説明

インターネットプロトコルセキュリティ（IPsec）は、インターネットプロトコルネットワーク上で2台のコンピュータ間で安全な暗号化通信を提供するため、データパケットの認証と暗号化を行うセキュアなネットワークプロトコルスイートです。仮想プライベートネットワーク（VPN）で広く使用されています。

Milesight ルーターは、iOSを含むさまざまなIPsecクライアントをルーターに接続する機能をサポートしています。この記事では、1台のMilesight ルーターをIPsecサーバーとして使用し、以下のトポロジー図を例に説明します:

要件

最新のファームウェアバージョンを搭載した任意のMilesight ルーター

iOS 14を搭載したiPhone

Ubuntu システム（例：バージョン20.04）

設定

1. 証明書を生成する

ステップ1. strongSwanとopensslをインストールします:

sudo apt install strongswan strongswan-pki libstrongswan-extra-plugins openssl -y

ステップ2. 以下のコマンドを実行します:
#CAルート秘密鍵を生成する

ipsec pki --gen --outform pem > ca.key.pem 

#このプライベートキーに基づいてCAルート証明書を自己署名

ipsec pki --self --in ca.key.pem --dn "C=CN, O=milesight, CN=192.168.22.105" --ca --lifetime 3650 --outform pem > ca.crt  

–lifetime: 有効期間、単位は日

–dn: 識別名

• C は国名を表します
• O は組織名を表します
• CN はユーザーフレンドリーな表示用の共通名です。iOSでは、ルーターのIPアドレスまたはサーバーのドメイン名でなければなりません

#サーバーのプライベートキーを生成

ipsec pki --gen --outform pem > server.key

#プライベートキーから公開キーを生成

ipsec pki --pub --in server.key --outform pem > server.pub.pem

#この公開鍵に基づいてサーバー証明書を署名

ipsec pki --issue --lifetime 3600 --cacert ca.crt --cakey ca.key.pem --in server.pub.pem --dn "C=CN, O=milesight, CN=192.168.22.105" --san="192.168.22.105" --flag serverAuth --flag ikeIntermediate --outform pem > server.crt

//–san: サーバーの代替名前、iOSでは、ルーターのIPアドレスまたはサーバーのドメイン名

#クライアントの秘密鍵を生成

ipsec pki --gen --outform pem > client.key.pem

#秘密鍵から公開鍵を生成

ipsec pki --pub --in client.key.pem --outform pem > client.pub.pem

#この公開鍵に基づいてクライアント証明書を署名

ipsec pki --issue --lifetime 1200 --cacert ca.crt --cakey ca.key.pem --in client.pub.pem --dn "C=CN, O=milesight, CN=192.168.22.105" --outform pem > client.cert.pem

#証明書をPKCS12形式にパッケージ化

openssl pkcs12 -export -inkey client.key.pem -in client.cert.pem -name "Milesight ios Client Cert" -certfile ca.crt -caname "192.168.22.105" -out client.cert.p12

//エクスポートパスワードの定義

ステップ3. サーバーからca.crt、server.key、server.crt、client.cert.p12をダウンロードします。

2.ルーターの設定

ステップ1. Network -> VPN -> IPsec Serverに移動し、IPsecサーバーを設定します。

iOSクライアント用の重要な設定:

IKEパラメーター:

IKE Version:IKEv1

Encryption Algorithm:AES256

Authentication Algorithm:SHA1

DH Group:MODP1024-2

Local Authentication:CA

XAUTH:enable

SAパラメーター:

SA Algorithm:AES256-SHA1

PFS Group:MODP1024-2

Expert Options: rightauth=pubkey;rightauth2=xauth;rightsourceip=172.16.0.1

Save をクリックし、Apply をクリックします

ステップ 2. Network -> VPN -> Certifications -> IPsec Server に移動します

ca.crt を CA にインポートします

server.crt を Local Certificate にインポートします

server.key を Private Key にインポートします

3. iPhone の設定

ステップ 1. ca.crt と client.cert.p12 をメールまたは他の方法で iPhone に送信します。

ステップ 2. 2つの証明書をインストールします。

ステップ 3. iPhone で VPN を設定します。

Server: Milesight ルーターの IPsec サーバーアドレス

Username/password: Milesight ルーターの XAUTH リストで定義されたもの。

Use Certificate: 有効化し、正しい証明書を選択します。

4.接続の確認

IPsec VPNが確立されると、Status -> VPNで接続状態を確認でき、iOSのVPN情報も表示されます。

iPhoneのLAN IPとWAN IP:

ルーター:

Maintenance -> Tools -> Pingに移動し、iOSのLAN IPにPingを実行します。Pingが成功すれば、VPN経由でのデータ送信が正常に完了しています。

–以上–