[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

VPN 翻訳

藤井 from NetBSD@re.soumです。

Plain textとして拾ってしまったので、もしかしたら余計な作業になってしまう
かもしれませんが、せっかく翻訳してしまいましたので送らせていただきます。
念のため、原文と一緒に送ります。
訳文中、cloudという単語をどう訳せばいいのやらちょっと迷いましたので、申
し添えておきます。

# MLメンバ以外からも投稿できるでしょうか…。

Configuration examples: IPsec VPN (top) 

First of all, here are couple of issues with IPsec VPN configuration.
・Routing setup must be done properly.
・Do not try to use IPsec tunnel device to behave as the NAT box, or
filtering firewall, at the same time. IPsec and NAT are inherently not
compatible protocol. Also, due to implementation and specification
limitations in 1.5, they do not play nice. We are trying to improve this
situation. See "Interaction with ipfilter" for more details. 
・VPN configuration differs from installations to installations.
Actually, there's no clear definition of what "VPN" means. If you make
questions on mailing lists, you need to clarify you need, your current
situation and your network configuration as a whole. 

まず最初に、いくつかのIPsec VPN設定に関しての注意点があります。
・ルーティングの設定は的確に行われていなければなりません。
・IPsecトンネルデバイスを、同時にNATボックスやフィルタリング防火壁として振
る舞うように使おうとしたりしないでください。IPsecとNATは本質的に互換性の
ないプロトコルです。また、1.5での実装と仕様の制限により、これはうまく動
きません。我々はこの状況を改善しようとしているところです。詳細については、
"Interaction with ipfilter"(ipfilterとの相互作用)を参照してください。
・VPNの設定は、それぞれの導入によって異なります。実際、"VPN"の意味するも
のについての明確な定義はありません。もしもメイリングリストに質問するとし
たら、あなたの現在の状況とネットワークの設定をすべて明らかにする必要があ
ります。

The following example assumes the folloinwg network configuration. The
goals of the example are: 

・To somehow connect machines inside two private-address cloud
(10.0.1.0/24 and 10.0.2.0/24, think of it as Tokyo branch of your
company and NY headquarters). 
・The traffic between two cloud needs to be securely exchanged between
the gateways. 
・We do not want to pay transpacific leased line charge, so we locally
contract with ISP (in Tokyo and in NY) and tunnel traffic between
gateways. 

以下の例は以下のようなネットワークの設定を仮定しています。この例の最終目
的は:

・どうにかして二つのプライベートアドレス空間(10.0.1.0/24および10.0.2.0/24、
あなたの会社の東京支社とニューヨーク本社のようなものと考えてください)の
中のマシンを接続すること。
・二つの空間の間のトラフィックは、ゲートウェイ同士の間で安全にやりとりさ
れる必要がある。
・太平洋を横断する専用線の料金を払いたくないため、地元のISP(東京とニュー
ヨーク)と契約し、トラフィックはゲートウェイ間をトンネルする。

((( 10.0.1.0/24 )))	VPN'ed network, Tokyo branch office
  |10.0.1.1
gateway 1
  |20.0.0.1
  |IPsec tunnel
  |20.0.0.2
gateway 2
  |10.0.2.1
((( 10.0.2.0/24 )))	VPN'ed network, NY headquarters


((( 10.0.1.0/24 ))) 東京支店オフィスのVPNネットワーク
  |10.0.1.1
gateway 1
  |20.0.0.1
  |IPsec tunnel
  |20.0.0.2
gateway 2
  |10.0.2.1
((( 10.0.2.0/24 )))	ニューヨーク本社のVPNネットワーク

The following text presents configuration for gateway 1. 
以下のテキストはgateway 1の設定を示します。

#! /bin/sh
#
# Note that routing should be set up in advance, i.e. for this example:
#	route -n add -net 10.0.2.0 10.0.2.1
#	route -n add 10.0.2.1 10.0.1.1
# packet will look like this: IPv4 ESP IPv4 payload
# the node is on 10.0.1.1/20.0.0.1, peer is on 10.0.2.1/20.0.0.2
setkey -c <<EOF
add 20.0.0.1 20.0.0.2 esp 13245 -E blowfish-cbc "blowfishtest.001" ;
add 20.0.0.2 20.0.0.1 esp 13246 -E blowfish-cbc 0xdeadbeefdeadbeefdeadbeefdeadbeef;
spdadd 10.0.1.0/24 10.0.2.0/24 any -P out ipsec esp/tunnel/20.0.0.1-20.0.0.2/require ;
spdadd 10.0.2.0/24 10.0.1.0/24 any -P in ipsec esp/tunnel/20.0.0.2-20.0.0.1/require ;
EOF

(contributed by Per Harald Myrvang) 



---
藤井克彦


--------------------- Original Message Ends --------------------

-- 
Katsuhiko Fujii <chiyosuke@bf.wakwak.com>