IPv6 トランスポートモードの IPsec トンネルで VPN を保護する方法

IPv6 ネットワークで VPN を使用するには、IPv4 ネットワークの場合と同じ手順を実行します。ただし、コマンドの構文は少し違います。特定のコマンドを実行する理由についての詳細は、「IPv4 トンネルモードの IPsec トンネルで VPN を保護する方法」の該当する手順を参照してください。

両方のシステムでこの手順を実行してください。

この手順では、次の構成パラメータを使用します。

enigma

partym

hme1

hme1

hme0

hme0

6000:6666::aaaa:1116

6000:3333::eeee:1113

2001::aaaa:6666:6666

2001::eeee:3333:3333

router-E

router-C

2001::aaaa:0:4

2001::eeee:0:1

ip6.tun0

ip6.tun0

1. システムコンソール上で、Primary Administrator の役割を引き受けるか、スーパーユーザーになります。

   Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。

   ---

   注 –

   リモートログインすると、セキュリティー上重要なトラフィックが盗聴される恐れがあります。何らかの方法でリモートログインを保護していても、システムのセキュリティーがリモートログインセッションレベルに低下します。セキュリティー保護されたリモートログインには、ssh コマンドを使用してください。

   ---

2. IPsec を構成する前に、パケットフローを制御します。

   1. IP 転送と IP 動的経路制御が無効になっていることを確認します。

      # routeadm Configuration Current Current Option Configuration System State -------------------------------------------------- … IPv6 forwarding disabled disabled IPv6 routing disabled disabled

      IP 転送や IP 動的経路制御が有効な場合は、次のように入力して無効にします。

      # routeadm -d ipv6-forwarding -d ipv6-routing # routeadm -u

   2. 次のコマンドを入力して IP の厳密宛先マルチホームをオンに設定します。

      # ndd -set /dev/ip ip6_strict_dst_multihoming 1

      ---

      注意 –

      システムの起動時に、ip6_strict_dst_multihoming の値はデフォルトに戻ります。変更した値を持続させる方法については、「IP のスプーフィングを防止する方法」を参照してください。

      ---

   3. ほとんどのネットワークサービスが無効になっていることを確認します。

      ループバックマウントと ssh サービスが稼働していることを確認します。

      # svcs | grep network online Aug_02 svc:/network/loopback:default … online Aug_09 svc:/network/ssh:default

3. 2 つのシステム間に SA ペアを追加します。

   次のオプションのいずれかを選択します。

   • SA 用のキーを管理するように IKE を設定します。「IKE の設定 (作業マップ)」のいずれかの手順に従って、VPN 用の IKE を構成します。

   • キーを手動で管理する決定的な理由がある場合は、「IPsec セキュリティーアソシエーションを手動で作成する方法」を参照してください。

4. IPsec ポリシーを追加します。

   /etc/inet/ipsecinit.conf ファイルを編集して、VPN 用の IPsec ポリシーを追加します。

   1. enigma システムで、ipsecinit.conf ファイルに次のエントリを追加します。

      # IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:6666::aaaa:1116 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1}

   2. partym システムで、ipsecinit.conf ファイルに次のエントリを追加します。

      # IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1}

5. (省略可能) IPsec ポリシーファイルの構文を確認します。

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

6. トンネルを構成し、それを IPsec で保護する場合は、Solaris のリリースに応じて次の手順に従います。

   • Solaris 10 4/09 リリース以降では、手順 7 から手順 13 までを実行したあと、手順 22 の経路制御プロトコルを実行します。

   • Solaris 10 4/09 リリースより前のリリースを実行している場合は、手順 14 から手順 22 までを実行します。

7. /etc/hostname.ip6.tun0 ファイルで、トンネル ip6.tun0 を構成します。

   1. enigma システムで、hostname.ip6.tun0 ファイルに次のエントリを追加します。

      6000:6666::aaaa:1116 6000:3333::eeee:1113 tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up

   2. partym システムで、hostname.ip6.tun0 ファイルに次のエントリを追加します。

      6000:3333::eeee:1113 6000:6666::aaaa:1116 tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up

