あいさつ
社内で要望がありましたので OCI と サン電子 RX220 を Site-to-Site VPN 接続してみました。公式は AWS と DRX はあったのですが、OCI は情報が少なかったので取扱説明書を読みながら試行錯誤しました。設定変更毎にルータに再起動がかかり、待たされるのが苦行でした。
公式サイト
Title: DRXとAWS Site-to-Site VPN 接続する
URL: https://www2.sun-denshi.co.jp/config-example/dualsim-router/2268/
設定
構成例
| 項目 | 設定内容 | 備考 |
|---|---|---|
| RX220 の CIDR | 192.168.62.0/24 | ※ローカル側 |
| RX220 の IP アドレス | 203.0.113.130/28 | ※グローバル IP |
| OCI VCN CIDR | 10.0.0.0/16 | ※ローカル側 |
| OCI VPN IP アドレス (トンネル1) | 198.51.100.77 | ※グローバル IP |
| OCI VPN IP アドレス (トンネル2) | 198.51.100.88 | ※こちらは使わない |
サン電子 RX220 の設定
◆RX220 のパラメータ
| 設定項目 | パラメータ | 説明 |
|---|---|---|
| インターフェイス | モバイル通信端末 | |
| モード設定 | メインモード | |
| 接続種別 | イニシエータ | |
| ハッシュアルゴリズム | SHA-1 | |
| 暗号化アルゴリズム | AES256bit | |
| PreSharedKey | 7BxgJNkZ0bBZ | ※サンプル |
| IKE Life Time | 28800 | |
| IPsec Life Time | 3600 | |
| 相手IPアドレス | 198.51.100.77 | Oracle VPN IPアドレス(トンネル1) |
| 相手ネットワーク | 10.0.0.0 | Oracle VCN の CIDR |
| 相手ネットマスク | 255.255.0.0 | Oracle VCN の CIDR |
| 相手側識別子 | 空 | |
| Rooster側IPアドレス | 203.0.113.130 | RX220 のグローバルIPアドレス |
| Rooster側ネットワーク | 192.168.62.0 | RX220 の CIDR |
| Rooster側ネットマスク | 255.255.255.0 | RX220 の CIDR |
| Rooster側識別子 | 空 | |
| メモ | OCI-TEST | 任意 |
| セッションキープを行う。 | 任意 | ※従量課金制の場合はオフ推奨 |
| キープアライブを行う。 | 任意 | ※従量課金制の場合はオフ推奨 |
| 監視先IPアドレス1 | 任意 | ※キープアライブオン時に使用 |
| 監視先IPアドレス2 | 任意 | ※キープアライブオン時に使用 |
| バックアップ設定を使用する。 | 任意 | ※基本不要 |
◆RX220 の画面
OCI の設定
◆OCI のパラメータ
◇Customer-Premises Equipment(顧客宅内機器) のパラメータ
| 設定項目 | パラメータ | 説明 |
|---|---|---|
| 名前 | RX220-TEST-CPE | 任意 |
| IPアドレス | 203.0.113.130 | RX220 のグローバルIPアドレス |
| ベンダー | Other | ※CPEベンダー情報 |
◇Customer-Premises Equipment(顧客宅内機器) の画面
◇サイト間VPN のパラメータ
(1ページ目)
| 設定項目 | パラメータ | 説明 |
|---|---|---|
| 名前 | RX220-TEST-IPSec | 任意 |
| 顧客構内機器 | RX220-TEST-CPE | |
| 動的ルーティング・ゲートウェイ | 該当のもの | 別途ご準備下さい |
| オンプレミス・ネットワークへのルート | 192.168.62.0/24 | RX220 の CIDR |
| 名前 | RX220-TEST-tunnel-1 | 任意 |
| カスタム共有シークレットの指定 | オン | |
| 共有シークレット | 7BxgJNkZ0bBZ | |
| IKEバージョン | IKEv1 |
(2ページ目)
| 設定項目 | パラメータ | 説明 |
|---|---|---|
| ルーティング・タイプ | 静的ルーティング | ※動的はできないです |
| IPv4トンネル内インタフェース - CPE | 空 | ※使わない |
| IPV4トンネル内インタフェース - Oracle | 空 | ※使わない |
| Oracle IKE開始 | レスポンダ | ※修正 |
| NAT-T有効 | 無効 | ※修正 |
| デッド・ピア検出タイムアウトの有効化 | 開始と応答 | |
| デッド・ピア検出タイムアウト(秒) | 20 |
(3ページ目)
| 設定項目 | パラメータ | 説明 |
|---|---|---|
| カスタム構成の設定 | チェック・オン | |
| カスタム暗号化アルゴリズム | AES_256_CBC | |
| カスタム認証アルゴリズム | SHA1_96 | |
| カスタムDiffie-Hellmanグループ | GROUP2 | |
| IKEセッション・キー存続期間(秒) | 28800 | |
| カスタム構成の設定 | チェック・オン | |
| カスタム暗号化アルゴリズム | AES_256_CBC | |
| カスタム認証アルゴリズム | HMAC_SHA1_128 | |
| IPSecセッション・キー存続期間(秒) | 3600 | |
| 完全な前方秘匿性の有効化 | チェック・オフ |
注意
トンネル2は使いませんので適当に設定を埋めてください。
接続確認
◆RX220 の確認
◆OCI の確認
あとがき
途中で飽きてしまい雑になってしまいました。
折を見て見やすいように修正します。