Re: ルータで仮想IP-VPN網を作りたい

tomo456 · ‎2018-11-22

IP-VPNで2拠点間通信するルータを構築いたしました。
LAN型払い出しを設定しておりWAN側のインターフェースにはIPアドレスがない状態です。
これら2台が正しく設定されているか通信テストを行いたいと考えています。

その通信テスト用にルータで仮想IP-VPN網を構築したいと考えております。
使用ルータは以下
仮想IP-VPN網を構築したいルータ：Cisco 891F

どのように設定すればよいのでしょうか。

可能であれば、Configを作成していただけませんでしょうか。

shimenoy · ‎2018-11-26

tomo456さん、こんにちは :)

[ルータ1]---[Cisco891F]---[ルータ2]

という構成で、Cisco891FをPPPoEサーバとして動作させたい…という認識であってますでしょうか？
それでしたら、

[ルータ1]
払い出すIP: 1.1.1.1
ユーザ名/パスワード: user1@hoge.ne.jp / user1pass

c891Fのgi0に接続(VLAN1)

[ルータ2]
払い出すIP: 2.2.2.2
ユーザ名/パスワード: user2@hoge.ne.jp / user2pass

c891Fのgi1に接続(VLAN2)

みたいなシナリオを想定しますと…

aaa new-model
!
!
aaa authentication ppp PPP local
aaa authorization network default local
!
aaa attribute list USER1_LIST
 attribute type addr 1.1.1.1 service ppp protocol ip
!
aaa attribute list USER2_LIST
 attribute type addr 2.2.2.2 service ppp protocol ip
!
!
username user1@hoge.ne.jp password 0 user1pass
username user1@hoge.ne.jp aaa attribute list USER1_LIST
username user2@hoge.ne.jp password 0 user2pass
username user2@hoge.ne.jp aaa attribute list USER2_LIST
!
!
bba-group pppoe PPPoE1
 virtual-template 1
!
bba-group pppoe PPPoE2
 virtual-template 2
!
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 switchport access vlan 2
 no ip address
!
!
interface Virtual-Template1
 ip address 1.1.1.254 255.255.255.0
 ppp authentication pap chap PPP
!
interface Virtual-Template2
 ip address 2.2.2.254 255.255.255.0
 ppp authentication pap chap PPP
!
!
interface Vlan1
 no ip address
 pppoe enable group PPPoE1
!
interface Vlan2
 no ip address
 pppoe enable group PPPoE2
!

最低限のconfigになりますが、こんな感じになるかと思います。

実際に払い出したいIPやusername/passwordなどは実際の環境にあわせて変更してみてください。

また ppp authenticationは上記ではpap, chapとしていますが、要件に応じて変更ください。

tomo456 · ‎2018-11-27

shimenoy様

ご回答ありがとうございます。

「Cisco891FをPPPoEサーバとして動作させたい」という認識で合っています。

こちらの設定したものの、[ルータ1]-[ルータ2]間でpingが通りません。

何か追加で設定しなければいけないのでしょうか？

なお、両ルータからCisco891Fへはpingが通ります。

shimenoy · ‎2018-11-27

恐らく、その状況でしたらルータ1およびルータ2にルーティングが無いのではと思います。
そうだとして、それぞれがciscoのルータだとすると…

ip route 0.0.0.0 0.0.0.0 dialer1
のようにデフォルトゲートウェイを設定するとか、
ルータ1側だとしたら
ip route (ルータ2側に払い出すIP) (そのマスク) dialer1

みたいな形で設定してみて下さい。

その後は、それぞれのLAN側同士で疎通がとれない…という問題に当たるかもしれませんが、
まずは同様にルーティングを疑ってみると良いかと思います。

tomo456 · ‎2018-11-28

shimenoy様

ご回答ありがとうございます。

また、何度も質問してしまい申し訳ございません。

追加情報といたしまして、ルータ1&2はヤマハのRTX830を使用しております。
（最初に記載しておらず、申し訳ありません。）
以下、2つのconfigを作成し、通信テストを行ってみましたが、やはり2ルータ間でpingは通らず。

