夏休みも終わり
どんよりした暗い気持ちの皆様
OCIと自宅をVPNで接続する業務用ルーター NEC IX2105 で遊びましょう。
かなり古い機種で、ファームウェア 10.2.42 です。
ヤフオクで、激安で入手可能なので、是非、チャレンジしましょう。
このネタは、ネットで色々とありますが、何処もかしこも、ちゃんと接続出来ないんですけど。
PPPoEで、直接接続しているネタが多いからなのでしょうか。
なので、NAT-T越しに接続出来るように調査してみました。
今回は、BGPルーティングにも対応してます。
OCIのサブネットとかVCNがある状態で、DRGを作っておいて下さい。
では、行きましょう。
1.
顧客構内機器(CPE)を作りましょう。
顧客構内機器とは、自分のとこのルーターのグローバルIPのことです。
CPEベンダーは、なんでも良さげですが、NECを選択しといて下さい。
※前提としてグローバルIPを取得しており、UDP 4500,500 を、IX2105 にポートマップしておいて下さい。NAT前提です。
2.
ネットワーキングメニュー - 顧客接続性から、サイト間VPNを選択します。
IPSec接続の作成 を押下します。
今回、BGP動的ルーティングで行いますよ。静的ルーティングでも可。
トンネルは、冗長性を考慮して2つ作らされちゃいます。
トンネル1
IKE:Version1
BGP ASN:65100
IPv4トンネル内インタフェース - CPE:10.99.96.1/30
IPV4トンネル内インタフェース - Oracle:10.99.96.2/30
NAT-T:有効
トンネル2
IKE:Version1
BGP ASN:65100
IPv4トンネル内インタフェース - CPE:10.99.97.1/30
IPV4トンネル内インタフェース - Oracle:10.99.97.2/30
NAT-T:有効
拡張オプションのDiffie-Hellmanグループを確認しておいて下さい。たぶん、GROUP5になっているはずです。
作成完了すると、各トンネルの共有シークレットが発行されるので、これを記録しておきましょう。
BGPを使うので、Oracle BGP ASNを記録しておきましょう。
それと、各トンネルのエンドポイントIPv4アドレス(Oracle VPN IP address)を記録しましょうね。
今回、NATルーター内とのipsecとなるので、ちょっと識別子に変更が必要です。
「このCPEはNATデバイスの背後にあります」をチェックして、CPE IKE Identifier typeをIPアドレス、CPE IKE 識別子をIX2105のローカルアドレス(192.168.0.3)にして下さい。
3.
では、IX2105側の設定ですよ。
接続するインターフェースは、GigaEthernet0.0とします。出力も同じです。
ip access-list sec-list permit ip src any dest any
ike proposal ike-prop encryption aes-256 hash sha2-256 group 1536-bit
ike policy ike-policy1 peer 168.136.32.120 key 5zcZz2maYSH75hogehoozrwJzIPvEDnJW9d85gokN2VgKFRFfRnagcgelCjdjnjulI ike-prop
ike policy ike-policy2 peer 168.136.32.125 key grJufkUl1eGeb0JG0lfkifAFVG4AhogejqwTcagRMWWVTcgsh8523KuLGLoD0F ike-prop
ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha
ipsec autokey-map ipsec-policy1 sec-list peer 168.136.32.120 ipsec-prop pfs 1536-bit
no ipsec anti-replay ipsec-policy1
ipsec local-id ipsec-policy1 0.0.0.0/0
ipsec remote-id ipsec-policy1 0.0.0.0/0
ipsec autokey-map ipsec-policy2 sec-list peer 168.136.32.125 ipsec-prop pfs 1536-bit
no ipsec anti-replay ipsec-policy2
ipsec local-id ipsec-policy2 0.0.0.0/0
ipsec remote-id ipsec-policy2 0.0.0.0/0
interface Tunnel0.0
tunnel mode ipsec
ip address 10.99.96.1/30
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-policy1 out
ikev2 nat-traversal keepalive 20
no shutdown
interface Tunnel1.0
tunnel mode ipsec
ip address 10.99.97.1/30
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-policy2 out
ikev2 nat-traversal keepalive 20
no shutdown
exit
no ipsec anti-replay ipsec-policy1
no ipsec anti-replay ipsec-policy2
BGPの場合、こっちです。
ip ufs-cache enable cache
route-map pri1 permit 10
set metric 5
set local-preference 200
route-map pri2 permit 10
set metric 10
set local-preference 150
router bgp 65100
neighbor 10.99.96.2 remote-as 31898
neighbor 10.99.96.2 timers 10 30
neighbor 10.99.97.2 remote-as 31898
neighbor 10.99.97.2 timers 10 30
address-family ipv4 unicast
neighbor 10.99.96.2 route-map pri1 in
neighbor 10.99.96.2 route-map pri1 out
neighbor 10.99.97.2 route-map pri2 in
neighbor 10.99.97.2 route-map pri2 out
network 192.168.0.0/24
静的ルートの場合、こっちです。
ip ufs-cache enable
ip route 10.0.0.0/8 Tunnel0.0
ip route 10.0.0.0/8 Tunnel1.0
IX2105のアドレス(192.168.0.3)は、環境によって変更して下さい。
通知する自分家のネットワークは、192.168.0.0/24 ですので、環境に合わせて変更して下さい。
静的ルーティングでのOCI側へのネットワークは、10.0.0.0/8としていますので、環境に合わせて変更して下さい。
これで、OCIと自分家のネッワークが疎通出来るようになります。
気になるスループットは、だいたい 100Mbps ぐらいかな。
ER-Xの方が、かなり早いですな。
おまけ
IPSecを有効にしたまま、SW-HUBとしても使う場合
bridge irb enable
interface GigaEthernet0.0
bridge-group 1
interface GigaEthernet1.0
no ip address
bridge-group 1
no shutdown
exit
