OCIへIPSecで接続するだけの記事、最後とはなりませんでした。
今回は、マイナーなのか 古河電気工業 FITEL F60 です。
ググっても余り情報が出ない、マイナー機種でした。
ファームウェアも一世代古そうな設定方法しかなかったです。
でも、ヤフオクでそれなりの数が出品されているので、かつては、業務用として地位を築いていたのでしょう。
それと、IPSecのスループットの情報も全く無いので調査しがいがありますよ。
ということで、頑張って OCIへIPSecで 接続してみましょう。
ちなみにファームウェアのアップデートは、WEBで接続して、アップするのが一番簡単でした。
京阪電車のような色合い、玄人感のあるデザインが、かっこ良いですね。ロゴが無駄に派手なのも社風でしょうか。
OCIのサブネットとかVCNがある状態で、DRGを作っておいて下さい。
では、行きましょう。 RTX810の記事をコピペして作成していまーす。
ファーム:V01.19
1.
顧客構内機器(CPE)を作りましょう。
顧客構内機器とは、自分のとこのルーターのグローバルIPのことです。
CPEベンダーは、Furukawaで、F220/F221を選択しといて下さい。 たぶん、なんでも良いです。
※前提としてグローバルIPを取得しており、UDP 4500,500 を、F60 にポートマップしておいて下さい。NAT前提です。
2.
ネットワーキングメニュー - 顧客接続性から、サイト間VPNを選択します。
IPSec接続の作成 を押下します。
今回、BGP動的ルーティングで行いますよ。静的ルーティングでも可。
トンネルは、冗長性を考慮して2つ作らされちゃいます。
トンネル1
IKE:Version1
BGP ASN:65400
IPv4トンネル内インタフェース - CPE:10.99.90.1/30
IPV4トンネル内インタフェース - Oracle:10.99.90.2/30
NAT-T:有効
トンネル2
IKE:Version1
BGP ASN:65400
IPv4トンネル内インタフェース - CPE:10.99.91.1/30
IPV4トンネル内インタフェース - Oracle:10.99.91.2/30
NAT-T:有効
拡張オプションのDiffie-Hellmanグループを確認しておいて下さい。たぶん、GROUP5になっているはずです。
作成完了すると、各トンネルの共有シークレットが発行されるので、これを記録しておきましょう。
BGPを使うので、Oracle BGP ASNを記録しておきましょう。
それと、各トンネルのエンドポイントIPv4アドレス(Oracle VPN IP address)を記録しましょうね。
今回、NATルーター内とのipsecとなるので、ちょっと識別子に変更が必要です。
「このCPEはNATデバイスの背後にあります」をチェックして、CPE IKE Identifier typeをIPアドレス、CPE IKE 識別子を F60 のローカルアドレス(192.168.0.14)にして下さい。
3.
では、F60側の設定ですよ。
接続するインターフェースは、ewan 1 とします。出力も同じです。
vpn enable
vpnlog enable
ipsec access-list 1 ipsec ip any any
ipsec access-list 3 discard ip 192.168.0.0 0.0.0.255 any
ipsec access-list 64 bypass ip any any
ipsec transform-set P2-POLICY esp-aes-256 esp-sha256-hmac
crypto security-association
ikealive freq 20
exit
crypto isakmp policy 10
authentication prekey
encryption aes 128
encryption aes 192
encryption aes 256
group 5
hash sha
hash sha-256
hash sha-384
key ascii 5zcZz2maYSH75hogehoozrwJzIPvEDnJW9d85gokN2VgKFRFfRnagcgelCjdjnjulI
lifetime 28800
nat-traversal enable rfc3948-also spoofed alivefreq 20
negotiation-mode aggressive
idtype-pre fqdn
my-identity 192.168.0.14
peer-identity address 168.136.32.120
exit
crypto isakmp policy 20
authentication prekey
encryption aes 128
encryption aes 192
encryption aes 256
group 5
hash sha
hash sha-256
hash sha-384
key ascii grJufkUl1eGeb0JG0lfkifAFVG4AhogejqwTcagRMWWVTcgsh8523KuLGLoD0F
lifetime 28800
nat-traversal enable rfc3948-also spoofed alivefreq 20
negotiation-mode aggressive
idtype-pre fqdn
my-identity 192.168.0.14
peer-identity address 168.136.32.125
exit
crypto map T1-vcn4 11
match address 1 multi-path
mode tunnel
set peer address 168.136.32.120
set peer isakmp-policy 10
set pfs group5
set security-association lifetime seconds 3600
set transform-set P2-POLICY
set security-association always-up
exit
crypto map T2-vcn4 21
match address 1 multi-path
mode tunnel
set peer address 168.136.32.125
set peer isakmp-policy 20
set pfs group5
set security-association lifetime seconds 3600
set transform-set P2-POLICY
set security-association always-up
exit
interface ipsecif 12
crypto map T1-vcn4
ip address 10.99.90.1 255.255.255.252
ip mtu 1500
exit
interface ipsecif 22
crypto map T2-vcn4
ip address 10.99.91.1 255.255.255.252
ip mtu 1500
exit
mss ewan 1 1300
mss ipsecif 12 1300
mss ipsecif 22 1300
access-list 5 permit 192.168.0.0 0.0.0.255
route-map local_net permit 1
match ip address 5
exit
BGPの場合、こっちです。
router bgp 65400
neighbor 10.99.90.2 ebgp-multihop 255
neighbor 10.99.90.2 remote-as 31898
neighbor 10.99.91.2 ebgp-multihop 255
neighbor 10.99.91.2 remote-as 31898
redistribute connected route-map local_net
exit
静的ルートの場合、こっちです。
ip route 10.0.0.0 255.0.0.0 connected ipsecif 12
ip route 10.0.0.0 255.0.0.0 connected ipsecif 22
F60のアドレス(192.168.0.14)は、環境によって変更して下さい。
通知するネットワークは、192.168.0.0/24です。
静的ルーティングでのOCI側へのネットワークは、10.0.0.0/8としていますので、環境に合わせて変更して下さい。
これで、OCIと自分家のネッワークが疎通出来るようになります。
気になるスループットは、だいたい Up 48Mbps Down 56Mbps ぐらいでした。
結構、遅くないかな
