ライン

ポイント:*

ライン

 はじめに

SEIL/x86

 仮想マシン上で動作するソフトウェアルータ SEIL(ザイル)/x86。
今回は、2つの異拠点をVPN接続し、同じサブネットのネットワークとして利用できるように設定を入れます。
 VMware Hypervisor の仮想に導入して利用します。SEIL/x86のライセンスは2個を消費します。

 準備

SEIL/x86 導入

 SEIL/x86 Fuji version 3.31 (VMware形式,OVF版を同梱)を利用することにします。

 OVFテンプレートのデプロイを選択して進めます。
多少、これまでの画像を使いますがイメージの雰囲気だけ…。

こんな流れで導入は完了します。メモリーは、512MBで1CPU。ストレージサイズもデフォルトのままです。

 初期設定

ライセンスキーの入力

初期IDは「admin」でパスワードは空。
IPアドレスとsshdの有効化を行って、SSH接続して作業を行うことにします。

Copyright (c) 1996, 1997, 1998, 1999, 2000, 2001, 2002, 2003, 2004, 2005
    The NetBSD Foundation, Inc.  All rights reserved.
Copyright (c) 1982, 1986, 1989, 1991, 1993
    The Regents of the University of California.  All rights reserved.

  Warning! Do not forget to set admin password.

# ?
    bye              load-from        report-to        telnetd
    clear            logout           set              traceroute
    date             measure          show             traceroute6
    exit             ping             ssh              uninstall-key
    help             ping6            sshd             update
    install-key      quit             tcpdump          wol
    interface        reboot           telnet

まず、lan0にIPアドレスを当てます。

# interface lan0 address 192.168.253.164/24

のような形式で投入しました。(※上記は例です)

# sshd enable

これで、接続できるようになりました。
TeraTermなどで接続できるようになったことを確認します。

# install-key from stdin
please enter key data ("." for end of key data)

のように表示されるので、starterkeyをコピペします。

...<= (入力した内容はここでは非表示にしています)
.OK?[y/N]y
Startup Key:
  Distribution ID : 0001-0000-0000-0086-0001-****-****-****
  Memo     : Distributed via SEIL Community Site.
  Status   : VALID and registered.

こんな感じ。利用できるコマンドを確認しなおします。

# ?
    administrator          ike                    route
    application-gateway    install-key            route6
    arp                    interface              rtadvd
    authentication         ipsec                  save-to
    bridge                 l2tp                   set
    bye                    load-from              show
    cbq                    logout                 snmp
    certificate            macfilter              ssh
    clear                  measure                ssh-config
    connect                monitor                sshd
    date                   nat                    syslog
    dhcp                   nat6                   tcpdump
    dhcp6                  ntp                    telnet
    dialup-device          option                 telnetd
    dialup-network         password               timezone
    disconnect             ping                   traceroute
    dns                    ping6                  traceroute6
    environment            ppp                    translator
    exit                   pppac                  unicast-rpf
    factory-config         proxyarp               uninstall-key
    filter                 quit                   update
    filter6                reboot                 vrrp
    floatlink              reconnect              vrrp3
    help                   report-to              wol
    hostname               reset                  wol-target
    httpd                  resolver

入力できるコマンドが拡張しました。

その前にパスワードを付与することができるようになりましたので先に変更します。
わたしは、telnetd disable やhttpd disableも加えました。

# telnetd disable
# httpd disable
# password admin
New password:
Retype new password:

次に、ライセンスキーを入れます。

# install-key from stdin
please enter key data ("." for end of key data)
FuncKey0...(略)...
...(略)...
.OK?[y/N]y
Function Key(s):
  Function : 'save-to' command
  Issued   : 2011/04/01 08:00:00
  Memo     : Delivered via LaIT Supply
  Status   : VALID and registered.

のように登録できました。以降確認は、「show key」で確認ができます。

# save-to flashrom

保存完了です。

 VPN設定

例は、東京と大阪

 今回やるのは、IIJ社のページにあるL2TPv3によるVPN接続の設定手順に書かれた内容。
接続する先のセグメントも、接続元のセグメントと同じにして使えるようしたいのです。
 このページには、「インターネット上でのVPNに使用する場合には、IPsecによりVPN通信を保護する設定を追加することをお勧めします。」とあっさりと書かれていて、組み合わせた例示がされていない…残念な状態で、例示されているポリシーベースIPsec(トランスポートモード)の設定例も微妙にサンプルがアンマッチしていてそのまま使えません。
 そんな場合には、置き換えて実際にやってみるのが早いのですが、機会がなければ実施することもなく、やっと今回お試しする機会になりました。

 今回は、自分の備忘録として必要なのでページにアップしていますが、具体的に書きすぎると、設定が甘い部分をさらけ出していることになってしまうので、そっと公開です。参考にされる方は、雰囲気だけどうぞ。

