UNIVERGE IXシリーズで拠点間接続
きっかけ
ある日、ヤフオクへリースアップ品と思われるスイッチングハブが大量に出品されていました。
入手したのは NEC UNIVERGE IX2215 。
それまでは YAMAHA RTXシリーズを使っていましたが、長らく使って古くなっていたので乗り換えることにします。
仕事場と自宅へ設置し、それぞれをVPN接続することを目指します。
最新版のファームウェアは、ネットの情報にある通りNECのしかるべきフォームから申し込めばダウンロード用のID/パスワードが送られてきます。
メーカーの資料はここからダウンロードできます。
https://jpn.nec.com/univerge/ix/Manual/index.html
初期設定
まずはIXをネットワークへ接続できるようにします。
コンソールケーブルをつなぎ、シリアル端末から最初の設定をします。
コンソールケーブルのピンアサインは次の通りです。(Ciscoと同じ)
RJ-45 ----- D-SUB 9P
1 <---- 7: RTS
2 <---- 4: DTR
3 <---- 3: TXD
4 ----- 5: GND
5 ----- 5: GND
6 ----> 2: RXD
7 ----> 6: DSR
8 ----> 8: CTS
GE0ポートをWAN側、GE2ポートをLAN側とします。
事務所のネットワークは192.168.10.0/24 、自宅は 192.168.20.0/24 です。
CUIから設定モードへ入るには次のコマンドを入力します。
config次に自分自身のIPアドレスなど最低限の設定をします。
(config) interface GigaEthernet2.0
(config-GigaEthernet2.0) ip address 192.168.10.1/24
(config-GigaEthernet2.0) ip dhcp binding web-dhcp-gigaethernet2.0
(config-GigaEthernet2.0) no shutdown
(config-GigaEthernet2.0) exit
(config) http-server ip enableこれでブラウザから接続できるようになりますので、GUIからその他の設定をしましょう。
LAN→DHCP、WAN→PPPoE、NTPなどの設定は済ませてしまいます。
ダイナミックDNS
NetMeisterサービスへ登録すれば、ダイナミックDNS(DDNS)を利用できるようになります。
プロバイダから割り振られたグローバルIPアドレスが変わる環境でVPN接続するには、相手先を特定するために必要になりますので登録しておきましょう。
https://www.necplatforms.co.jp/product/netmeister/index.html
VPN
IXでは少ない設定で簡単に使える IKEv2 にします。
拠点1(光回線でONUあり)
plalaのホームタイプで光ファイバーが直接建物に入ってきており、回線終端装置があります。
PPPoEで認証する必要があります。
VPNのレスポンダ側になるため、DDNSを登録しておきます。
VPNの設定は、SSHでCUIへ接続して設定を投入します。
主な設定は次の通り。(一部省略。すでにGUIから設定した項目も含まれます)
hostname OFFICE-GW
timezone +09 00
!
!
ip ufs-cache enable
ip route default GigaEthernet0.1
ip route 192.168.20.0/24 Tunnel0.0
ip dhcp enable
!
proxy-dns ip enable
proxy-dns interface GigaEthernet0.1 priority 254
!
ssh-server ip enable
!
!
ikev2 authentication psk id keyid vpn-remote key char @@@@@
!
nm ip enable
nm account ***** password secret @@@@@
nm logging enable
!
ppp profile web-ppp-gigaethernet0.1
authentication myname USERNAME
authentication password USERNAME PASSWORD
!
ip dhcp profile dhcp-profile
assignable-range 192.168.10.10 192.168.10.99
dns-server 192.168.10.1
!
!
interface GigaEthernet0.0
no ip address
ip napt static GigaEthernet0.0 50
ip napt static GigaEthernet0.0 udp 500
ip napt static GigaEthernet0.0 udp 4500
no shutdown
!
interface GigaEthernet1.0
no ip address
shutdown
!
interface GigaEthernet2.0
description LAN
ip address 192.168.10.1/24
ip dhcp binding dhcp-profile
no shutdown
!
interface GigaEthernet0.1
description WAN
encapsulation pppoe
auto-connect
ppp binding web-ppp-gigaethernet0.1
ip address ipcp
ip tcp adjust-mss auto
ip napt enable
ip napt hairpinning
ip napt static GigaEthernet0.1 50
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 udp 4500
no shutdown
!
!
interface Tunnel0.0
tunnel mode ipsec-ikev2
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ikev2 connect-type auto
ikev2 ipsec pre-fragment
ikev2 negotiation-direction responder
ikev2 peer any authentication psk id keyid vpn-remote
no shutdown
!
!
system information lan 1 GigaEthernet2.0
system information wan 1 GigaEthernet0.1
system information wan 2 GigaEthernet0.0
!拠点2(VDSLでホームルーターあり)
auひかりのマンションタイプで建物までは光ファイバー、各戸への配線はVDSLとなっています。
プロバイダのホームルーターにより認証が行われるため、独自のルーターを置くことができず、まずホームルーターで接続をしておき、DMZ設定によりIXへすべてのパケットを送るようにします。
DMZ側(GE0)のIPアドレスは 192.168.0.100 とします。
VPNのイニシエータ側になり、DDNSで登録されたホスト名を接続先として指定します。
hostname HOME-GW
timezone +09 00
!
!
ip ufs-cache enable
ip route default 192.168.0.1
ip route 192.168.10.0/24 Tunnel0.0
ip dhcp enable
!
ip name-server 000.000.000.000
!
proxy-dns ip enable
proxy-dns server 000.000.000.000 priority 254
!
ssh-server ip enable
!
!
ikev2 authentication psk id fqdn ***.*****.nmddns.jp key char @@@@@
!
!
ip dhcp profile dhcp-profile
assignable-range 192.168.20.10 192.168.20.99
dns-server 192.168.20.1
!
!
interface GigaEthernet0.0
description WAN1
ip address 192.168.0.100/24
ip napt enable
ip napt hairpinning
ip napt static GigaEthernet0.0 50
ip napt static GigaEthernet0.0 udp 500
ip napt static GigaEthernet0.0 udp 4500
no shutdown
!
interface GigaEthernet1.0
no ip address
shutdown
!
interface GigaEthernet2.0
description LAN1
ip address 192.168.20.1/24
ip dhcp binding dhcp-profile
no shutdown
!
!
interface Tunnel0.0
tunnel mode ipsec-ikev2
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ikev2 connect-type auto
ikev2 ipsec pre-fragment
ikev2 local-authentication id keyid vpn-remote
ikev2 negotiation-direction initiator
ikev2 peer-fqdn-ipv4 ***.*****.jp authentication psk id fqdn ***.*****.jp
no shutdown
!
!
system information lan 1 GigaEthernet2.0
system information wan 1 GigaEthernet0.0
!これで接続できると思います。
このほかに、ファイヤーウォールの設定をしておくとよいでしょう。
メモ
よく使うコマンド。
現在の設定を表示する
show running-config設定を保存する
write memoryDHCPで割り振られるIPアドレスをMACアドレスにひもづける
ip dhcp profile dhcp-profile
fixed-assignment 192.168.20.90 01:23:45:67:89:abスケジュール機能で日時を指定してコマンドを自動実行する
command-action list cmd001
command 1 HOGEHOGE
command 2 hagehage
scheduler timetable cmd001 datetime 12 0この記事が気に入ったらサポートをしてみませんか?