キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.3

 AMATopBanner2021.4.23.JPG

 2021Apr.TopBanner.JPG

 

L2TP over IPsecと証明書認証によるシスコルータとWindows10のVPN接続

149
閲覧回数
0
いいね!
0
コメント

一、始めに

在宅勤務の必要性が高まっている中、低コストで自宅から職場までVPN回線を張る需要が高くなっております。Windows10 の標準サプリカントを使用して L2TP over IPsec を設定すれば、専用のVPNサプリカントを使用しなくてもWindows10 端末から職場までVPNを張ることができます。本稿では Windows 10 とシスコルータの間で証明書認証により L2TP over IPsec のVPNを張る設定例を示します。

二、ネットワーク構成と機器

本稿では以下のようなネットワーク構成を使用します。

NW-Topo.png

シスコルータは ISR445116.8.2 を使用し、認証サーバとして Cisco ISE (Identity Service Engine)、端末にWindows10 を使用します。

三、ISE の設定

ここでは認証サーバISEの設定を行います。

(1) Administration > Network Devices > Add よりネットワークデバイスとして ISR4541 ( R5) を追加します。

ISE1-Device.png

(2) Administration > Identity Management > Identities より新しいユーザ(ここでは User1 / Cisco123)を追加します。

ISE1-User.png

(3) Policy > Policy Elements > Results > Authentication > Allowed Protocols より “Allow Chap”, “Allow MS-Chapv1”, “Allow MS-Chapv2” にチェックを入れます。

Chap.png

ほかの設定はデフォルトのままにし、ISE の設定は上記で完了します。

四、 OpenSSL CA

本稿では証明書認証を使用するため、証明局が必要となります。本番使用では通常 DigiCert など公的証明書サービスを使用しますが、社内でPrivate CAを構築して使用することもできます。本稿ではOpenSSL ライブラリで構築した Private CA を使用することにします。またOpenSSL ライブラリよるCAの構築、及びルータと Windows10に証明書をインポートする手順については参考文献[1]を参照してください。

五、ルータの設定

上記通り、OpenSSL CA のルート証明書及び ISR4451 のサーバ証明書既にtrustpoint OpenSSL-CA12にインポート済みとします。

以下では L2TP Over IPsec Radius 認証に必要なすべての設定を含んだ設定例を示します。

hostname R5

 

aaa new-model

 

aaa group server radius ISE1

 server-private 192.168.55.121 timeout 5 retransmit 2 key Cisco123

 ip radius source-interface GigabitEthernet0/0/0

 

aaa authentication ppp VPDN_AUTH local

aaa authentication ppp L2TP-AUTHEN group ISE1

aaa authorization network L2TP-AUTHOR group ISE1

aaa accounting delay-start

aaa accounting network L2TP-ACCT

 action-type start-stop

 group ISE1

 

ip domain name securitylab.com

 

vpdn enable

 

vpdn-group L2TP

 ! Default L2TP VPDN group

 accept-dialin

  protocol l2tp

  virtual-template 1

 no l2tp tunnel authentication

 

crypto pki trustpoint OpenSSL-CA12

 enrollment terminal

 subject-name CN="192.168.55.21"

 revocation-check crl

 rsakeypair R5-KEY

 

crypto pki certificate map Cert-MAP1 1

 subject-name co win10cl2

 

crypto pki certificate chain OpenSSL-CA12

 certificate 01

  308203FC 308202E4 A0030201 02020101 300D0609 2A864886 F70D0101 0B050030

 

<Snip>

          quit

 

crypto isakmp profile ISAKMP-PROF

   self-identity fqdn R5.securitylab.com

   ca trust-point OpenSSL-CA12

   match certificate Cert-MAP1

   isakmp authorization list L2TP-AUTHOR

 

crypto ipsec transform-set L2TP-TSET esp-3des esp-sha-hmac

 mode transport

 

crypto dynamic-map D-MAP 1

 set transform-set L2TP-TSET

 set isakmp-profile ISAKMP-PROF

 reverse-route

crypto dynamic-map D-MAP 10

 set transform-set L2TP-TSET

 

crypto map CMAP 10 ipsec-isakmp dynamic D-MAP

 

interface Loopback0

 ip address 192.168.100.1 255.255.255.0

 

interface Loopback1

 description loopback for IPsec Pool

 ip address 100.100.100.11 255.255.255.255

 

interface GigabitEthernet0/0/0

 ip address 192.168.55.21 255.255.255.0

 

interface GigabitEthernet0/0/1

 ip address 192.168.56.21 255.255.255.0

 negotiation auto

 crypto map CMAP

 

interface Virtual-Template1

 ip unnumbered Loopback1

 peer default ip address pool L2TP-POOL

 ppp authentication pap ms-chap-v2 L2TP-AUTHEN

 ppp authorization L2TP-AUTHOR

 ppp accounting L2TP-ACCT

 

ip local pool L2TP-POOL 100.100.100.1 100.100.100.10

 

ip route 0.0.0.0 0.0.0.0 192.168.56.254

 

六、 Windows 10 の設定

ここでは上記と同様に OpenSSL CAのルート証明書と Windows10 のクライアント証明書はインポート済みとします。

(1) Network and Sharing Center > Set up a new Connection or network > Connect to a workplace をクリックします。

Network-Sharing.png

(2) How do you want to connect? から Use my Internet connection(VPN) を選択します。

Use my Internet.png

(3) Do you want to set up an Internet connection before continuing? から I’ll set up an Internet connection later を選択します。

setup-later.png

(4) Internet address にはルータの外部向けインタフェースの IP アドレス(本件では 192.168.56.21)を設定し、Create をクリックします。

Internet-IP.png

(5) Network and Sharing Center > Change Adapter and settings から上記で作成された L2TP を右クリックし、Properties を開きます。

Property.png

(6) Type of VPN Layer 2 Tunneling Protocol with IPsec(L2TP/IPsec)を選択し、Allow these protocols から CHAPMS-CHAP v2 を選択します。また Advanced Settings から Use certificate for authentication を選択します。

Config-cert.png

上記より Windows10 L2TP over IPsec を証明書認証により接続するための設定が完了します。

七、確認

L2TP を右クリックし Connect/Disconnect を選択します。

VPNメニューから L2TP Connect すると、必要なユーザ情報 (本件では User1 / Cisco123) を入力後 L2TP over IPsec が接続できるのが確認できます。

 confirm.png

三、参考文献

[1] OpenSSL CAが発行した証明書をシスコルータとWindows10にインポートする

https://community.cisco.com/t5/-/-/ta-p/4273605