2019-09-06 12:56 PM
いつもお世話になっております。表題の件で困っており、
解決の糸口だけでもご教授頂けたらと投稿させて頂きます。
本社、支社とも841Mを使用してIPSECでのVPN接続をしようとしています。
本社、支社ともに別々のプロバイダを契約してインターネットへ接続しておりますが、
本社側のみ固定のグローバルIPアドレスを持ち、支社は動的IPアドレスの為、
アグレッシブモードでの接続をしようとしています。
下記設定にて、IPSECの接続はできているようなのですが、
本社、支社の内部アドレス間の疎通が通らない状況です。
(本社の内部PCから支社の内部PCにpingが通らない。
ただし、本社の内部PCから支社ルータの内部側アドレスにはpingが通る)
解決のヒントだけでも頂けたらと思います。
どうぞ、よろしくお願い致します。
【本社側設定】
!
crypto isakmp policy 1
encr aes 256
hash sha256
authentication pre-share
group 5
lifetime 1800
crypto isakmp key xxxxxxxx hostname C841M-02.xxx.co.jp
crypto isakmp keepalive 3600 periodic
!
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha256-hmac
mode tunnel
!
crypto dynamic-map IPSEC-DMAP 10
set security-association lifetime seconds 1200
set transform-set IPSEC
!
!
crypto map IPSEC-MAP 1 ipsec-isakmp dynamic IPSEC-DMAP
!
interface GigabitEthernet0/4
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Vlan1
ip address 151.3.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Dialer1
mtu 1454
ip address negotiated
ip nat outside
ip virtual-reassembly in
encapsulation ppp
ip tcp adjust-mss 1414
dialer pool 1
dialer idle-timeout 0
dialer-group 1
ppp authentication chap callin
ppp chap hostname id@isp01.ne.jp
ppp chap password 0 isp01pass
ppp ipcp dns request accept
crypto map IPSEC-MAP
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list ACL-nat interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1 permanent
!
ip access-list extended ACL-ipsec
permit ip 192.168.12.0 0.0.0.255 151.3.1.0 0.0.0.255
ip access-list extended ACL-nat
deny ip 151.3.1.0 0.0.0.255 192.168.12.0 0.0.0.255
permit ip 151.3.1.0 0.0.0.255 any
!
dialer-list 1 protocol ip permit
!
【支社側設定】
!
crypto isakmp policy 1
encr aes 256
hash sha256
authentication pre-share
group 5
lifetime 1800
crypto isakmp keepalive 3600 periodic
!
crypto isakmp peer address aaa.bbb.ccc.ddd
set aggressive-mode password xxxxxxxx
set aggressive-mode client-endpoint user-fqdn C841M-02.xxx.co.jp
!
!
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha256-hmac
mode tunnel
!
crypto map IPSEC-MAP 1 ipsec-isakmp
set peer aaa.bbb.ccc.ddd
set security-association lifetime seconds 1200
set transform-set IPSEC
match address ACL-ipsec
!
interface GigabitEthernet0/4
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Vlan1
ip address 192.168.12.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Dialer1
mtu 1454
ip address negotiated
ip nat outside
ip virtual-reassembly in
encapsulation ppp
ip tcp adjust-mss 1414
dialer pool 1
dialer idle-timeout 0
dialer-group 1
ppp authentication chap callin
ppp chap hostname id@isp02.ne.jp
ppp chap password 0 isp02pass
ppp ipcp dns request accept
crypto map IPSEC-MAP
!
ip nat inside source list ACL-nat interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1 permanent
!
ip access-list extended ACL-ipsec
permit ip 192.168.12.0 0.0.0.255 151.3.1.0 0.0.0.255
ip access-list extended ACL-nat
deny ip 192.168.12.0 0.0.0.255 151.3.1.0 0.0.0.255
permit ip 192.168.12.0 0.0.0.255 any
!
dialer-list 1 protocol ip permit
2019-12-15 11:07 AM 2019-12-15 11:10 AM 更新
こんにちは!
以下設定の下に、match address設定がないのが原因の可能性ないかなー、と思いました。
crypto dynamic-map IPSEC-DMAP 10
match address ACL-ipsec <--- 追加
あと、本社側のACL-ipsecは、送信元と宛先が逆になってるので変更が必要だと思います。
ip access-list extended ACL-ipsec
permit ip 192.168.12.0 0.0.0.255 3.1.0 0.0.0.255
↓
ip access-list extended ACL-ipsec
permit ip 151.3.1.0 0.0.0.255 192.168.12.0 0.0.0.255
他、VPN設定や動作確認の細かい点は以下ブログとか参考に設定して頂くと良いのかな、と思いました。
https://www.infraexpert.com/study/ipsec24.html
http://www.mustbegeek.com/configure-ipsec-vpn-with-dynamic-ip-in-cisco-ios-router/#.XfWS0yBS9Go
http://www.firewall.cx/cisco-technical-knowledgebase/cisco-routers/936-cisco-router-vpn-dynamic-endpoint.html
あと、本件の接続問題とは直接関係ないと思いますが、グローバルIPを社内LANに使うのは、お行儀上も セキュリティ上も良くないと思います (汗) 以下ツールで確認すると、151.3.1.0はイタリア用に割り当てられている グローバルIPアドレスだと思われます。。VPN設定とか間違えると内部LANの151.3.1.xx宛のパケットがグローバル側にルーティングされてしまい情報流出の原因になることもありますので セキュリティ上もよろしくなく、どこかで本社側はローカルIPアドレスに切り替えてあげたほうがいいのでは、と思いました。(※仮に本件がイタリアの拠点ルーターの話で正規利用だったらごめんなさい!)
https://www.iplocation.net/
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド