ike local address 2 192.168.20.1
  ipsec ike pre-shared-key 2 text [pre-shared-key]
  ipsec ike remote address 2 [本社のグローバルIP]
 ip tunnel tcp mss limit auto
 tunnel enable 1
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor masquerade static 200 101 192.168.20.1 esp
nat descriptor masquerade static 200 102 192.168.20.1 udp 500
ipsec auto refresh on
syslog notice on
syslog debug on
tftp host 192.168.20.10
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.20.10-192.168.20.60/24
dns server dhcp lan2
dns private address spoof on