C841M同士の拠点間IPSec接続について

yasuda7772 · ‎2016-02-24

本社にC841M-4X-JAIS/K9、支店にC841M-4X-JSEC/K9を設置してIPSecでVPN接続したいと考えています。

将来的には、支店を増やすこととandroidやiPhoneからも接続できるようにする予定です。

本社は固定のグローバルアドレスをもっていますが、支店は固定していません。

そのためにアグレッシブモードで設定をしていますが、上手くいきません。

参考にしたサイトは下記の2つと個人のブログなどです。

http://www.cisco.com/cisco/web/support/JP/102/1020/1020021_ipsec_lantolan.html

http://www.cisco.com/cisco/web/support/JP/102/1022/1022131_initaggr-j.html

サポートに問い合わせもしたのですが、どこを変更するのかがイマイチ良く分かりません。

2つ目のページのconfigの変更でおかしなところはありますか？

支店側のルーター

crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp keepalive 30 5
!
crypto isakmp peer address 14.38.69.71　　　(本社のグローバルIP)
set aggressive-mode password cisco123　　　(事前共有キー)
set aggressive-mode client-endpoint ipv4-address 14.38.69.70

　　←これが分かりません、ルーター名をFQDNで指定するのでは？
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map mymap 1 ipsec-isakmp
set peer 14.38.69.71　　　　　　　　　　　(本社のグローバルIP)
set transform-set myset
match address 100
!
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.0　　　　　　(支店のLAN側ネットワーク)
!
interface Ethernet0/0
ip address 14.38.69.70 255.255.0.0　　　　　(no ip address)
half-duplex　　　　　　　　　　　　　　　　(duplex auto)
crypto map mymap
!
ip classless
ip route 0.0.0.0 0.0.0.0 14.38.69.71　　　　　　(本社のグローバルIP)
ip http server
!
access-list 100 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255   (支店のLAN側NW 本社のLAN側NW)
!
call rsvp-sync
!

本社側のルーター

crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 14.38.69.70

　　　←cisco123は事前共有キーで、相手のアドレスは可変だからFQDNで指定する？
crypto isakmp keepalive 30 5
!

crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto dynamic-map mymap 10
set transform-set myset
!
!
crypto map mainmap 1 ipsec-isakmp dynamic mymap
!
!
!
interface Loopback0
ip address 2.2.2.2 255.255.255.0　　　(本社のLAN側NW)
!
interface FastEthernet0/0
ip address 14.38.69.71 255.255.0.0　　　(本社のグローバルIP)
duplex auto
speed auto
crypto map mainmap
!
ip classless
ip route 0.0.0.0 0.0.0.0 14.38.69.70　　　(支店のグローバルIP？FQDN？)
no ip http server
!
!

全然的外れな質問かもしれませんが、解決になるヒントでも教えていただけたらと思います。

よろしくお願いします。

CiscoJapanModerator · ‎2016-02-25

yasuda7772 様

ご質問内容を確認したところ、投稿先はルーティングではなく、仮想プライベートネットワーク (VPN)になります。今回は Cisco Start ルータをご使用頂いておりますので、ディスカッションを Cisco Start ルータへ移動させて頂きました。

サポートコミュニティ事務局

yasuda7772 · ‎2016-03-08

回答有難うございます。

現在、ルーターの設定画面に入って移動しているとインターネット接続が落ちてしまう状態です。

サポートに投げていますが、全く解決しないのでテストもできません。

インターネット接続もダウンロード速度は出ていますが、応答が非常に悪いですし、このルーターはBUFFALOの3000円のルーターにも劣るのではないかと思います。

買って失敗ですが、とりあえず投げ出してしまうのは嫌なのでしつこくサポートと連絡します。

それが解決したら改めてVPNのテストをします。

xxxAnzielxxx · ‎2016-03-01

お世話になります。

・支店側のルーター

支店側ルーター自身のＦＱＤＮを指定する。

set aggressive-mode client-endpoint ipv4-address 14.38.69.70

⇒set aggressive-mode client-endpoint fqdn <名前>
　　※名前はなんでも良いです。(例：branch1.com)

・本社側のルーター

支店側ルーターのＦＱＤＮを指定する。

crypto isakmp key cisco123 address 14.38.69.70

⇒crypto isakmp key cisco123 hostname <名前>

ルーティング設定

ip route 0.0.0.0 0.0.0.0 14.38.69.70

⇒ip route 0.0.0.0 0.0.0.0 FastEthernet0/0

細かい設定までは見切れていませんが・・。

yasuda7772 · ‎2016-03-08