トンネル1でヤマハルーターからAzureにIPSec VPNで接続できたコンフィグ解説です
Azure側のグローバルIPアドレス:182.22.25.124(←このアドレスはwww.Yahoo.co.jpのアドレスです。アドレスの具体例として使わせてもらっています)
自分側のグローバルIPアドレス:23.53.198.89(←このアドレスはwww.toyota.jpのアドレスです。アドレスの具体例として使わせてもらっています)
認証鍵:tobeornottobe
ルーターのIPアドレス:192.168.0.254
Azure側のIPアドレス:192.168.50.0/24
Ym0:ルーターのIPアドレスとデフォルトゲートウェイを設定(これは終わっているはず)
ip route default gateway 192.168.0.1 #Ym0-01
ip lan1 address 192.168.0.254/24 #Ym0-02
#Ym0-01 デフォルトゲートウェイ※ブロードバンドルーターのIPアドレス
#Ym0-02 YamahaルータのLAN1ポートIPアドレスYm1:tunnel 1 でAzureとの接続設定
tunnel select 1 #Ym1-01
ipsec tunnel 1 #Ym1-02
ipsec sa policy 1 1 esp aes256-cbc sha256-hmac anti-replay-check=off #Ym1-03
ipsec ike version 1 2 #Ym1-04
ipsec ike always-on 1 off #Ym1-05
ipsec ike duration child-sa 1 27000 #Ym1-06
ipsec ike duration ike-sa 1 28800 #Ym1-07
ipsec ike group 1 modp1024 #Ym1-08
ipsec ike keepalive log 1 off #Ym1-09
ipsec ike keepalive use 1 on rfc4306 #Ym1-10
ipsec ike local address 1 192.168.0.254 #Ym1-11
ipsec ike local name 1 23.53.198.89 ipv4-addr #Ym1-12
ipsec ike nat-traversal 1 on #Ym1-13
ipsec ike pfs 1 off #Ym1-14
ipsec ike message-id-control 1 off #Ym1-15
ipsec ike pre-shared-key 1 text tobeornottobe #Ym1-16
ipsec ike remote address 1 182.22.25.124 #Ym1-17
ipsec ike remote name 1 182.22.25.124 ipv4-addr #Ym1-18
ipsec auto refresh 1 on #Ym1-19
ip tunnel tcp mss limit auto #Ym1-20
tunnel enable 1 #Ym1-21#Ym1-01 tunnel 1 が選ばれた時の設定だよ
#Ym1-02 tunnel 1 のIPSec設定だよ
#Ym1-03 tunnel 1 の暗号のルールは aes256-cbc と sha256-hmacを使うよ
#Ym1-04 tunnel 1 のIKEバージョンは2だよ
#Ym1-05 常時接続はOFFにして、必要になったときにつなぐよ
#Ym1-06 暗号解読のカギの有効期限は27000秒(7.5時間)だよ
#Ym1-07 一回つながったら28800秒(8時間)IPSecのトンネルは有効にしておくよ
#Ym1-08 鍵の重さは1024ビットの鍵を使うよ
#Ym1-09 接続維持のための細かいログはとらないよ
#Ym1-10 接続維持のための細かい通信はrfc4306って方式でやるよ
#Ym1-11 この接続は192.168.0.254の機械(YamahaルーターLan1)が担当窓口になるよ
#Ym1-12 この接続の(機械同士が名前解決するときの)こちら側の名前は23.53.198.89って名乗るよ
#Ym1-13 ルーターがインターネット越し(NAT越し)に接続する場合でも、うまくIPSecが通るようにする設定だよ。
#Ym1-14 毎回新しい鍵を作るっていうセキュリティ強化機能(PFS)は使わないよ。
#Ym1-15 IKE通信時のメッセージの順番チェックとかは細かくしないよ。
#Ym1-16 通信の合言葉は[tobeornottobe]だよ
#Ym1-17 相手先の機械は[182.22.25.124](グローバルIP)にいるよ
#Ym1-18 相手先の受付担当窓口の名前は[182.22.25.124]だよ
#Ym1-19 カギの有効期限が切れる前に、自動で新しいカギに更新してくれるようにするよ。
#Ym1-20 トンネルの中を通る通信のサイズを、自動でいい感じに調整してくれる設定だよ。
#Ym1-21 この設定は有効な設定だよYm2:Azure側のローカルIPアドレスに対してtunnel 1 をルート設定
ip route 192.168.50.0/24 gateway tunnel 1 #Ym2-01
#YM2-01 192.168.50.XXXが宛先になっていたらTunnel 1に案内するよYm3:ip filter の pass設定
#↓インターネット接続のゆるふわ接続枠
#正直今回設定しなくてもいいはず・・・検証はしてない・・・
ip filter 200030 pass * 192.168.0.0/24 icmp * *
ip filter 200031 pass * 192.168.0.0/24 established * *
ip filter 200032 pass * 192.168.0.0/24 tcp * ident
ip filter 200033 pass * 192.168.0.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.0.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.0.0/24 udp domain *
