東洋電子商会目次
- はじめに
- 共通の前提条件と用語
- パターンA:両側固定グローバルIP(IKEv1 Main Mode)
- パターンB:片側のみ動的IP(IKEv1 Aggressive Mode + Dynamic Map)
- パターンC:両側動的IP(IKEv2 + DDNS / NetMeister)
- 接続確認コマンド
- 参考レファレンス
- お問い合わせ
1. はじめに
NEC UNIVERGE IX シリーズは、国内キャリアでの採用実績が豊富な中小企業・拠点向けルーターです。IPsec VPN の機能は成熟しており、両側固定IP、片側動的IP、両側動的IP のいずれの回線契約でも拠点間接続が可能です。
本記事では、IX2105 / IX2106 / IX2215 などでそのまま使える ike proposal / ike policy / ipsec autokey-map / Tunnel interface の 実際の CLI 例 を、公式および実務レファレンスに基づいて3パターンで紹介します。他社機の構文を混在させない、純粋な UNIVERGE IX コマンド体系での構築ガイドです。
本記事の設定例は公開資料に基づく参考値です。 実運用前にラボ環境での動作確認をお願いいたします。また、ご契約回線(ISP 仕様・ポート開放状況等)により設定が追加で必要となる場合があります。
2. 共通の前提条件と用語
- 拠点A LAN:
192.168.10.0/24 - 拠点B LAN:
192.168.20.0/24 - Tunnel 経路: 両拠点から相手 LAN を
Tunnel0.0宛でスタティックルーティング - 事前共有鍵(PSK):
secret(実運用では推測困難な文字列に置き換えてください) - WAN 側の NAT(ip napt enable 時): IKE/ESP をパススルーするため
ip napt static <WAN-IF> udp 500 ip napt static <WAN-IF> 50を該当 WAN インターフェースに追加する必要があります(対向先が NAT 配下の場合は NAT トラバーサル UDP 4500 も考慮)。
本記事の主要な暗号パラメータは下記で統一しています。
| 項目 | 値 |
|---|---|
| IKE Phase 1 暗号 | AES |
| IKE Phase 1 ハッシュ | SHA2-256 |
| IKE Phase 1 DH Group | 1024-bit |
| IKE ライフタイム | 3600 秒 |
| IPsec (ESP) 暗号 | AES |
| IPsec (ESP) ハッシュ | SHA2-256 |
| IPsec ライフタイム | 3600 秒 |
3. パターンA:両側固定グローバルIP(IKEv1 Main Mode)
最もシンプルで安定した構成。両拠点が ISP から固定グローバルIPの割当を受けている場合に利用します。
構成
- 拠点A WAN:
200.0.10.10/32 - 拠点B WAN:
200.0.20.20/32 - WAN インターフェースは PPPoE / DHCP / 固定いずれでも、IP が固定であれば同じロジックで構築可能
拠点A(R10)の設定
ip access-list sec-list permit ip src any dest any
ike proposal ikeprop encryption aes-256 hash sha2-256
ike policy ike-policy peer 200.0.20.20 key P@ssw0rd ikeprop
ipsec autokey-proposal secprop esp-aes-256 ah-md5
ipsec autokey-map ipsec-policy sec-list peer 200.0.20.20 secprop
ipsec local-id ipsec-policy 192.168.10.0/24
ipsec remote-id ipsec-policy 192.168.20.0/24
interface Tunnel0.0
tunnel mode ipsec
ip address 169.254.0.10/24
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-policy out
no shutdown
ip route 192.168.20.0/24 Tunnel0.0
拠点B(R20)の設定
ip access-list sec-list permit ip src any dest any
ike proposal ikeprop encryption aes-256 hash sha2-256
ike policy ike-policy peer 200.0.10.10 key P@ssw0rd ikeprop
ipsec autokey-proposal secprop esp-aes-256 ah-md5
ipsec autokey-map ipsec-policy sec-list peer 200.0.10.10 secprop
ipsec local-id ipsec-policy 192.168.20.0/24
ipsec remote-id ipsec-policy 192.168.10.0/24
interface Tunnel0.0
tunnel mode ipsec
ip address 169.254.0.20/24
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-policy out
no shutdown
ip route 192.168.10.0/24 Tunnel0.0
ポイント
ike policy ... peer <対向グローバルIP> key <PSK> <proposal名>で相手を IP で直接指定ipsec local-id/remote-idでトンネルを通る内側サブネットを明示(IX ではこれが必須)- 片側にだけ NAT がある場合は、該当 WAN I/F に
