RTX1300とIX2215で拠点間VPN接続 – ちぇりーぼっくす

異なるメーカー同士でもパラメーターを合わせれば、IKEv2/IPsecで接続可能ですが、ちょっとハマる点があったのでそのメモ。

Zenn

NVR700W と UNIVERGE IX を IKEv2/IPsec で拠点間接続

https://zenn.dev/shinkolab/articles/73c9f63684dbda

大体ここの通りなんですが、RTX側で1か所だけオプションを変えないと、後述のエラーが出てどうにもなりませんでした。

目的

RTX1300とUNIVERGE IX2215で拠点間VPNを張りたい

装置間の相互接続はIPv6で行いたい

前提条件

RTX1300 Rev.23.00.17

UNIVERGE IX2215 10.11.14

回線 enひかりクロス

接続形態

とりあえずテスト用の環境なので、以下のように、RTX1300の下にIX2215を接続して、IX2215でRTX1300のRAを受け取ってIPv6アドレスを設定します。

IPv6で通信できるか確認するため、IX2215のGE0はIPv4を無効化しています。

DDNS

RTX1300はネットボランチDNSサービス

IX2215はOPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト

を使います。

NetMeisterダイナミックDNSサービスは、IPv6での無償提供はなくなりました。

RTX1300設定

netvolante-dns hostname host lan1 server=1 <ネットボランチDDNSホスト名> ipv6 address
netvolante-dns use lan1 server=1 auto
netvolante-dns go lan1

tunnel select 3
 description tunnel "IPSec VPN"
 ipsec tunnel 1
  ipsec sa policy 1 1 esp aes256-cbc sha256-hmac
  ipsec ike version 1 2
  ipsec ike duration ipsec-sa 1 28800 off
  ipsec ike duration isakmp-sa 1 28800
  ipsec ike group 1 modp1024
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on rfc4306 10 6
  ipsec ike local name 1 <ネットボランチDDNSホスト名> fqdn
  ipsec ike pre-shared-key 1 text <事前共有鍵>
  ipsec ike remote name 1 <open.ad.jp DDNSホスト名> fqdn
 ip tunnel mtu 1390
 ip tunnel rip send on version 2
 ip tunnel rip receive on version 2
 tunnel enable 3

IX2215設定

ddns enable
ddns profile UPDATE_DDNS
  url http://ddnsapi-v6.open.ad.jp/api/renew/
  query <open.ad.jp ホストキー>
  transport ipv6
  notify-interface GigaEthernet0.0
  source-interface GigaEthernet0.0
  update-interval 1
!
ikev2 authentication psk id fqdn <ネットボランチDDNSホスト名> key char <事前共有鍵>
!
ikev2 profile rtx1300
  child-lifetime 28800
  child-pfs off
  dpd interval 10
  local-authentication psk id fqdn <open.ad.jp DDNSホスト名>
  sa-lifetime 28800
  sa-proposal enc aes-cbc-256
  sa-proposal integrity sha2-256
  sa-proposal dh 1024-bit
!
interface Tunnel10.0
  tunnel mode ipsec-ikev2
  ip unnumbered GigaEthernet2.0
  ip mtu 1390
  ip rip enable
  ikev2 binding rtx1300
  ikev2 connect-type auto
  ikev2 peer-fqdn-ipv6 <ネットボランチDDNSホスト名> authentication psk id fqdn <ネットボランチDDNSホスト名>
  no shutdown

ルーティングやLAN側の設定は環境によるので割愛。

通信量が増えると謎のエラー

上記でVPNは繋がったのですが、通信量が増えると「Invalid ICV」なるエラーが出て通信が切れます。

NECのサイトを見ると以下のように記載がありました。

＞■認証エラー(データの改ざん)を検出
＞認証エラー(データの改ざん)が検出されたことを示しております。
＞認証エラーが発生する原因としては、網内の障害によるビット化けの可能性が高いため、回線の品質に問題が無いか確認を行ってください。
＞※網内でのビット化けも、IPSecではデータ改ざんに見えます。

LAN内で直接繋いでるだけでそんな事あるかねえ？と思ってケーブルを変えたりしてみましたがダメでした。

RTX1300側で以下のコマンドを実行してSAを削除→再生成すると即座に通信が復帰するので、この辺りの問題なのは間違いなさそうです。

ipsec sa delete all

YAMAHAのサイトを見てみると、SAの寿命の設定には、時間と通信量があることが分かりました。

www.rtpro.yamaha.co.jp

15.48.1 SA の寿命の設定

https://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ipsec/ipsec_ike_duration.html

色々パラメーターをいじってみたら、通信量で寿命が切れないように変更したらうまくいきました。

 tunnel select 3
 ipsec tunnel 1
 ipsec ike duration ipsec-sa 1 28800 off

よくよく見るとこの通信量のパラメーターは、機種やバージョンによって解釈が違う？ようなので注意が必要そうです。

※上に書いた全体のコンフィグは修正済の内容です

速度

そんなわけでVPNでワイヤースピード出るようになりました。

やったぜ。

目的