前回の続きです。
※ページ下記の【参考】を基に設定をしています。
詳細な内容はそちらを参考にしてください。
vyos2設定
vyos@vyos# show vpn
ipsec {
esp-group ESP-Group {
lifetime 1800
mode tunnel
pfs enable
proposal 1 {
encryption 3des
hash md5
}
}
ike-group IKE-Group {
lifetime 3600
proposal 1 {
encryption 3des
hash md5
}
}
ipsec-interfaces {
interface eth0
}
nat-traversal enable
site-to-site {
peer 10.2.1.254 {
authentication {
mode pre-shared-secret
pre-shared-secret my-pre-shared-key
}
connection-type initiate
default-esp-group ESP-Group
ike-group IKE-Group
local-address 10.1.1.254
tunnel 1 {
local {
prefix 192.168.0.0/16
}
remote {
prefix 172.16.0.0/16
}
}
}
}
}
vyos@vyos# show nat
source {
rule 10 {
destination {
address 172.16.0.0/16
}
exclude
outbound-interface eth0
source {
address 192.168.0.0/16
}
}
rule 100 {
outbound-interface eth0
protocol icmp
source {
address 192.168.0.0/16
}
translation {
address masquerade
}
}
rule 101 {
outbound-interface eth0
protocol tcp_udp
source {
address 192.168.0.0/16
}
translation {
address masquerade
port 5000-65535
}
}
}
vyos3設定
vyos@vyos# show vpn
ipsec {
esp-group ESP-Group {
lifetime 1800
mode tunnel
proposal 1 {
encryption 3des
hash md5
}
}
ike-group IKE-Group {
lifetime 3600
proposal 1 {
encryption 3des
hash md5
}
}
ipsec-interfaces {
interface eth0
}
nat-traversal enable
site-to-site {
peer 10.1.1.254 {
authentication {
mode pre-shared-secret
pre-shared-secret my-pre-shared-key
}
connection-type initiate
default-esp-group ESP-Group
ike-group IKE-Group
local-address 10.2.1.254
tunnel 1 {
local {
prefix 172.16.0.0/16
}
remote {
prefix 192.168.0.0/16
}
}
}
}
}
vyos@vyos# show nat
source {
rule 10 {
destination {
address 192.168.0.0/16
}
exclude
outbound-interface eth0
source {
address 172.16.0.0/16
}
}
rule 100 {
outbound-interface eth0
protocol icmp
source {
address 172.16.0.0/16
}
translation {
address masquerade
}
}
rule 101 {
outbound-interface eth0
protocol tcp_udp
source {
address 172.16.0.0/16
}
translation {
address masquerade
port 5000-65535
}
}
}
■ping疎通確認
・vyos2(eth1,eth2)からvyos3(eth1,eth2)へ疎通OK。
ping -I eth1 192.168.10.1
ping -I eth1 192.168.20.1
ping -I eth2 192.168.10.1
ping -I eth2 192.168.20.1
・逆も疎通OK。
・vyos2およびvyos3のeth0から対向のeth1、eth2へは疎通NG。NATかな
・Trust-A2とTrust-B2にクライアントを設置。お互いの疎通確認OK
Trust-A2クライアント:192.168.10.10/24
Trust-B2クライアント:172.16.10.10/24
【参考】
・Web
セルフクラウド VyOS での IPsec サイト間 VPN 接続 ... - IDCFサービストップ P31 あたり
・書籍
Vyatta仮想ルータ活用ガイド P141あたり
.png)
コメント
コメントを投稿