ip filter 200036 pass * 192.168.0.0/24 udp * ntp
ip filter 200037 pass * 192.168.0.0/24 udp ntp *
#↓IPsecの設定で絶対に必要な設定
ip filter 200080 pass * 192.168.0.254 udp * 500
ip filter 200081 pass * 192.168.0.254 esp * *
ip filter 200082 pass * 192.168.0.254 udp * 4500
#200080フィルターに任意の場所から192.168.0.254宛先で、UDPプロトコルで任意のポートから500番ポートに来たら通すよ
#200081フィルターespプロトコルは192.168.0.254を目指す場合は通すよ
#200082フィルター任意の場所から192.168.0.254宛先でUDPプロトコルで任意のポートから4500番ポートで来たら通すよ
#↓「アウトバウンド通信(LANから外に出ていく通信)に対して
#戻ってくるパケットをちゃんと通すための“ゆるふわ枠”
#正直今回設定しなくてもいいはず・・・検証はしてない・・・
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udpYm4:natの設定
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 192.168.0.254
nat descriptor masquerade static 1000 1 192.168.0.254 udp 500
nat descriptor masquerade static 1000 2 192.168.0.254 esp
nat descriptor masquerade static 1000 3 192.168.0.254 udp 4500Ym0~Ym4を全部設定した結果がこちら↓
# N1200 Rev.10.01.77 (Thu Aug 1 11:17:46 2019)
# MAC Address : 00:a0:de:68:ea:f9, 00:a0:de:68:ea:fa, 00:a0:de:68:ea:fb
# Memory 128Mbytes, 3LAN, 1BRI
# main: N1200 ver=c0 serial=D2B002258 MAC-Address=00:a0:de:68:ea:f9 MAC-Address=00:a0:de:68:ea:fa MAC-Address=00:a0:de:68:ea:fb
# Reporting Date: Apr 18 12:24:42 2025
ip route default gateway 192.168.0.1
ip route 192.168.50.0/24 gateway tunnel 1
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.0.254/24
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha256-hmac anti-replay-check=off
ipsec ike version 1 2
ipsec ike always-on 1 off
ipsec ike duration child-sa 1 27000
ipsec ike duration ike-sa 1 28800
ipsec ike group 1 modp1024
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on rfc4306
ipsec ike local address 1 192.168.0.254
ipsec ike local name 1 23.53.198.89 ipv4-addr
ipsec ike nat-traversal 1 on
ipsec ike pfs 1 off
ipsec ike message-id-control 1 off
ipsec ike pre-shared-key 1 text tobeornottobe
ipsec ike remote address 1 182.22.25.124
ipsec ike remote name 1 182.22.25.124 ipv4-addr
ipsec auto refresh 1 on
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 200030 pass * 192.168.0.0/24 icmp * *
ip filter 200031 pass * 192.168.0.0/24 established * *
ip filter 200032 pass * 192.168.0.0/24 tcp * ident
ip filter 200033 pass * 192.168.0.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.0.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.0.0/24 udp domain *
ip filter 200036 pass * 192.168.0.0/24 udp * ntp
ip filter 200037 pass * 192.168.0.0/24 udp ntp *
ip filter 200080 pass * 192.168.0.254 udp * 500
ip filter 200081 pass * 192.168.0.254 esp * *
ip filter 200082 pass * 192.168.0.254 udp * 4500