大阪側の設定

 例としては、大阪に拠点が増えて、ここも東京からアクセスができるようにSEIL/x86でVPNつなぎまっせ、というイメージです。

hostname "osaka"
timezone "Japan"
environment login-timer 300
l2tp hostname osaka
l2tp router-id 10.10.1.1
l2tp add SEIL-B hostname tokyo router-id 172.16.10.10 cookie off retry 10 hello-interval 60 password (PASSWORD)
interface lan0 media auto
interface lan0 add 10.10.1.1/24
interface lan0 add 192.168.150.1/24
interface l2tp0 tunnel 10.10.1.1 172.16.10.10
interface l2tp0 l2tp SEIL-B remote-end-id L2TP-VPN
bridge group add BG1 stp off
bridge interface lan0 group BG1 stp off
bridge interface l2tp0 group BG1 stp off
route add default 10.10.1.aaa
route dynamic rip disable
route dynamic ospf disable
route dynamic bgp disable
route dynamic redistribute static-to-rip disable
route dynamic redistribute static-to-ospf disable
route dynamic redistribute ospf-to-rip disable
route dynamic redistribute rip-to-ospf disable
route dynamic redistribute connected-to-rip enable
route dynamic redistribute connected-to-ospf enable
route dynamic pim-sparse disable
filter add in_icmp interface lan0 direction in action pass state disable logging on enable
filter add out_icmp interface lan0 direction out action pass state disable logging on enable
nat timeout 900
nat logging off
proxyarp disable
dhcp disable
dhcp mode server
dns forwarder disable
ntp enable
ntp server add 210.173.160.87
ike auto-initiation enable
ike preshared-key add "172.16.10.10" "(PASSWORD)"
ike proposal add IKEP01 encryption aes hash sha1 authentication preshared-key dh-group modp1024 lifetime-of-time 12h
ike peer add PEER01 address 172.16.10.10 exchange-mode main proposals IKEP01 initial-contact enable my-identifier  address peers-identifier address
ipsec security-association proposal add SAP01 pfs-group modp1024 authentication-algorithm hmac-sha1 encryption-algorithm aes lifetime-of-time 06h
ipsec security-association add SA01 transport 10.10.1.1 172.16.10.10 ike SAP01 esp enable
ipsec security-policy add SP01 security-association SA01 src 10.10.1.1/32 dst 172.16.10.10/32
cbq link-bandwidth 100Mbps
snmp disable
snmp community "public"
snmp security-model community-based on
snmp security-model user-based on
snmp trap disable
syslog debug-level off
syslog remote off
translator timeout 300
encrypted-password admin ---
encrypted-password-long admin ---
resolver disable
rtadvd disable
httpd disable
httpd access deny add ALL
sshd hostkey rsa1 none
sshd hostkey rsa ----
sshd enable
sshd access allow add 10.10.1.0/24
sshd access allow add 192.168.150.0/24
sshd access deny add ALL
telnetd disable
vendor OEM

こんな感じ。2つの拠点は、固定IPのグローバルを指定。/32なので、1個のIPアドレスをそれぞれ使います。
デフォルトゲートウェイは、これまで通りのものを指定するだけ。
パスワードはそれぞれの共通のものを決めて指定しておきます。

東京側の設定

大阪側の逆の設定になるので以下の通りです。

hostname "tokyo"
timezone "Japan"
environment login-timer 300
l2tp hostname tokyo
l2tp router-id 172.16.10.10
l2tp add SEIL-A hostname osaka router-id 10.10.1.1 cookie off retry 10 hel
lo-interval 60 password (PASSWORD)
interface lan0 media auto
interface lan0 add 172.16.10.10/28
interface lan0 add 192.168.150.1/24
interface l2tp0 tunnel 172.16.10.10 10.10.1.1
interface l2tp0 l2tp SEIL-A remote-end-id L2TP-VPN
bridge group add BG1 stp off
bridge interface lan0 group BG1 stp off
bridge interface l2tp0 group BG1 stp off
route add default 172.16.10.11
route dynamic rip disable
route dynamic ospf disable
route dynamic bgp disable
route dynamic redistribute static-to-rip disable
route dynamic redistribute static-to-ospf disable
route dynamic redistribute ospf-to-rip disable
route dynamic redistribute rip-to-ospf disable
route dynamic redistribute connected-to-rip enable
route dynamic redistribute connected-to-ospf enable
route dynamic pim-sparse disable
filter add in_icmp interface lan0 direction in action pass state disable logging on enable
filter add out_icmp interface lan0 direction out action pass state disable logging on enable
nat timeout 900
nat logging off
nat upnp off
nat upnp interface (null)
proxyarp disable
dhcp disable
dhcp mode server
dhcp6 client disable
dhcp6 client interface lan0
dns forwarder disable
ntp enable
ike auto-initiation enable
ike preshared-key add "10.10.1.1" "(PASSWORD)"
ike proposal add IKEP01 encryption aes hash sha1 authentication preshared-key dh-group modp1024 lifetime-of-time 12h
ike peer add PEER01 address 10.10.1.1 exchange-mode main proposals IKEP01 initial-contact enable my-identifier address peers-identifier address
ipsec security-association proposal add SAP01 pfs-group modp1024 authentication-algorithm hmac-sha1 encryption-algorithm aes lifetime-of-time 06h
ipsec security-association add SA01 transport 172.16.10.10 10.10.1.1 ike SAP01 esp enable
ipsec security-policy add SP01 security-association SA01 src 172.16.10.10/32 dst 10.10.1.1/32
cbq link-bandwidth 100Mbps
snmp disable
snmp community "public"
snmp security-model community-based on
snmp security-model user-based on
snmp trap disable
syslog debug-level off
syslog remote off
translator timeout 300
encrypted-password admin ---
encrypted-password-long admin ---
resolver disable
rtadvd disable
httpd disable
httpd access deny add ALL
sshd hostkey rsa1 none
sshd hostkey rsa ---
sshd enable
sshd access allow add 172.16.10.0/24
sshd access allow add 192.168.150.0/24
sshd access deny add ALL
telnetd disable
vendor OEM

この設定で保存して、通信が想定通りになることを確認しました。

もう少し、調整していくことになるとは思いますが、便利に使えるようになって良かったです。

【改訂履歴】作成:2015/02/28 更新:2015/03/08

【参考リンク】


Copyright © 1996,1997-2006,2007- by F.Kimura,