VyOSへのアップデート
次にVyOSへアップデートしてみたいと思います。先ほどの情報を元に接続をしてみます。
01 | vyatta@vyos:~$ show system image【Enter】 |
02 | The system currently has the following image(s) installed: |
04 | 1: Old-non-image-installation (default boot) |
09 | % Total % Received % Xferd Average Speed Time Time Time Current |
10 | Dload Upload Total Spent Left Speed |
11 | 100 231M 100 231M 0 0 6410k 0 0:00:36 0:00:36 --:--:-- 9841k |
12 | ISO download succeeded. |
13 | Checking for digital signature file... |
14 | % Total % Received % Xferd Average Speed Time Time Time Current |
15 | Dload Upload Total Spent Left Speed |
16 | 100 836 100 836 0 0 881 0 --:--:-- --:--:-- --:--:-- 3028 |
17 | Found it. Checking digital signature... |
18 | gpg: directory `/root/.gnupg' created |
19 | gpg: new configuration file `/root/.gnupg/gpg.conf' created |
20 | gpg: WARNING: options in `/root/.gnupg/gpg.conf' are not yet active during this run |
21 | gpg: keyring `/root/.gnupg/pubring.gpg' created |
22 | gpg: Signature made Thu Oct 9 17:42:59 2014 CDT using RSA key ID A442E6E9 |
23 | gpg: Can't check signature: public key not found |
24 | Signature check FAILED. |
25 | Do you want to continue anyway? (yes/no) [no] yes【Enter】 |
26 | OK. Proceeding with installation anyway. |
27 | Checking MD5 checksums of files on the ISO image...OK. |
29 | What would you like to name this image? [1.1.0]:【Enter】 |
30 | OK. This image will be named: 1.1.0 |
31 | Installing "1.1.0" image. |
32 | Copying new release files... |
33 | Would you like to save the current configuration |
34 | directory and config file? (Yes/No) [Yes]:【Enter】 |
35 | Copying current configuration... |
36 | Would you like to save the SSH host keys from your |
37 | current configuration? (Yes/No) [Yes]:【Enter】 |
39 | Setting up grub configuration... |
42 | vyatta@vyos:~$ show system image【Enter】 |
43 | The system currently has the following image(s) installed: |
44 | 1: 1.1.0 (default boot) |
45 | 2: Old-non-image-installation |
これでRebootすれば、無事にVyOSの利用が可能になります。再起動後、Show VerコマンドでVyOSになっていれば成功です。
01 | Vyatta@vyos:~$ show ver【Enter】 |
03 | Description: VyOS 1.1.0 (helium) |
04 | Copyright: 2014 VyOS maintainers and contributors |
05 | Built by: maintainers@vyos.net |
06 | Built on: Thu Oct 9 22:27:26 UTC 2014 |
07 | Build ID: 1410092227-af6433f |
08 | System type: x86 64-bit |
11 | Uptime: 22:16:35 up 1:08, 1 user, load average: 0.00, 0.01, 0.02 |
さて、ここまでくればあとは存分にVyOSを利用することができます。
VyOSの活用
手軽にVyOSを利用する方法の1つとして、L2TPを利用したリモート接続を紹介します。
L2TP/IPsecは、WindowsやMacOSの標準機能で利用可能なので、手軽にVyOSとセキュアな通信を確立し、その背後のサーバーへアクセスすることができます。利用シーンとしては、SoftLayer上のサーバーメンテナンス目的でアクセスしたいケースや、移行時のデータ転送をセキュアに実施したい場合などに利用できます。
それでは設定方法を見ていきましょう。
VyOS上の設定
- コンフィグレーションモードに移行します。
- IPsecを確立するインターフェイスを定義します。
1 | vyatta@vyos# set vpn ipsec ipsec-interfaces interface eth1【Enter】 |
- NATトラバーサルを有効にします。
1 | vyatta@vyos# set vpn ipsec nat-traversal enable【Enter】 |
- L2TP/IPsecを許可するクライアント側のサブネットを定義します。
1 | vyatta@vyos# set vpn ipsec nat-networks allowed-network 0.0.0.0/0【Enter】 |
