現在の設定を表示する
# show config
pp1 の設定情報を確認する。ここで PPPoEが接続されていると表示されればインターネットには接続されている。
# show status pp 1
LAN側のコンピュータ群をインターネットに接続するため、内部から外部にアクセスする場合は特に特別な設定は必要ないが、外部から内部のコンピュータに通信したい場合は、NATマスカレードなどを利用する。
# show nat descriptor address
NATディスクリプIDは複数持つことができるため、設定時にこのIDを間違えると機能しないミスを起こすので注意。 <nat descriptor type NATディスクリプタ番号 NATディスクリプタの動作タイプ>
# nat descriptor type 1000 masquerade
<作成された 1000番の NAT Descriptor を削除する>
# no nat descriptor type 1000
※上記を使いNATディスクリプタ番号のタイプ情報を消しても関連する static などの静的エントリ情報などは消えないので別々に消す必要がある
<nat descriptor address inner:内側IPの設定> 基本は auto で問題ない。
# nat descriptor address inner 1000 auto
<nat descriptor address innerの削除方法>
# no nat descriptor address inner 1000
※outer の設定は ipcp(プロバイダ側からもらうグローバルIPの事) で問題無い。設定も削除も inner の部分を、outer に変えるだけ。
<静的NATエントリの設定> 例では、NAT ディスクリプタ番号=1000 , 静的 NAT エントリの識別情報=10 となっている。この例ではルーターに sshの22番が来たとき、192.168.0.100 の 22 番にポート転送される。
# nat descriptor masquerade static 1000 10 192.168.0.100 tcp 22
<静的NATエントリの削除>
# no nat descriptor masquerade static 1000 10
最初にLinuxマシンあたりで共有鍵の作成をして鍵をメモしておく。
# openssl rand -base64 24
<ログインしたら最初にやっておくこと>
# console character ja.utf8
<ppに anonymousを作成>
# pp select anonymous # pp bind tunnel1 # pp auth request chap-pap # pp auth username user1 user1-password <- 接続ユーザーとパスワード # pp auth username user2 user2-password # ppp ipcp ipaddress on # ppp ipcp msext on # ip pp remote address pool 192.168.0.100-192.168.0.150 <- 繋がったときに割り当てる # IP範囲 # ip pp mtu 1258 # pp enable anonymous # no pp select <- ppモードを抜ける。
<トンネルを作る>
# tunnel select 1 # tunnel encapsulation l2tp # ipsec tunnel 101 # ipsec sa policy 101 1 esp aes-cbc sha-hmac # ipsec ike keepalive use 1 off # ipsec ike local address 1 192.168.0.1 # ipsec ike nat-traversal 1 on # ipsec ike pre-shared-key 1 text <ここに上記で作った共有鍵を貼る> # ipsec ike remote address 1 any # l2tp tunnel disconnect time off # l2tp keepalive use on 10 3 # l2tp keepalive log on # l2tp syslog on # ip tunnel tcp mss limit auto # tunnel enable 1 # no tunnel select <- トンネルモードを抜ける
<NATディスクリプタの設定>
# nat descriptor type 1000 masquerade # nat descriptor address outer 1000 ipcp # nat descriptor address inner 1000 auto # nat descriptor masquerade static 1000 1 192.168.0.1 esp # nat descriptor masquerade static 1000 2 192.168.0.1 udp 500 # nat descriptor masquerade static 1000 3 192.168.0.1 udp 4500
<トランスポートの設定>例では 500 がトランスポート ID, 101がポリシーID。トンエル設定で作成されている。
# ipsec transport 500 101 udp 1701 # ipsec auto refresh on
<設定を保存して反映させる>
# save