interfaces {
ethernet eth1 {
address 192.168.0.10/24 ... (1) IPsecトンネルを張るインターフェースの
IPアドレスを指定する。
}
vti vti0 {
address 192.168.0.10/32 ... (2) IPsecトンネルのための仮想インター
フェース(vti)を作成し、それぞれIPア
ドレスを割り当てる。(1)と同様のアドレ
スにしておいたほうがよい。ただし、プレ
フィックス長は/32に変更する。
description "to honsya-vpn"
mtu 1280 ... (3) MTU値は1280バイトに指定しておく。
}
}
nat { ... (4) VPNを通る通信に対してNAT変換を行う。自
サイトから他のサイトに向かうパケットに
ついては宛先IPアドレスの変換を行い
(source部)、逆に自サイトに入ってくる
パケットについては送信元IPアドレスの変
換を行う(destination部)。NATによるア
ドレス変換を要しない場合は、省略するこ
とができる。
destination {
rule 10 {
destination {
address 172.32.2.0/24
}
inbound-interface vti0
translation {
address 192.168.0.0/24
}
}
}
source {
rule 10 {
outbound-interface vti0
source {
address 192.168.0.0/24
}
translation {
address 172.32.2.0/24
}
}
}
}
protocols {
static { ... (5) デフォルトルートと、VPNのための
個別のスタティックルートを設定す
る。
interface-route 172.32.0.0/24 {
next-hop-interface vti0 {
}
}
interface-route 172.32.1.0/24 {
next-hop-interface vti0 {
}
}
route 0.0.0.0/0 {
next-hop 192.168.0.254 {
}
}
}
}
vpn {
ipsec {
esp-group ESP-1 { ... (6) IPsecのIKEおよびESPで用いる、暗
号アルゴリズムとパラメータの定義
を行う。IPsecを張るサイト間で同
様の設定にしなければならない。
compression disable
lifetime 1800
mode tunnel
pfs enable
proposal 1 {
encryption aes256
hash sha1
}
}
ike-group IKE-1 {
lifetime 3600
proposal 1 {
dh-group 5
encryption aes256
hash sha1
}
}
ipsec-interfaces {
interface eth1
}
nat-traversal enable
site-to-site {
peer 192.0.2.13 { ... (7) IPsecの相手先のグローバルIPアド
レスを指定する。
authentication {
id @brazil-vpn ... (8) IPsecにおいて、相手側と自分側を
識別する、一意な値(local ID)
を設定する。VPNルーターのホスト
名などを指定するとよい。
mode pre-shared-secret
pre-shared-secret test_vpn_key_2
remote-id @honsya-vpn ... (9) 相手側を識別する、一意な値
(remote ID)を指定する。
}
connection-type initiate
default-esp-group ESP-1
description "to honsya-vpn"
ike-group IKE-1
local-address 192.168.0.10 ... (10) 自身のVPNルーター側のIP
アドレスを指定する。前述
の(1)と同じIPアドレスを
指定しておく。
vti {
bind vti0 ... (11) このIPsecの設定に紐づ
く、vtiインターフェース
を指定する。
}
}
}
}
}