さて、なんだか ipsec 接続祭りを行っています。
ヤフオクで、安いルーターを見ていると、OCIにIpsecで繋げたくなる病気にかかってしまったようです。
今度は、FUJITSU SiR G110B とかいう、業務用ルーターを入手しました。
見た目は、高性能そうでカタログスペックもIPSec 1Gbpsとかっていう代物です。
本当にそんな性能が出るのか試してみましょう。
大分、この手のルーターの設定に慣れてしまったのか、苦労せずに接続出来てしまったので、おもしろくなかったです。
キャリアから払いださせれたルーターのようなデザインです。
業務用感が余り無いのが、良いとこでしょうか。
OCIのサブネットとかVCNがある状態で、DRGを作っておいて下さい。
では、行きましょう。 IX2105の記事をコピペして作成していまーす。
ファーム:V04.13 NY0042
1.
顧客構内機器(CPE)を作りましょう。
顧客構内機器とは、自分のとこのルーターのグローバルIPのことです。
CPEベンダーは、対象機器がないんで、Otherを選択しといて下さい。
※前提としてグローバルIPを取得しており、UDP 4500,500 を、SiR G110B にポートマップしておいて下さい。NAT前提です。
2.
ネットワーキングメニュー - 顧客接続性から、サイト間VPNを選択します。
IPSec接続の作成 を押下します。
今回、BGP動的ルーティングで行いますよ。静的ルーティングでも可。
トンネルは、冗長性を考慮して2つ作らされちゃいます。
トンネル1
IKE:Version1
BGP ASN:65100
IPv4トンネル内インタフェース - CPE:10.99.96.1/30
IPV4トンネル内インタフェース - Oracle:10.99.96.2/30
NAT-T:有効
トンネル2
IKE:Version1
BGP ASN:65100
IPv4トンネル内インタフェース - CPE:10.99.97.1/30
IPV4トンネル内インタフェース - Oracle:10.99.97.2/30
NAT-T:有効
拡張オプションのDiffie-Hellmanグループを確認しておいて下さい。たぶん、GROUP5になっているはずです。
作成完了すると、各トンネルの共有シークレットが発行されるので、これを記録しておきましょう。
BGPを使うので、Oracle BGP ASNを記録しておきましょう。
それと、各トンネルのエンドポイントIPv4アドレス(Oracle VPN IP address)を記録しましょうね。
今回、NATルーター内とのipsecとなるので、ちょっと識別子に変更が必要です。
「このCPEはNATデバイスの背後にあります」をチェックして、CPE IKE Identifier typeをIPアドレス、CPE IKE 識別子をSiR G110Bのローカルアドレス(192.168.0.3)にして下さい。
3.
では、SiR G110B側の設定ですよ。
接続するインターフェースは、lan 0とします。出力も同じです。
acl 5 ip any any any
lan 0 ip filter 5 pass acl 5 any
remote 1 name ipsec1
remote 1 ap 0 name ipsec1
remote 1 ap 0 datalink type ipsec
remote 1 ap 0 keep connect
remote 1 ap 0 ipsec type ike
remote 1 ap 0 ipsec ike protocol esp
remote 1 ap 0 ipsec ike encrypt aes-cbc-256
remote 1 ap 0 ipsec ike auth hmac-sha256
remote 1 ap 0 ipsec ike pfs modp1536
remote 1 ap 0 ipsec ike lifetime 28800s
remote 1 ap 0 ipsec ike esn disable
remote 1 ap 0 ike shared key text 5zcZz2maYSH75hogehoozrwJzIPvEDnJW9d85gokN2VgKFRFfRnagcgelCjdjnjulI
remote 1 ap 0 ike proposal 0 encrypt aes-cbc-256
remote 1 ap 0 ike proposal 0 hash hmac-sha256
remote 1 ap 0 ike proposal 0 pfs modp1536
remote 1 ap 0 ike proposal 0 lifetime 3600s
remote 1 ap 0 ike dpd use on
remote 1 ap 0 ike nat-traversal use on
remote 1 ap 0 tunnel local 192.168.0.3
remote 1 ap 0 tunnel remote 168.136.32.120
remote 1 ip msschange 1350
remote 2 name ipsec2
remote 2 ap 0 name ipsec2
remote 2 ap 0 datalink type ipsec
remote 2 ap 0 keep connect
remote 2 ap 0 ipsec type ike
remote 2 ap 0 ipsec ike protocol esp
remote 2 ap 0 ipsec ike encrypt aes-cbc-256
remote 2 ap 0 ipsec ike auth hmac-sha256
remote 2 ap 0 ipsec ike pfs modp1536
remote 2 ap 0 ipsec ike lifetime 28800s
remote 2 ap 0 ipsec ike esn disable
remote 2 ap 0 ike shared key text grJufkUl1eGeb0JG0lfkifAFVG4AhogejqwTcagRMWWVTcgsh8523KuLGLoD0F
remote 2 ap 0 ike proposal 0 encrypt aes-cbc-256
remote 2 ap 0 ike proposal 0 hash hmac-sha256
remote 2 ap 0 ike proposal 0 pfs modp1536
remote 2 ap 0 ike proposal 0 lifetime 3600s
remote 2 ap 0 ike dpd use on
remote 2 ap 0 ike nat-traversal use on
remote 2 ap 0 tunnel local 192.168.0.3
remote 2 ap 0 tunnel remote 168.136.32.125
remote 2 ip msschange 1350
BGPの場合、こっちです。
remote 1 ip address local 10.99.96.1
remote 1 ip address remote 10.99.96.2
remote 2 ip address local 10.99.97.1
remote 2 ip address remote 10.99.97.2
routemanage ip redist bgp static on
routemanage ip redist bgp connected on
bgp as 0.65100
bgp id 192.168.0.3
bgp neighbor 0 address 10.99.96.2
bgp neighbor 0 as 0.31898
bgp neighbor 0 timers 10s 30s
bgp neighbor 0 source 10.99.96.1
bgp neighbor 1 address 10.99.97.2
bgp neighbor 1 as 0.31898
bgp neighbor 1 timers 10s 30s
bgp neighbor 1 source 10.99.97.1
bgp ip redist 0 reject 10.99.96.1/32
bgp ip redist 1 reject 10.99.96.2/32
bgp ip redist 2 reject 10.99.97.1/32
bgp ip redist 3 reject 10.99.97.2/32
bgp ip redist 4 pass any
静的ルートの場合、こっちです。
remote 1 ip route 0 10.0.0.0/8 1 1
remote 2 ip route 0 10.0.0.0/8 3 3
SiR G110Bのアドレス(192.168.0.3)は、環境によって変更して下さい。
通知するネットワークは、ルーターに接続している lan 0 インターフェースです。
静的ルーティングでのOCI側へのネットワークは、10.0.0.0/8としていますので、環境に合わせて変更して下さい。
これで、OCIと自分家のネッワークが疎通出来るようになります。
気になるスループットは、だいたい Up 32Mbps Down 48Mbps って、遅くないですか。
なんか、加速する設定があるんでしょうか。
これが実力なら、カタログに偽り有りですな。
