さくらクラウドとRTX810でVPNを使ってLAN同士を接続する
仕事で必要なので、社内でつなげようと動作を検証していましたが、 やっと動作したので、やり方を報告します。
基本的には サイト間VPN設定 | さくらのクラウド ドキュメント に載っているとおりです。
注意としては、RTX810ではIPsec IDはローカルIPアドレスになります。 記事で言うと、*3で注意書きがあります。
また、PPPoEでプロバイダとつないでいたりすると、グローバルIPアドレスに IP Masqueradeの設定が入っているので、LAN側にNATでIP Secのパケットを 引きこまなければなりません。うちはネットワーク型のPPPoEですので、 記事のとおりの設定+以下の設定を入れました。
nat descriptor masquerade static 1000 13 10.0.0.1 udp 500 nat descriptor masquerade static 1000 14 10.0.0.1 esp nat descriptor masquerade static 1000 15 10.0.0.1 udp 4500
これはRTX810のグローバルIPアドレスのNAT設定への追記になります。 うちのPPPoEでネットワーク型接続をしているルーターと さくらクラウドのVPCとの接続設定のサンプルを載せておきます。 参考までにどうぞ。
ip route default gateway pp 1 ip route 172.16.0.0/16 gateway tunnel 1 vlan port mapping lan1.1 vlan1 vlan port mapping lan1.2 vlan2 vlan port mapping lan1.3 vlan3 vlan port mapping lan1.4 vlan4 lan type lan1 port-based-option=divide-network ip vlan1 address 10.0.0.1/24 ip vlan1 secure filter in 200099 ip vlan1 secure filter out 200099 ip vlan2 address 198.51.100.124/27 ip vlan2 nat descriptor 1000 ip vlan2 secure filter in 200099 ip vlan2 secure filter out 200099 provider type isdn-network provider vlan1 name LAN: provider lan2 name PPPoE/0/3/5/0/0:Provider pp select 1 pp name PRV/1/3/5/0/0:Provider pp keepalive interval 30 retry-interval=30 count=12 pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname username password ppp lcp mru on 1454 ppp ipcp msext on ppp ccp type none ip pp secure filter in 200099 ip pp secure filter out 200099 ip pp nat descriptor 1000 pp enable 1 provider set 1 Provider provider dns server pp 1 1 provider select 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike always-on 1 on ipsec ike encryption 1 aes-cbc ipsec ike group 1 modp1024 ipsec ike hash 1 sha ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on dpd 15 2 ipsec ike local address 1 10.0.0.1 ipsec ike local id 1 10.0.0.1 ipsec ike pfs 1 on ipsec ike pre-shared-key 1 text test12345 ipsec ike remote address 1 203.0.113.180 ipsec ike remote id 1 203.0.113.180 ipsec auto refresh 1 on ip tunnel mtu 1280 ip tunnel tcp mss limit auto tunnel enable 1 ip filter 200099 pass * * * * * nat descriptor type 1000 masquerade nat descriptor address outer 1000 198.51.100.124 nat descriptor address inner 1000 10.0.0.1-10.0.0.254 nat descriptor masquerade static 1000 13 10.0.0.1 udp 500 nat descriptor masquerade static 1000 14 10.0.0.1 esp nat descriptor masquerade static 1000 15 10.0.0.1 udp 4500 ipsec auto refresh on syslog notice on syslog debug on
手元の設定をかなり削って、IPアドレスやら設定をかなり変更したので、 もしもどこか間違っていたらごめんなさい。