一、始めに
在宅勤務の必要性が高まっている中、低コストで自宅から職場までVPN回線を張る需要が高くなっております。Windows10 の標準サプリカントを使用して L2TP over IPsec を設定すれば、専用のVPNサプリカントを使用しなくてもWindows10 端末から職場までVPNを張ることができます。本稿では Windows 10 とシスコルータの間で証明書認証により L2TP over IPsec のVPNを張る設定例を示します。
二、ネットワーク構成と機器
本稿では以下のようなネットワーク構成を使用します。
シスコルータは ISR4451、16.8.2 を使用し、認証サーバとして Cisco ISE (Identity Service Engine)、端末にWindows10 を使用します。
三、ISE の設定
ここでは認証サーバISEの設定を行います。
(1) Administration > Network Devices > Add よりネットワークデバイスとして ISR4541 ( R5) を追加します。
(2) Administration > Identity Management > Identities より新しいユーザ(ここでは User1 / Cisco123)を追加します。
(3) Policy > Policy Elements > Results > Authentication > Allowed Protocols より “Allow Chap”, “Allow MS-Chapv1”, “Allow MS-Chapv2” にチェックを入れます。
ほかの設定はデフォルトのままにし、ISE の設定は上記で完了します。
四、 OpenSSL CA
本稿では証明書認証を使用するため、証明局が必要となります。本番使用では通常 DigiCert など公的証明書サービスを使用しますが、社内でPrivate CAを構築して使用することもできます。本稿ではOpenSSL ライブラリで構築した Private CA を使用することにします。またOpenSSL ライブラリよるCAの構築、及びルータと Windows10に証明書をインポートする手順については参考文献[1]を参照してください。
五、ルータの設定
上記通り、OpenSSL CA のルート証明書及び ISR4451 のサーバ証明書既にtrustpoint OpenSSL-CA12にインポート済みとします。
以下では L2TP Over IPsec と Radius 認証に必要なすべての設定を含んだ設定例を示します。
|
hostname R5
aaa new-model
aaa group server radius ISE1 server-private 192.168.55.121 timeout 5 retransmit 2 key Cisco123 ip radius source-interface GigabitEthernet0/0/0
aaa authentication ppp VPDN_AUTH local aaa authentication ppp L2TP-AUTHEN group ISE1 aaa authorization network L2TP-AUTHOR group ISE1 aaa accounting delay-start aaa accounting network L2TP-ACCT action-type start-stop group ISE1
ip domain name securitylab.com
vpdn enable
vpdn-group L2TP ! Default L2TP VPDN group accept-dialin protocol l2tp virtual-template 1 no l2tp tunnel authentication
crypto pki trustpoint OpenSSL-CA12 enrollment terminal subject-name CN="192.168.55.21" revocation-check crl rsakeypair R5-KEY
crypto pki certificate map Cert-MAP1 1 subject-name co win10cl2
crypto pki certificate chain OpenSSL-CA12 certificate 01 308203FC 308202E4 A0030201 02020101 300D0609 2A864886 F70D0101 0B050030
<Snip> quit
crypto isakmp profile ISAKMP-PROF self-identity fqdn R5.securitylab.com ca trust-point OpenSSL-CA12 match certificate Cert-MAP1 isakmp authorization list L2TP-AUTHOR
crypto ipsec transform-set L2TP-TSET esp-3des esp-sha-hmac mode transport
crypto dynamic-map D-MAP 1 set transform-set L2TP-TSET set isakmp-profile ISAKMP-PROF reverse-route crypto dynamic-map D-MAP 10 set transform-set L2TP-TSET
crypto map CMAP 10 ipsec-isakmp dynamic D-MAP
interface Loopback0 ip address 192.168.100.1 255.255.255.0
interface Loopback1 description loopback for IPsec Pool ip address 100.100.100.11 255.255.255.255
interface GigabitEthernet0/0/0 ip address 192.168.55.21 255.255.255.0
interface GigabitEthernet0/0/1 ip address 192.168.56.21 255.255.255.0 negotiation auto crypto map CMAP
interface Virtual-Template1 ip unnumbered Loopback1 peer default ip address pool L2TP-POOL ppp authentication pap ms-chap-v2 L2TP-AUTHEN ppp authorization L2TP-AUTHOR ppp accounting L2TP-ACCT
ip local pool L2TP-POOL 100.100.100.1 100.100.100.10
ip route 0.0.0.0 0.0.0.0 192.168.56.254 |
六、 Windows 10 の設定
ここでは上記と同様に OpenSSL CAのルート証明書と Windows10 のクライアント証明書はインポート済みとします。
(1) Network and Sharing Center > Set up a new Connection or network > Connect to a workplace をクリックします。
(2) How do you want to connect? から Use my Internet connection(VPN) を選択します。
(3) Do you want to set up an Internet connection before continuing? から I’ll set up an Internet connection later を選択します。
(4) Internet address にはルータの外部向けインタフェースの IP アドレス(本件では 192.168.56.21)を設定し、Create をクリックします。
(5) Network and Sharing Center > Change Adapter and settings から上記で作成された L2TP を右クリックし、Properties を開きます。
(6) Type of VPN で Layer 2 Tunneling Protocol with IPsec(L2TP/IPsec)を選択し、Allow these protocols から CHAP、MS-CHAP v2 を選択します。また Advanced Settings から Use certificate for authentication を選択します。
上記より Windows10 で L2TP over IPsec を証明書認証により接続するための設定が完了します。
七、確認
L2TP を右クリックし Connect/Disconnect を選択します。
VPNメニューから L2TP を Connect すると、必要なユーザ情報 (本件では User1 / Cisco123) を入力後 L2TP over IPsec が接続できるのが確認できます。
三、参考文献
[1] OpenSSL CAが発行した証明書をシスコルータとWindows10にインポートする
