Re: Cisco 841M 動的ＩＰでのＶＰＮ接続について（Tunnelモード）

maesawa01 · ‎2016-05-16

841M同士でのインターネット経由VPNを構築しています。

ネットワーク構成としては、本社・・・固定IP、支店・・・動的IPとなります。

本社側に複数のネットワークセグメントがある為、トンネルモードにて構築を行っています。

本社側にて、支店側の静的IPを、「 tunnel destination 1.1.1.2」の様に指定すればVPNは

アップします。

質問としては、動的IP拠点が宛先の場合のTunnelでの指定方法となります。

以下が双方のコンフィグの関係部分の抜粋です。

※Configは「CCP Express 3.1初期設定ガイド(WAN/LAN)」、

　「CCP Express 3.1スタティックVPN簡単設定ガイド」をベースに基本を作成し修正を

　多少加えています。

支店側Config＜抜粋＞

crypto ikev2 keyring key
peer SITE-KEY
address 1.1.1.1

<------ 本社側グローバルIP
identity address 1.1.1.1

<------ 本社側グローバルIP
pre-shared-key shkey
!
crypto ikev2 profile prof
match identity remote address 1.1.1.1 255.255.255.255
identity local email shoko@domain.com

<------IPアドレスが不定なのでメールアドレスを指定

!
interface Tunnel0
ip address 172.16.0.2 255.255.0.0
zone-member security VPN
tunnel source GigabitEthernet0/4
tunnel mode ipsec ipv4
tunnel destination 1.1.1.1
<------ 本社側グローバルIP

tunnel protection ipsec profile test_profile
!

本社側Config＜抜粋＞

crypto ikev2 keyring key

peer SITE-KEY
identity email siten@domain.com

<-------------- 支店をメールアドレスで特定
pre-shared-key shkey

crypto ikev2 profile prof
match identity remote email siten@domain.com
<-------------- 支店をメールアドレスで特定

interface Tunnel0
ip address 172.16.0.1 255.255.0.0
zone-member security VPN
tunnel source GigabitEthernet0/4
tunnel mode ipsec ipv4
tunnel destination x.x.x.x

<--------------- 拠点側は固定IPでは無いのでこの記述は出来ない。
tunnel protection ipsec profile test_profile

Keiichi Yoshino · ‎2016-05-25

ご要望のソリューションとしてはDMVPNをご利用頂くのが最も簡単な方法となります。
DMVPNは、マルチポイント(多拠点)間で動的にVPNを構築するソリューションですが、
- Hub側(本社機能のある拠点等)では固定IPアドレス契約。
- Spoke側(多数の拠点・営業所等)では動的IPアドレス契約。
というシナリオを想定しております。

DMVPNはmGREおよびNHRPを二つの主要な機能として利用します。
複数のSpokeとHub間を接続する為にmGREインターフェースが利用されます。
DMVPN環境下ではトンネルインターフェース上に"tunnel destination"を指定する必要がなく、Hub側ではNHRP（Next Hop Resolution Protocol）を利用してSpokeの宛先トンネルアドレスを取得します。
その為、Spoke側でFTTHやADSLといったサービスを利用してダイナミックにアドレスを取得する場合でも、NHRPによりIP-to-NBMAのアドレスマッピングが自動的に行われ、Spoke-to-HubのIPSec VPNトンネルを構築することが可能です。

設定は、下記ドキュメントをご参考ください。
http://www.cisco.com/cisco/web/support/JP/102/1020/1020023_dmvpn_ipsec_vpn.html
https://supportforums.cisco.com/ja/document/12605301

hirohase · ‎2017-12-10

こんな感じではどうでしょうか？

<本社側Config>
crypto ikev2 keyring key
peer SITE-KEY
identity email siten@domain.com
pre-shared-key shkey
!
peer SITE-KEY2
identity email siten2@domain.com
pre-shared-key CC1E50xxx

crypto ikev2 profile prof
match identity remote email siten@domain.com
match identity remote email siten2@domain.com
authentication local pre-share
authentication remote pre-share
keyring local key
virtual-template 1

crypto ipsec transform-set DES-MD5 ah-md5-hmac esp-des
mode tunnel

crypto ipsec profile IPSEC-PROF
set transform-set DES-MD5
set ikev2-profile prof

interface Loopback0
ip address 172.16.0.1 255.255.255.0

interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
ip ospf 1 area 0
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC-PROF

<支店側Config>
crypto ikev2 keyring key
peer SITE-KEY
address 1.1.1.1
pre-shared-key shkey

crypto ikev2 profile prof
match identity remote address 1.1.1.1 255.255.255.255
identity local email siten@domain.com
authentication local pre-share
authentication remote pre-share
keyring local key

crypto ipsec transform-set DES-MD5 ah-md5-hmac esp-des
mode tunnel

crypto ipsec profile IPSEC-PROF
set transform-set DES-MD5
set ikev2-profile prof

interface Loopback0
ip address 172.16.0.2 255.255.255.0

interface Tunnel0
ip unnumbered Loopback0
ip ospf 1 area 0
tunnel source GigabitEthernet0/4
tunnel mode ipsec ipv4
tunnel destination 1.1.1.1
tunnel protection ipsec profile IPSEC-PROF