8. 作成した IPsec ポリシーでトンネルを保護します。

   # svcadm refresh svc:/network/ipsec/policy:default

9. hostname.ip6.tun0 ファイルの内容をカーネルに読み込むには、ネットワークサービスを再起動します。

   # svcadm restart svc:/network/initial:default

10. hme1 インタフェースの IP 転送をオンに設定します。

    1. enigma システムで、/etc/hostname6.hme1 ファイルにルーターエントリを追加します。

       2001::aaaa:6666:6666 inet6 router

    2. partym システムで、/etc/hostname6.hme1 ファイルにルーターエントリを追加します。

       2001::eeee:3333:3333 inet6 router

11. 経路制御プロトコルによってイントラネット内のデフォルトのルートが通知されていないことを確認します。

    1. enigma システムで、private フラグを /etc/hostname6.hme0 ファイルに追加します。

       6000:6666::aaaa:1116 inet6 private

    2. partym システムで、private フラグを /etc/hostname6.hme0 ファイルに追加します。

       6000:3333::eeee:1113 inet6 private

12. hme0 経由のデフォルトルートを手動で追加します。

    1. enigma システムで、次のルートを追加します。

       # route add -inet6 default 2001::aaaa:0:4

    2. partym システムで次のルートを追加します。

       # route add -inet6 default 2001::eeee:0:1

13. 手順を完了するために、手順 22 に進んで経路制御プロトコルを実行します。

14. セキュアトンネル ip6.tun0 を構成します。

    ---

    注 –

    次の手順は、Solaris 10 4/09 リリースより前のリリースを実行しているシステムでトンネルを構成するためのものです。

    ---

    1. enigma システムで、次のコマンドを入力します。

       # ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333

    2. partym システムで、次のコマンドを入力します。

       # ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666

15. 作成した IPsec ポリシーでトンネルを保護します。

    # ipsecconf

16. トンネル用のルーターを起動します。

    # ifconfig ip6.tun0 router up

17. hme1 インタフェースの IP 転送をオンに設定します。

    # ifconfig hme1 router

18. 経路制御プロトコルによってイントラネット内のデフォルトのルートが通知されていないことを確認します。

    # ifconfig hme0 private

19. 各システムで、hme0 経由のデフォルトルートを手動で追加します。

    デフォルトルートは、インターネットに直接アクセスできるルーターでなければなりません。

    1. enigma システムで、次のルートを追加します。

       # route add -inet6 default 2001::aaaa:0:4

    2. partym システムで次のルートを追加します。

       # route add -inet6 default 2001::eeee:0:1

20. 各システムで、VPN がリブート後に開始するように、/etc/hostname6.ip6.tun0 ファイルにエントリを追加します。

    このエントリは、手順 14 で ifconfigコマンドに渡されたパラメータを複製します。

    1. enigma システムで、hostname6.ip6.tun0 ファイルに次のエントリを追加します。

       6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up

    2. partym システムでは、次のエントリを hostname6.ip6.tun0 ファイルに追加します。

       6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up

21. 適切なパラメータが経路制御デーモンに渡されるようにインタフェースファイルを設定します。

    1. enigma システムで、/etc/hostname6.interface ファイルを変更します。

       # cat /etc/hostname6.hme0 ## enigma 6000:6666::aaaa:1116 inet6 private

       # cat /etc/hostname6.hme1 ## enigma 2001::aaaa:6666:6666 inet6 router

    2. partym システムで、/etc/hostname6.interface ファイルを変更します。

       # cat /etc/hostname6.hme0 ## partym 6000:3333::eeee:1113 inet6 private

       # cat /etc/hostname6.hme1 ## partym2001::eeee:3333:3333 inet6 router

22. 経路制御プロトコルを実行します。

    # routeadm -e ipv6-routing # routeadm -u

例 20–17 推奨されなくなった構文を使用して IPv6 トランスポートモードの IPsec トンネルを構成する

この例では、Solaris 10 7/07 システムを、Solaris 10 リリースを実行しているシステムに接続します。したがって、管理者は構成ファイルで Solaris 10 の構文を使用し、ifconfig コマンドに IPsec アルゴリズムを含めます。

管理者は、「IPv6 トランスポートモードの IPsec トンネルで VPN を保護する方法」の手順に従いますが、構文を次のように変更します。

• 手順 4 で、ipsecinit.conf ファイルの構文は次のとおりです。

  # IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {} ipsec {encr_algs aes encr_auth_algs sha1}

• 手順 14 から手順 17 で、セキュアトンネルを構成するための構文は次のとおりです。

  # ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 \ encr_algs aes encr_auth_algs sha1 # ifconfig ip6.tun0 inet6 router up

  ifconfig コマンドに渡す IPsec ポリシーは、ipsecinit.conf ファイルに指定されている IPsec ポリシーと同じでなければなりません。各システムは、リブート時にそのポリシーを含む ipsecinit.conf ファイルを読み込みます。

• 手順 20 で、hostname6.ip6.tun0 ファイルの構文は次のとおりです。

  6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 \ encr_algs aes encr_auth_algs sha1 router up