キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

 AMATopBanner2021.4.23.JPG

 2021Apr.TopBanner.JPG

 

729
閲覧回数
0
いいね!
1
返信
M.Takano8616
Beginner

841MによるIPSEC接続(アグレッシブモード)

いつもお世話になっております。表題の件で困っており、

解決の糸口だけでもご教授頂けたらと投稿させて頂きます。

 

本社、支社とも841Mを使用してIPSECでのVPN接続をしようとしています。

本社、支社ともに別々のプロバイダを契約してインターネットへ接続しておりますが、

本社側のみ固定のグローバルIPアドレスを持ち、支社は動的IPアドレスの為、

アグレッシブモードでの接続をしようとしています。

 

下記設定にて、IPSECの接続はできているようなのですが、

本社、支社の内部アドレス間の疎通が通らない状況です。

(本社の内部PCから支社の内部PCにpingが通らない。

ただし、本社の内部PCから支社ルータの内部側アドレスにはpingが通る)

 

解決のヒントだけでも頂けたらと思います。

どうぞ、よろしくお願い致します。

 

【本社側設定】
!
crypto isakmp policy 1
 encr aes 256
 hash sha256
 authentication pre-share
 group 5
 lifetime 1800
crypto isakmp key xxxxxxxx hostname C841M-02.xxx.co.jp
crypto isakmp keepalive 3600 periodic
!
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha256-hmac
 mode tunnel
!
crypto dynamic-map IPSEC-DMAP 10
 set security-association lifetime seconds 1200
 set transform-set IPSEC
!
!
crypto map IPSEC-MAP 1 ipsec-isakmp dynamic IPSEC-DMAP
!
interface GigabitEthernet0/4
 no ip address
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface Vlan1
 ip address 151.3.1.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface Dialer1
 mtu 1454
 ip address negotiated
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1414
 dialer pool 1
 dialer idle-timeout 0
 dialer-group 1
 ppp authentication chap callin
 ppp chap hostname id@isp01.ne.jp
 ppp chap password 0 isp01pass
 ppp ipcp dns request accept
 crypto map IPSEC-MAP
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list ACL-nat interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1 permanent
!
ip access-list extended ACL-ipsec
 permit ip 192.168.12.0 0.0.0.255 151.3.1.0 0.0.0.255
ip access-list extended ACL-nat
 deny   ip 151.3.1.0 0.0.0.255 192.168.12.0 0.0.0.255
 permit ip 151.3.1.0 0.0.0.255 any
!
dialer-list 1 protocol ip permit
!

 

【支社側設定】
!
crypto isakmp policy 1
 encr aes 256
 hash sha256
 authentication pre-share
 group 5
 lifetime 1800
crypto isakmp keepalive 3600 periodic
!
crypto isakmp peer address aaa.bbb.ccc.ddd
 set aggressive-mode password xxxxxxxx
 set aggressive-mode client-endpoint user-fqdn C841M-02.xxx.co.jp
!
!
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha256-hmac
 mode tunnel
!
crypto map IPSEC-MAP 1 ipsec-isakmp
 set peer aaa.bbb.ccc.ddd
 set security-association lifetime seconds 1200
 set transform-set IPSEC
 match address ACL-ipsec
!
interface GigabitEthernet0/4
 no ip address
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface Vlan1
 ip address 192.168.12.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface Dialer1
 mtu 1454
 ip address negotiated
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1414
 dialer pool 1
 dialer idle-timeout 0
 dialer-group 1
 ppp authentication chap callin
 ppp chap hostname id@isp02.ne.jp
 ppp chap password 0 isp02pass
 ppp ipcp dns request accept
 crypto map IPSEC-MAP
!
ip nat inside source list ACL-nat interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1 permanent
!
ip access-list extended ACL-ipsec
 permit ip 192.168.12.0 0.0.0.255 151.3.1.0 0.0.0.255
ip access-list extended ACL-nat
 deny   ip 192.168.12.0 0.0.0.255 151.3.1.0 0.0.0.255
 permit ip 192.168.12.0 0.0.0.255 any
!
dialer-list 1 protocol ip permit

 

1件の返信1
Akira Muranaka
Rising star

こんにちは!

以下設定の下に、match address設定がないのが原因の可能性ないかなー、と思いました。
crypto dynamic-map IPSEC-DMAP 10
match address ACL-ipsec <--- 追加

あと、本社側のACL-ipsecは、送信元と宛先が逆になってるので変更が必要だと思います。
ip access-list extended ACL-ipsec
permit ip 192.168.12.0 0.0.0.255 3.1.0 0.0.0.255
        ↓
ip access-list extended ACL-ipsec
permit ip 151.3.1.0 0.0.0.255 192.168.12.0 0.0.0.255

他、VPN設定や動作確認の細かい点は以下ブログとか参考に設定して頂くと良いのかな、と思いました。
https://www.infraexpert.com/study/ipsec24.html
http://www.mustbegeek.com/configure-ipsec-vpn-with-dynamic-ip-in-cisco-ios-router/#.XfWS0yBS9Go
http://www.firewall.cx/cisco-technical-knowledgebase/cisco-routers/936-cisco-router-vpn-dynamic-endpoint.html

あと、本件の接続問題とは直接関係ないと思いますが、グローバルIPを社内LANに使うのは、お行儀上も セキュリティ上も良くないと思います (汗) 以下ツールで確認すると、151.3.1.0はイタリア用に割り当てられている グローバルIPアドレスだと思われます。。VPN設定とか間違えると内部LANの151.3.1.xx宛のパケットがグローバル側にルーティングされてしまい情報流出の原因になることもありますので セキュリティ上もよろしくなく、どこかで本社側はローカルIPアドレスに切り替えてあげたほうがいいのでは、と思いました。(※仮に本件がイタリアの拠点ルーターの話で正規利用だったらごめんなさい!)
https://www.iplocation.net/

Content for Community-Ad




このウィジェットは表示できません。