VyOS

このチュートリアルには、VyOSデバイスをIPsec構成で使用するための設定情報とサンプルテンプレートが含まれています。

注意事項

vti <NAME_OF_VTI_INTERFACE> — IPsecトンネルの仮想トンネルインターフェースを指定します。
esp-group <NAME_OF_ESP_GROUP> - トンネルによって定義された暗号化トラフィックのためのESPグループを定義するか、特定のESPポリシーまたはプロファイルを定義します。
ike-group <NAME_OF_IKE_GROUP> - キー交換に使用するIKEグループを定義するか、特定のIKEポリシーまたはプロファイルを定義します。
トンネルの両端にあるIPsecトンネルインターフェースのIPアドレスは、同じ/31または/30サブネット上のプライベートIPアドレスのペア（RFC 1918）である必要があります。これは本質的にポイントツーポイントリンクを指定します。
このVyOSルーターのIPsecトンネルエンドポイントは<IP_ADDR_OF_UPLINK_INTF_TO_INTERNET/WAN>です。
Cloudflare側のIPsecトンネルエンドポイントのIPアドレスは、Cloudflareによって提供されるAnycast IPアドレスです。
このルーターはIPsecトンネル接続を開始するように構成されています。

設定パラメータ

フェーズ1

暗号化
- 128ビットまたは256ビットのキー長を持つAES-GCM
整合性
- SHA512

フェーズ2

暗号化
- 128ビットまたは256ビットのキー長を持つAES-GCM
整合性
- SHA512
PFSグループ
- DHグループ14（2048ビットMODPグループ）

設定テンプレート

set interfaces vti <name of the vti interface> address
'<PRIVATE_IP_ADDRESS_OF_IPSEC_TUNNEL_INTERFACE>'
set vpn ipsec esp-group <NAME_OF_ESP_GROUP> compression 'disable'
set vpn ipsec esp-group <NAME_OF_ESP_GROUP> lifetime '14400'
set vpn ipsec esp-group <NAME_OF_ESP_GROUP> mode 'tunnel'
set vpn ipsec esp-group <NAME_OF_ESP_GROUP> pfs 'enable'
set vpn ipsec esp-group <NAME_OF_ESP_GROUP> proposal 1 encryption 'aes256gcm128'
set vpn ipsec esp-group <NAME_OF_ESP_GROUP> proposal 1 hash 'sha512'
set vpn ipsec ike-group <NAME_OF_IKE_GROUP> close-action 'none'
set vpn ipsec ike-group <NAME_OF_IKE_GROUP> dead-peer-detection action 'restart'
set vpn ipsec ike-group <NAME_OF_IKE_GROUP> dead-peer-detection interval '30'
set vpn ipsec ike-group <NAME_OF_IKE_GROUP> dead-peer-detection timeout '120'
set vpn ipsec ike-group <NAME_OF_IKE_GROUP> ikev2-reauth 'no'
set vpn ipsec ike-group <NAME_OF_IKE_GROUP> key-exchange 'ikev2'
set vpn ipsec ike-group <NAME_OF_IKE_GROUP> lifetime '14400'
set vpn ipsec ike-group <NAME_OF_IKE_GROUP> mobike 'disable'
set vpn ipsec ike-group <NAME_OF_IKE_GROUP> proposal 1 dh-group '14'
set vpn ipsec ike-group <NAME_OF_IKE_GROUP> proposal 1 encryption 'aes256gcm128'
set vpn ipsec ike-group <NAME_OF_IKE_GROUP> proposal 1 hash 'sha512'
set vpn ipsec ipsec-interfaces interface '<UPLINK_INTF_TO_INTERNET/WAN>'
set vpn ipsec logging log-level '2'
set vpn ipsec options disable-route-autoinstall
set vpn ipsec site-to-site peer <CF_ANYCAST_IP> authentication id '<IPSEC_ID_STRING_IN_RESULT_OF_PSK_KEY-GEN_VIA_CF_API>'
set vpn ipsec site-to-site peer <CF_ANYCAST_IP> authentication pre-shared-secret '<PSK_KEY_STRING_GENERATED_VIA_CF_API>'
set vpn ipsec site-to-site peer <CF_ANYCAST_IP> authentication remote-id '<CF_ANYCAST_IP>'
set vpn ipsec site-to-site peer <CF_ANYCAST_IP> connection-type 'initiate'
set vpn ipsec site-to-site peer <CF_ANYCAST_IP> ike-group '<NAME_OF_IKE_GROUP>'
set vpn ipsec site-to-site peer <CF_ANYCAST_IP> ikev2-reauth 'no'
set vpn ipsec site-to-site peer <CF_ANYCAST_IP> local-address '<IP_ADDR_OF_UPLINK_INTF_TO_INTERNET/WAN>'
set vpn ipsec site-to-site peer <CF_ANYCAST_IP> vti bind '<NAME_OF_VTI_INTERFACE>'
set vpn ipsec site-to-site peer <CF_ANYCAST_IP> vti esp-group '<NAME_OF_ESP_GROUP>'

Cloudflare Dashboard Discord Community Learning Center Support Portal

Cookie Settings