設定ミスや気付いた点があれば教えて頂けますでしょうか。

●検証1　→shimenoy様にご回答いただいた内容を参考に作成したconfig

aaa new-model
!
aaa attribute list A
attribute type addr 192.168.100.1 service ppp protocol ip
!
aaa attribute list B
attribute type addr 192.168.0.1 service ppp protocol ip
!
username test1@test.com password 0 test1
username test1@test.com aaa attribute list A
username test2@test.com password 0 test2
username test2@test.com aaa attribute list B
!
!
bba-group pppoe PPPoE1
virtual-template 1
!
bba-group pppoe PPPoE2
virtual-template 2
!
!
interface GigabitEthernet1
switchport access vlan 1
no ip address
no shut
!
interface GigabitEthernet2
switchport access vlan 2
no ip address
no shut
!
!
interface Virtual-Template1
ip address 192.168.100.254 255.255.255.0
ppp authentication pap chap PPP
no shut
!
interface Virtual-Template2
ip address 192.168.0.254 255.255.255.0
ppp authentication pap chap PPP
no shut
!
!
interface Vlan10
no ip address
pppoe enable group PPPoE1
no shut
!
interface Vlan20
no ip address
pppoe enable group PPPoE2
no shut

●検証2　→私が独自で作成したconfig

vlan 10
vlan 20
!
username test1@test.com password 0 test1
username test2@test.com password 0 test2
!
bba-group pppoe pppoe1
virtual-template 1
!
bba-group pppoe pppoe2
virtual-template 2
!
!
interface Loopback1
ip address 10.10.1.1 255.255.255.255
no shut
!
interface Loopback2
ip address 10.10.1.2 255.255.255.255
no shut
!
interface GigabitEthernet1
switchport access vlan 10
no shut
!
interface GigabitEthernet2
switchport access vlan 20
no shut
!
interface Virtual-Template1
mtu 1454
ip unnumbered Loopback1
peer default ip address pool pool1
ppp authentication pap chap
no shut
!
interface Virtual-Template2
mtu 1454
ip unnumbered Loopback2
peer default ip address pool pool2
ppp authentication pap chap
no shut
!
interface Vlan 10
no ip address
pppoe enable group pppoe1
no shut
!
interface Vlan 20
no ip address
pppoe enable group pppoe2
no shut
!
ip local pool pool1 192.168.100.1
ip local pool pool2 192.168.0.1

・ルータ1&2のconfigも載せます。(一応、相手側のゲートウェイを指定しております。)
●ルータ1
ip route 192.168.1.0/24 gateway pp 1
ip lan1 address 192.168.100.1/24
pp select 1
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname test1@test.com test1
ppp lcp mru on 1454
ppp ccp type none
pp enable 1
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
dns host lan1
dns private address spoof on

●ルータ2
ip route 192.168.100.0/24 gateway pp 1
ip lan1 address 192.168.0.1/24
pp select 1
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname test2@test.com test2
ppp lcp mru on 1454
ppp ccp type none
pp enable 1
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.2-192.168.0.191/24
dns host lan1
dns private address spoof on

shimenoy · ‎2018-11-29

> ●ルータ1
> ip route 192.168.1.0/24 gateway pp 1
↓
ip route 192.168.0.0/24 gateway pp 1

に変更すると…どうでしょうか？

tomo456 · ‎2018-12-03

shimenoy様
返信が遅くなってしまい申し訳ありません。

shimenoy様のご提案していただいたConfigにて、通信テスト成功いたしました。
ご協力ありがとうございました。

もう1点伺いたいのですが、よろしいでしょうか？

この構成に、インターネット向け通信をする「ルータ3」を加える場合、
どのような追加コマンドが必要でしょうか？

以下のような設定でお願いします。

・VPN通信をしているルータ1&2とはパケットが混じらない。
・ルータ1&2間のVPNはCISCO 891Fを使用して、仮想的なVPN環境でテストしているが、
　「ルータ3」に関しては、実際のプロバイダ契約を使用してインターネットへ通信できるかテストする。
　

何度も、質問してしまい申し訳ないのですが、御教授頂けませんでしょうか。