ip napt static ... udp 500/50を追加
4. パターンB:片側のみ動的IP(IKEv1 Aggressive Mode + Dynamic Map)
拠点B のみが PPPoE 等で動的IPが割当てられる環境。拠点A(固定IP側)が Responder、拠点B(動的IP側)が Initiator となり、Aggressive Mode と FQDN ベースの ID を使用します。
構成
- 拠点A WAN:
10.0.0.1/32(固定) - 拠点B WAN: 動的(PPPoE)
- 拠点B の FQDN 識別子:
branch01(任意の ID 文字列)
拠点A(固定IP側・Responder)の設定
interface GigaEthernet2.0
ip address 192.168.10.1/24
no shutdown
ip access-list sec-list permit ip src any dest any
ike proposal ike-prop encryption aes hash sha2-256 group 1024-bit lifetime 3600
ike policy ike-policy peer any key secret mode aggressive ike-prop
ike keepalive ike-policy 10 3
ike remote-id ike-policy fqdn branch01
ipsec autokey-proposal ipsec-prop esp-aes esp-sha2-256 lifetime time 3600
ipsec dynamic-map dyna-map sec-list ipsec-prop ike ike-policy
interface Tunnel0.0
tunnel mode ipsec
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ipsec policy tunnel dyna-map out
no shutdown
ip route 192.168.20.0/24 Tunnel0.0
拠点B(動的IP側・Initiator)の設定
ppp profile ppp
authentication myname user@isp
authentication password user@isp isppasswd
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding ppp
ip address negotiated
ip tcp adjust-mss auto
ip napt enable
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
no shutdown
interface GigaEthernet2.0
ip address 192.168.20.1/24
no shutdown
ip access-list sec-list permit ip src any dest any
ike proposal ike-prop encryption aes hash sha2-256 group 1024-bit lifetime 3600
ike policy ike-policy peer 10.0.0.1 key secret mode aggressive ike-prop
ike local-id ike-policy fqdn branch01
ipsec autokey-proposal ipsec-prop esp-aes esp-sha2-256 lifetime time 3600
ipsec autokey-map ipsec-policy sec-list peer 10.0.0.1 ipsec-prop
ipsec local-id ipsec-policy 192.168.20.0/24
ipsec remote-id ipsec-policy 192.168.10.0/24
interface Tunnel0.0
tunnel mode ipsec
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-policy out
no shutdown
ip ufs-cache enable
ip route default GigaEthernet0.1
ip route 192.168.10.0/24 Tunnel0.0
ポイント
- Responder(固定IP側):
peer any+mode aggressive+ike remote-id ... fqdn <ID>+ipsec dynamic-mapの組み合わせで、相手IPが未知でも受信可能にする - Initiator(動的IP側):
peer <固定IP>+mode aggressive+ike local-id ... fqdn <ID>で自ID を名乗って接続開始 - PSK・FQDN ID は両側で一致させる必要があります
- PPPoE 側で
ip napt enableしている場合は UDP/500 と proto 50(ESP)を static NAT で開ける
5. パターンC:両側動的IP(IKEv2 + DDNS / NetMeister)
両拠点とも動的IP の場合、ピアを IP で指定できないため DDNS + FQDN 指定 が必要になります。NEC UNIVERGE IX は NEC Platforms が提供する NetMeister という DDNS サービスを公式にサポートしており、IPsec の peer 指定にドメイン名を使用できます。
構成の考え方
- 両拠点のIX を NetMeister に登録し、それぞれ
<ホスト名>.<グループID>.nmddns.jp形式の FQDN を取得 - IKEv2 + PSK、相手の FQDN をピアとして指定
- IX がグローバルIP変更を検知するたびに DDNS 通知、相手側は名前解決で新しいIPを取得
