最後になるか、おおとりの YAMAHA RTX810 です。
タイトルの通り、OCIへIPSecで接続するだけの記事です。
みんな大好き、YAMAHAのルーターです。
このジャンルで、日本では一番売れっ子さんなんでしょうね。
使ってみてわかるんですが、コンソールが使いやすいです。
コンフィグ設定も工夫があり、業務用途でも使い勝手の良いインターフェースしてますね。
びっくりすることに、コンソールでもSJIS日本語なんで、TeraTerm(UTF8)が文字化けしてしまいました。
日本語わからない人だとパニックになりそうです。
日本人専用機となってましたね。しっかりローカライズするか、英語版を作れば、CISCOより使い易いし、世界中で売れるんじゃないかな
ちょっと古い機種ですが、多少の脆弱性を無視すれば、まだまだ使えそうです。
設定は、色々なとこで、記載されているので、どうってことなく接続出来ました。
OCIのサブネットとかVCNがある状態で、DRGを作っておいて下さい。
では、行きましょう。 IX2105の記事をコピペして作成していまーす。
ファーム:11.01.34
1.
顧客構内機器(CPE)を作りましょう。
顧客構内機器とは、自分のとこのルーターのグローバルIPのことです。
CPEベンダーは、YAMAHAで、RTX1210を選択しといて下さい。 たぶん、なんでも良いです。
※前提としてグローバルIPを取得しており、UDP 4500,500 を、RTX810 にポートマップしておいて下さい。NAT前提です。
2.
ネットワーキングメニュー - 顧客接続性から、サイト間VPNを選択します。
IPSec接続の作成 を押下します。
今回、BGP動的ルーティングで行いますよ。静的ルーティングでも可。
トンネルは、冗長性を考慮して2つ作らされちゃいます。
トンネル1
IKE:Version2
BGP ASN:65300
IPv4トンネル内インタフェース - CPE:10.99.94.1/30
IPV4トンネル内インタフェース - Oracle:10.99.94.2/30
NAT-T:有効
トンネル2
IKE:Version2
BGP ASN:65300
IPv4トンネル内インタフェース - CPE:10.99.95.1/30
IPV4トンネル内インタフェース - Oracle:10.99.95.2/30
NAT-T:有効
拡張オプションのDiffie-Hellmanグループを確認しておいて下さい。たぶん、GROUP5になっているはずです。
作成完了すると、各トンネルの共有シークレットが発行されるので、これを記録しておきましょう。
BGPを使うので、Oracle BGP ASNを記録しておきましょう。
それと、各トンネルのエンドポイントIPv4アドレス(Oracle VPN IP address)を記録しましょうね。
今回、NATルーター内とのipsecとなるので、ちょっと識別子に変更が必要です。
「このCPEはNATデバイスの背後にあります」をチェックして、CPE IKE Identifier typeをIPアドレス、CPE IKE 識別子をRTX810のローカルアドレス(192.168.0.13)にして下さい。
3.
では、RTX810側の設定ですよ。
接続するインターフェースは、lan1とします。出力も同じです。
tunnel select 1
description tunnel OCI-VPN1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha256-hmac
ipsec ike version 1 2
ipsec ike duration child-sa 1 3600
ipsec ike duration ike-sa 1 28800
ipsec ike encryption 1 aes256-cbc
ipsec ike group 1 modp1536
ipsec ike hash 1 sha256
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on rfc4306 5 4
ipsec ike local address 1 192.168.0.13
ipsec ike local name 1 192.168.0.13 ipv4-addr
ipsec ike nat-traversal 1 on
ipsec ike pfs 1 on
ipsec ike proposal-limitation 1 on
ipsec ike pre-shared-key 1 text 5zcZz2maYSH75hogehoozrwJzIPvEDnJW9d85gokN2VgKFRFfRnagcgelCjdjnjulI
ipsec ike remote address 1 168.136.32.120
ipsec ike remote name 1 168.136.32.120 ipv4-addr
ipsec ike negotiation receive 1 off
ip tunnel address 10.99.94.1/30
ip tunnel remote address 10.99.94.2
ip tunnel mtu 1340
ip tunnel tcp mss limit 1300
tunnel enable 1
tunnel select 2
description tunnel OCI-VPN2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes256-cbc sha256-hmac
ipsec ike version 2 2
ipsec ike duration child-sa 2 3600
ipsec ike duration ike-sa 2 28800
ipsec ike encryption 2 aes256-cbc
ipsec ike group 2 modp1536
ipsec ike hash 2 sha256
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on rfc4306 5 4
ipsec ike local address 2 192.168.0.13
ipsec ike local name 2 192.168.0.13 ipv4-addr
ipsec ike nat-traversal 2 on
ipsec ike pfs 2 on
ipsec ike proposal-limitation 2 on
ipsec ike pre-shared-key 2 text grJufkUl1eGeb0JG0lfkifAFVG4AhogejqwTcagRMWWVTcgsh8523KuLGLoD0F
ipsec ike remote address 2 168.136.32.125
ipsec ike remote name 2 168.136.32.125 ipv4-addr
ipsec ike negotiation receive 2 off
ip tunnel address 10.99.95.1/30
ip tunnel remote address 10.99.95.2
ip tunnel mtu 1340
ip tunnel tcp mss limit 1300
tunnel enable 2
ipsec auto refresh on
BGPの場合、こっちです。
bgp use on
bgp autonomous-system 65300
bgp log neighbor
bgp neighbor 1 31898 10.99.94.2 hold-time=180 local-address=10.99.94.1 ignore-capability=on
bgp neighbor 2 31898 10.99.95.2 hold-time=180 local-address=10.99.95.1 ignore-capability=on
bgp import filter 1 include 192.168.0.0/24
bgp import 31898 static filter 1
bgp configure refresh
静的ルートの場合、こっちです。
ip route 10.0.0.0/8 gateway tunnel 1 hide gateway tunnel 2 hide
RTX810のアドレス(192.168.0.13)は、環境によって変更して下さい。
通知するネットワークは、192.168.0.0/24です。
静的ルーティングでのOCI側へのネットワークは、10.0.0.0/8としていますので、環境に合わせて変更して下さい。
これで、OCIと自分家のネッワークが疎通出来るようになります。
気になるスループットは、だいたい Up 40Mbps Down 112Mbps ぐらいでした。
まー、こんなもんですか。