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 192.168.0.254
nat descriptor masquerade static 1000 1 192.168.0.254 udp 500
nat descriptor masquerade static 1000 2 192.168.0.254 esp
nat descriptor masquerade static 1000 3 192.168.0.254 udp 4500
ipsec auto refresh on
snmp sysname ntt-n1200-00a0de68eaf9
#
参考 tunnel 57で設定したいときはこうする
こちらを利用していただくと、
tunnel番号:57
ルーターのIPアドレス:192.168.0.254
自分のグローバルIPアドレス:23.53.198.89・
Azure側のグローバルIPアドレス:182.22.25.124
自分側のデフォルトゲートウェイ:192.168.0.1
Azure側のアドレス空間を自分がどう呼ぶか:192.168.50.0/24
ルーターのローカルIPアドレス:192.168.0.254/24
パスワード:tobeornottobe
を置換しやすいと思います。
# N1200 Rev.10.01.77 (Thu Aug 1 11:17:46 2019)
# MAC Address : 00:a0:de:68:ea:f9, 00:a0:de:68:ea:fa, 00:a0:de:68:ea:fb
# Memory 128Mbytes, 3LAN, 1BRI
# main: N1200 ver=c0 serial=D2B002258 MAC-Address=00:a0:de:68:ea:f9 MAC-Address=00:a0:de:68:ea:fa MAC-Address=00:a0:de:68:ea:fb
# Reporting Date: Apr 18 12:24:42 2025
ip route default gateway 192.168.0.1
ip route 192.168.50.0/24 gateway tunnel 57
ipv6 prefix 1 ra-prefix@lan2::/64
ip lan1 address 192.168.0.254/24
ipv6 lan1 prefix ra-prefix@lan2::/64
ipv6 lan1 rtadv send 1
tunnel select 57
ipsec tunnel 57
ipsec sa policy 57 57 esp aes256-cbc sha256-hmac anti-replay-check=off
ipsec ike version 57 2
ipsec ike always-on 57 off
ipsec ike duration child-sa 57 27000
ipsec ike duration ike-sa 57 28800
ipsec ike group 57 modp1024
ipsec ike keepalive log 57 off
ipsec ike keepalive use 57 on rfc4306
ipsec ike local address 57 192.168.0.254
ipsec ike local name 57 23.53.198.89 ipv4-addr
ipsec ike nat-traversal 57 on
ipsec ike pfs 57 off
ipsec ike message-id-control 57 off
ipsec ike pre-shared-key 57 text tobeornottobe
ipsec ike remote address 57 182.22.25.124
ipsec ike remote name 57 182.22.25.124 ipv4-addr
ipsec auto refresh 57 on
ip tunnel tcp mss limit auto
tunnel enable 57
ip filter 200030 pass * 192.168.0.0/24 icmp * *
ip filter 200031 pass * 192.168.0.0/24 established * *
ip filter 200032 pass * 192.168.0.0/24 tcp * ident
ip filter 200033 pass * 192.168.0.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.0.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.0.0/24 udp domain *
ip filter 200036 pass * 192.168.0.0/24 udp * ntp
ip filter 200037 pass * 192.168.0.0/24 udp ntp *
ip filter 200080 pass * 192.168.0.254 udp * 500
ip filter 200081 pass * 192.168.0.254 esp * *
ip filter 200082 pass * 192.168.0.254 udp * 4500
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 192.168.0.254
nat descriptor masquerade static 1000 1 192.168.0.254 udp 500
nat descriptor masquerade static 1000 2 192.168.0.254 esp
nat descriptor masquerade static 1000 3 192.168.0.254 udp 4500
ipsec auto refresh on
snmp sysname ntt-n1200-00a0de68eaf9
#