夏休みも終わり
どんよりした暗い気持ちの皆様
OCIと自宅をVPNで接続する業務用ルーター NEC IX2105 で遊びましょう。
かなり古い機種で、ファームウェア 10.2.42 です。
ヤフオクで、激安で入手可能なので、是非、チャレンジしましょう。
このネタは、ネットで色々とありますが、何処もかしこも、ちゃんと接続出来ないんですけど。
PPPoEで、直接接続しているネタが多いからなのでしょうか。
なので、NAT-T越しに接続出来るように調査してみました。
今回は、BGPルーティングにも対応してます。
NECらしいデザインで、好きです。
なんだか、連邦軍のモビルスーツ感がありますよね。
他ネタ
OracleCloud サイト間VPN (IPsec)をLinuxで接続しよう
OracleCloud サイト間VPN (IPsec)を 業務用ルーター F60 で接続しよう
OracleCloud サイト間VPN (IPsec)を 業務用ルーター SiR G110B で接続しよう
OracleCloud サイト間VPN (IPsec)を 業務用ルーター RTX810 で接続しよう
OCI上のインスタンスで、libreswan使ったVPNサーバーを作ろう
OCIのサブネットとかVCNがある状態で、DRGを作っておいて下さい。
では、行きましょう。
1.
顧客構内機器(CPE)を作りましょう。
顧客構内機器とは、自分のとこのルーターのグローバルIPのことです。
CPEベンダーは、なんでも良さげですが、NECを選択しといて下さい。
※前提としてグローバルIPを取得しており、UDP 4500,500 を、IX2105 にポートマップしておいて下さい。NAT前提です。
2.
ネットワーキングメニュー - 顧客接続性から、サイト間VPNを選択します。
IPSec接続の作成 を押下します。
今回、BGP動的ルーティングで行いますよ。静的ルーティングでも可。
トンネルは、冗長性を考慮して2つ作らされちゃいます。
トンネル1
IKE:Version1
BGP ASN:65100
IPv4トンネル内インタフェース - CPE:10.99.96.1/30
IPV4トンネル内インタフェース - Oracle:10.99.96.2/30
NAT-T:有効
トンネル2
IKE:Version1
BGP ASN:65100
IPv4トンネル内インタフェース - CPE:10.99.97.1/30
IPV4トンネル内インタフェース - Oracle:10.99.97.2/30
NAT-T:有効
拡張オプションのDiffie-Hellmanグループを確認しておいて下さい。たぶん、GROUP5になっているはずです。
作成完了すると、各トンネルの共有シークレットが発行されるので、これを記録しておきましょう。
BGPを使うので、Oracle BGP ASNを記録しておきましょう。
それと、各トンネルのエンドポイントIPv4アドレス(Oracle VPN IP address)を記録しましょうね。
今回、NATルーター内とのipsecとなるので、ちょっと識別子に変更が必要です。
「このCPEはNATデバイスの背後にあります」をチェックして、CPE IKE Identifier typeをIPアドレス、CPE IKE 識別子をIX2105のローカルアドレス(192.168.0.3)にして下さい。
3.
では、IX2105側の設定ですよ。
接続するインターフェースは、GigaEthernet0.0とします。出力も同じです。
ip access-list sec-list permit ip src any dest any
ike proposal ike-prop encryption aes-256 hash sha2-256 group 1536-bit
ike policy ike-policy1 peer 168.136.32.120 key 5zcZz2maYSH75hogehoozrwJzIPvEDnJW9d85gokN2VgKFRFfRnagcgelCjdjnjulI ike-prop
ike policy ike-policy2 peer 168.136.32.125 key grJufkUl1eGeb0JG0lfkifAFVG4AhogejqwTcagRMWWVTcgsh8523KuLGLoD0F ike-prop
ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha
ipsec autokey-map ipsec-policy1 sec-list peer 168.136.32.120 ipsec-prop pfs 1536-bit
no ipsec anti-replay ipsec-policy1
ipsec local-id ipsec-policy1 0.0.0.0/0
ipsec remote-id ipsec-policy1 0.0.0.0/0
ipsec autokey-map ipsec-policy2 sec-list peer 168.136.32.125 ipsec-prop pfs 1536-bit
no ipsec anti-replay ipsec-policy2
ipsec local-id ipsec-policy2 0.0.0.0/0
ipsec remote-id ipsec-policy2 0.0.0.0/0
interface Tunnel0.0
tunnel mode ipsec
ip address 10.99.96.1/30
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-policy1 out
ikev2 nat-traversal keepalive 20
no shutdown
interface Tunnel1.0
tunnel mode ipsec
ip address 10.99.97.1/30
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-policy2 out
ikev2 nat-traversal keepalive 20
no shutdown
exit
no ipsec anti-replay ipsec-policy1
no ipsec anti-replay ipsec-policy2
BGPの場合、こっちです。
ip ufs-cache enable cache
route-map pri1 permit 10
set metric 5
set local-preference 200
route-map pri2 permit 10
set metric 10
set local-preference 150
router bgp 65100
neighbor 10.99.96.2 remote-as 31898
neighbor 10.99.96.2 timers 10 30
neighbor 10.99.97.2 remote-as 31898
neighbor 10.99.97.2 timers 10 30
address-family ipv4 unicast
multipath 2
neighbor 10.99.96.2 route-map pri1 in
neighbor 10.99.96.2 route-map pri1 out
neighbor 10.99.97.2 route-map pri2 in
neighbor 10.99.97.2 route-map pri2 out
network 192.168.0.0/24
優先度設定
default-local-preference 180
静的ルートの場合、こっちです。
ip ufs-cache enable
ip route 10.0.0.0/8 Tunnel0.0
ip route 10.0.0.0/8 Tunnel1.0
IX2105のアドレス(192.168.0.3)は、環境によって変更して下さい。
通知する自分家のネットワークは、192.168.0.0/24 ですので、環境に合わせて変更して下さい。
静的ルーティングでのOCI側へのネットワークは、10.0.0.0/8としていますので、環境に合わせて変更して下さい。
これで、OCIと自分家のネッワークが疎通出来るようになります。
気になるスループットは、だいたい 100Mbps ぐらいかな。
ER-Xの方が、かなり早いですな。
おまけ
IPSecを有効にしたまま、SW-HUBとしても使う場合
bridge irb enable
interface GigaEthernet0.0
bridge-group 1
interface GigaEthernet1.0
no ip address
bridge-group 1
no shutdown
exit
