夏休みも終わり

どんよりした暗い気持ちの皆様

OCIと自宅をVPNで接続する業務用ルーター NEC IX2105 で遊びましょう。

かなり古い機種で、ファームウェア 10.2.42 です。

ヤフオクで、激安で入手可能なので、是非、チャレンジしましょう。

このネタは、ネットで色々とありますが、何処もかしこも、ちゃんと接続出来ないんですけど。

PPPoEで、直接接続しているネタが多いからなのでしょうか。

なので、NAT-T越しに接続出来るように調査してみました。

今回は、BGPルーティングにも対応してます。

NECらしいデザインで、好きです。

なんだか、連邦軍のモビルスーツ感がありますよね。


OCIのサブネットとかVCNがある状態で、DRGを作っておいて下さい。

では、行きましょう。

 

1.

顧客構内機器(CPE)を作りましょう。

顧客構内機器とは、自分のとこのルーターのグローバルIPのことです。

CPEベンダーは、なんでも良さげですが、NECを選択しといて下さい。

※前提としてグローバルIPを取得しており、UDP 4500,500 を、IX2105 にポートマップしておいて下さい。NAT前提です。

 

2.

ネットワーキングメニュー - 顧客接続性から、サイト間VPNを選択します。

IPSec接続の作成 を押下します。

今回、BGP動的ルーティングで行いますよ。静的ルーティングでも可。

トンネルは、冗長性を考慮して2つ作らされちゃいます。

トンネル1

IKE:Version1

BGP ASN:65100

IPv4トンネル内インタフェース - CPE:10.99.96.1/30

IPV4トンネル内インタフェース - Oracle:10.99.96.2/30

NAT-T:有効

トンネル2

IKE:Version1

BGP ASN:65100

IPv4トンネル内インタフェース - CPE:10.99.97.1/30

IPV4トンネル内インタフェース - Oracle:10.99.97.2/30

NAT-T:有効

拡張オプションのDiffie-Hellmanグループを確認しておいて下さい。たぶん、GROUP5になっているはずです。

作成完了すると、各トンネルの共有シークレットが発行されるので、これを記録しておきましょう。

BGPを使うので、Oracle BGP ASNを記録しておきましょう。

それと、各トンネルのエンドポイントIPv4アドレス(Oracle VPN IP address)を記録しましょうね。

今回、NATルーター内とのipsecとなるので、ちょっと識別子に変更が必要です。

「このCPEはNATデバイスの背後にあります」をチェックして、CPE IKE Identifier typeをIPアドレス、CPE IKE 識別子をIX2105のローカルアドレス(192.168.0.3)にして下さい。

 

3.

では、IX2105側の設定ですよ。

接続するインターフェースは、GigaEthernet0.0とします。出力も同じです。

 

ip access-list sec-list permit ip src any dest any


ike proposal ike-prop encryption aes-256 hash sha2-256 group 1536-bit
ike policy ike-policy1 peer 168.136.32.120 key 5zcZz2maYSH75hogehoozrwJzIPvEDnJW9d85gokN2VgKFRFfRnagcgelCjdjnjulI ike-prop
ike policy ike-policy2 peer 168.136.32.125 key grJufkUl1eGeb0JG0lfkifAFVG4AhogejqwTcagRMWWVTcgsh8523KuLGLoD0F ike-prop


ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha


ipsec autokey-map ipsec-policy1 sec-list peer 168.136.32.120 ipsec-prop pfs 1536-bit
no ipsec anti-replay ipsec-policy1
ipsec local-id ipsec-policy1 0.0.0.0/0
ipsec remote-id ipsec-policy1 0.0.0.0/0


ipsec autokey-map ipsec-policy2 sec-list peer 168.136.32.125 ipsec-prop pfs 1536-bit
no ipsec anti-replay ipsec-policy2
ipsec local-id ipsec-policy2 0.0.0.0/0
ipsec remote-id ipsec-policy2 0.0.0.0/0


interface Tunnel0.0
  tunnel mode ipsec
  ip address 10.99.96.1/30
  ip tcp adjust-mss auto
  ipsec policy tunnel ipsec-policy1 out
  ikev2 nat-traversal keepalive 20
  no shutdown


interface Tunnel1.0
  tunnel mode ipsec
  ip address 10.99.97.1/30
  ip tcp adjust-mss auto
  ipsec policy tunnel ipsec-policy2 out
  ikev2 nat-traversal keepalive 20
  no shutdown
exit


no ipsec anti-replay ipsec-policy1
no ipsec anti-replay ipsec-policy2

 

BGPの場合、こっちです。

ip ufs-cache enable cache


route-map pri1 permit 10
 set metric 5
 set local-preference 200


route-map pri2 permit 10
 set metric 10
 set local-preference 150


router bgp 65100
 neighbor 10.99.96.2 remote-as 31898
 neighbor 10.99.96.2 timers 10 30
 neighbor 10.99.97.2 remote-as 31898
 neighbor 10.99.97.2 timers 10 30
 address-family ipv4 unicast
 neighbor 10.99.96.2 route-map pri1 in
 neighbor 10.99.96.2 route-map pri1 out
 neighbor 10.99.97.2 route-map pri2 in
 neighbor 10.99.97.2 route-map pri2 out
 network 192.168.0.0/24

 

静的ルートの場合、こっちです。

ip ufs-cache enable
ip route 10.0.0.0/8 Tunnel0.0
ip route 10.0.0.0/8 Tunnel1.0

 

IX2105のアドレス(192.168.0.3)は、環境によって変更して下さい。

通知する自分家のネットワークは、192.168.0.0/24 ですので、環境に合わせて変更して下さい。

静的ルーティングでのOCI側へのネットワークは、10.0.0.0/8としていますので、環境に合わせて変更して下さい。

これで、OCIと自分家のネッワークが疎通出来るようになります。

 

気になるスループットは、だいたい 100Mbps ぐらいかな。

ER-Xの方が、かなり早いですな。


おまけ

 

IPSecを有効にしたまま、SW-HUBとしても使う場合

 

bridge irb enable

interface GigaEthernet0.0

bridge-group 1

interface GigaEthernet1.0
no ip address
bridge-group 1
no shutdown
exit

 

 

Joomla templates by a4joomla