NetMeister 登録(概要)
NetMeister はグループID・装置名・パスワードで登録する仕組みです。具体的な登録手順と CLI は NEC 公式マニュアル「NetMeisterの設定(IX-R/IX-V 機能説明書)」および「NetMeister CLI リファレンス」をご参照ください。本記事ではトンネル部分に絞って例示します。
IKEv2 + FQDN による拠点間接続例(両拠点共通の考え方)
以下は IX 側の IKEv2 設定テンプレートです。FQDN 部分を自拠点 / 相手拠点の NetMeister ホスト名に置き換えてください。
ikev2 authentication psk id fqdn peer.example.nmddns.jp key char P@ssw0rd
ikev2 profile vpn-profile
child-lifetime 28800
child-pfs off
dpd interval 10
local-authentication psk id fqdn local.example.nmddns.jp
sa-lifetime 28800
sa-proposal enc aes-cbc-256
sa-proposal integrity sha2-256
sa-proposal dh 1024-bit
interface Tunnel10.0
tunnel mode ipsec-ikev2
ip unnumbered GigaEthernet2.2
ip tcp adjust-mss auto
ikev2 binding vpn-profile
ikev2 connect-type auto
ikev2 peer-fqdn-ipv6 peer.example.nmddns.jp authentication psk id fqdn peer.example.nmddns.jp
no shutdown
同じテンプレートを両拠点に入れ、local / peer の FQDN を相互に入れ替えます。
ポイント
- IKEv2 では
ikev2 peer-fqdn-ipv6/ikev2 peer-fqdn-ipv4で ピアをFQDN で指定でき、都度 DDNS で名前解決が走ります - IPv6 IPoE + IPv4 over IPv6 のデュアル構成では、IKE/IPsec で必要となるポート要件を満たすため PPPoE 側の IPv4 を DDNS 登録する構成が一般的に推奨されます(参考: NEC 公式 DDNS FAQ)
- 鍵・FQDN は両拠点で相互に一致・整合させること
6. 接続確認コマンド
構築後の動作確認は下記で行います(いずれも IX 共通)。
show ike sa : IKE SA の確立状態
show ipsec sa : IPsec SA の暗号化パラメータ・カウンタ
show interfaces Tunnel0.0 : トンネルインターフェースの up/down
show ip route : Tunnel 経由でルートが張れているか
ping 192.168.20.1 source 192.168.10.1 : 対向LANへの疎通確認
SA が上がらない場合は debug ike / debug ipsec で詳細ログを取り、ID/PSK/プロポーザル不一致を確認してください。
7. 参考レファレンス
本記事の CLI 例は以下の一次・実務レファレンスに基づいています。
- NEC UNIVERGE IX 公式サンプルコンフィグ — インターネットVPN (両側固定IPアドレス)
https://jpn.nec.com/univerge/ix/Support/tool2/2-1.html - NEC UNIVERGE IX 公式サンプルコンフィグ — インターネットVPN (片側動的IPアドレス)
https://jpn.nec.com/univerge/ix/Support/tool2/2-2.html - NEC UNIVERGE IX 公式 FAQ — ダイナミックDNS
https://jpn.nec.com/univerge/ix/faq/ddns.html - NEC UNIVERGE IX 公式 FAQ — IPsec / IKE
https://jpn.nec.com/univerge/ix/faq/ipsec-ike.html - NEC Platforms — NetMeister 設定 / CLI リファレンス
https://support.necplatforms.co.jp/ix-nrv/manual/fd/02_router/31-6_netmeister.html - ネットワークチェンジニアとして — NEC IX の IKEv1 IPsec 設定 (両拠点固定IP)
https://changineer.info/network/nec_ix/nec_ix_ikev1_global.html - Allied Telesis 設定例集 #34 — PPPoE 接続環境における NEC IX シリーズとの2点間 IPsec VPN(Aggressive Mode の実CLI)
https://www.allied-telesis.co.jp/support/list/awp/rel/5.4.9-1.1/613-002735_C/docs/overview-264.html - Zenn — NVR700W と UNIVERGE IX を IKEv2/IPsec で拠点間接続
https://zenn.dev/shinkolab/articles/73c9f63684dbda
8. お問い合わせ
当社では NEC UNIVERGE IX2105 / IX2106 / IX2215 をはじめとする中古ネットワーク機器を、動作確認済み・保証付きで販売しております。拠点構成や回線種別に応じた初期コンフィグ提供・キッティング・保守プランもご用意しております。
- 商品一覧(ルーター): /products/
- メール: [email protected]
- 電話: 045-319-4590(平日 10:00〜18:00 JST)