- L2TPを終端するアドレスを定義します(VyosのPublic側)。
1 | vyatta@vyos# set vpn l2tp remote-access outside-address 173.192.31.100【Enter】 |
- ネクストホップアドレスを定義します(Vyosから見たゲートウェイアドレス[FCR])。
1 | vyatta@vyos# set vpn l2tp remote-access outside-nexthop 173.192.31.97【Enter】 |
- L2TP接続した際のクライアントに割り当てるアドレスプールを定義します。
1 | vyatta@vyos# set vpn l2tp remote-access client-ip-pool start 192.168.100.1【Enter】 |
2 | vyatta@vyos# set vpn l2tp remote-access client-ip-pool stop 192.168.100.10【Enter】 |
- IPsecの認証方法を定義します(ここではPre-sharedを選択)。
1 | vyatta@vyos# set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret【Enter】 |
- Pre-sharedキーを設定します。
1 | vyatta@vyos# set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret VyosL2TPconnection【Enter】 |
- L2TP接続の認証方法を定義します。ここではVyosで認証を実施します。
1 | vyatta@vyos# set vpn l2tp remote-access authentication mode local【Enter】 |
- L2TP接続するユーザーのID、パスワードを定義します。
1 | vyatta@vyos# set vpn l2tp remote-access authentication local-users username User01 password P@ssw0rd【Enter】 |
2 | vyatta@vyos# set vpn l2tp remote-access authentication local-users username User02 password P@ssw0rd【Enter】 |
- 設定を保存します。
1 | vyatta@vyos# commit【Enter】 |
2 | vyatta@vyos# save【Enter】 |
3 | Saving configuration to '/config/config.boot'... |
VyOSのFirewallの設定
L2TP/IPsecを確立するために、Vyos自身への着信パケットに対し、L2TP/IPsecでのアクセスポートを許可する必要があります(VyosにてL2TP/IPsecの終端を実施しているため)。利用するポートとして、IPsec通信全般のポートと、IKEを利用するUDP500番ポート、NATトラバーサル用のUDP4500番ポートを許可する設定を実施します。設定方法は、下のリストのようになります。設定完了後、Firewallポリシーを該当インターフェイスへ適用することにより、Firewall機能が動作します。
VyosへUpdate後は、OUTSIDE-LOCALという名前のFirewallポリシーがデフォルトで作成され、かつパブリックインターフェイス(eth1)にデフォルトで適用されています。
01 | vyatta@vyos# set firewall name OUTSIDE-LOCAL rule 40 action accept【Enter】 |
02 | vyatta@vyos# set firewall name OUTSIDE-LOCAL rule 40 ipsec match-ipsec【Enter】 |
03 | vyatta@vyos# set firewall name OUTSIDE-LOCAL rule 41 action accept【Enter】 |
04 | vyatta@vyos# set firewall name OUTSIDE-LOCAL rule 41 protocol udp【Enter】 |
05 | vyatta@vyos# set firewall name OUTSIDE-LOCAL rule 41 destination port 500【Enter】 |
06 | vyatta@vyos# set firewall name OUTSIDE-LOCAL rule 42 action accept【Enter】 |
07 | vyatta@vyos# set firewall name OUTSIDE-LOCAL rule 42 protocol udp【Enter】 |
08 | vyatta@vyos# set firewall name OUTSIDE-LOCAL rule 42 destination port 4500【Enter】 |
09 | vyatta@vyos# commit【Enter】 |
10 | vyatta@vyos# save【Enter】 |
通信対象サーバーへのStaticRouteの追加
L2TP/IPsec接続でプールしたアドレスで、クライアントはサーバーへアクセスしてきますので、その戻りの経路をサーバーのルーティングテーブルに設定する必要があります。
クライアント側の設定
こちらについてはOSの設定を参照してください。
これらの作業によって、実際にVyOSを利用してVPN接続を試してみることができるようになりました。VyOSでは、VPN以外にもいろいろなことができます。ゲートウェイアプライアンスを利用することで、VyOSの機能を存分に利用してもらえるのではないかと思います。
| Japan SoftLayer Summit 2015 |
|
「Japan SoftLayer Summit 2015」は、Japan SoftLayer Summit 2015実行委員が主催する、「IBM SoftLayer」最大級の技術カンファレンスです。 SoftLayerに関わるコミュニティ、あるいは、企業や団体、それらに所属する個人が一堂に会し、情報発信や交流を行うことで、日本におけるSoftLayerのプレゼンスの向上、ならびに更なるエコシステムの活性化を目的とします。 また、SoftLayerに興味をもつ新しいユーザーに対しても、情報発信を行い、SoftLayerについて学ぶ事ができる場を提供します。
|
