購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
2744
閲覧回数
10
いいね!
2
返信

VPN接続後のインターネット接続方法

解決策を見る
asahidamo
Level 1
Level 1

‎2021-07-20 06:25 PM

ご相談です。
Cisco 841Mを利用しており、今回VPNの設定を追加し外部からこのNWに入り、インターネットに出ていきたいです。
そこでVPN設定⇒ユーザ作成などを実施しました。
現状、このNWに外部から繋ぐことは出来るのですが、インターネットに出ていきません。
様々なサイトを参考にしたのですが変わらず。


下記configです。
どこを改善すれば外部NWからVPN経由でインターネット閲覧できるようになるかご教示いただけないでしょうか。
====================
hostname AAAAAAA
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login local_access local
aaa authentication ppp default local
aaa authentication ppp VPDN_AUTH local
!
!
!
!
(省略)
!
!
ip dhcp excluded-address XXX.XXX.XXX.XXX
!
ip dhcp pool dev-team
import all
network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
default-router XXX.XXX.XXX.XXX
dns-server XXX.XXX.XXX.XXX YYY.YYY.YYY.YYY
lease 7
!
!
!
no ip domain lookup
ip domain name yourdomain.com
ip inspect log drop-pkt
ip inspect audit-trail
ip inspect name CBAC tcp
ip inspect name CBAC udp
ip inspect name CBAC ftp
ip cef
no ipv6 cef
!
!
flow record nbar-appmon
match ipv4 source address
match ipv4 destination address
match application name
collect interface output
collect counter bytes
collect counter packets
collect timestamp absolute first
collect timestamp absolute last
!
!
flow monitor application-mon
cache timeout active 60
record nbar-appmon
!
parameter-map type inspect global
log dropped-packets enable
max-incomplete low 18000
max-incomplete high 20000
nbar-classify
!
vpdn enable
!
vpdn-group L2TP
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication
!
license udi pid C841M-4X-JSECK9 sn FGL214890XK
!
!
object-group service INTERNAL_UTM_SERVICE
!
object-group network Others_dst_net
any
!
object-group network Others_src_net
any
!
object-group service Others_svc
ip
!
object-group network Web_dst_net
any
!
object-group network Web_src_net
any
!
object-group service Web_svc
ip
!
object-group network allapps_dst_net
any
!
object-group network allapps_src_net
any
!
object-group service allapps_svc
ip
!
object-group network local_cws_net
!
object-group network local_lan_subnets
192.168.0.0 255.255.255.0
!
object-group network vpn_dst_net
any
!
object-group network vpn_remote_subnets
any
!
object-group network vpn_src_net
any
!
object-group service vpn_svc
ip
!

username XXX privilege 0 password 0 XXXXX
!
redundancy
!
!
!
!
no cdp run
!
!
class-map type inspect match-any INTERNAL_DOMAIN_FILTER
match protocol msnmsgr
match protocol ymsgr
class-map type inspect match-any Others_app
match protocol https
match protocol smtp
match protocol pop3
match protocol imap
match protocol sip
match protocol ftp
match protocol dns
match protocol icmp
class-map type inspect match-all vpn
match access-group name vpn_acl
class-map type inspect match-any Web_app
match protocol http
class-map type inspect match-all allapps
match access-group name allapps_acl
class-map type inspect match-all Others
match class-map Others_app
match access-group name Others_acl
class-map type inspect match-all Web
match class-map Web_app
match access-group name Web_acl
!
policy-map type inspect LAN-WAN-POLICY
class type inspect allapps
inspect
class type inspect Web
inspect
class type inspect Others
inspect
class type inspect INTERNAL_DOMAIN_FILTER
inspect
class class-default
drop log
policy-map type inspect VPN-LAN-POLICY
class type inspect vpn
inspect
class type inspect INTERNAL_DOMAIN_FILTER
inspect
class class-default
drop log
!
zone security LAN
zone security WAN
zone security VPN
zone security DMZ
zone-pair security LAN-WAN source LAN destination WAN
service-policy type inspect LAN-WAN-POLICY
zone-pair security VPN-LAN source VPN destination LAN
service-policy type inspect VPN-LAN-POLICY
!
crypto keyring L2TP
pre-shared-key address 0.0.0.0 0.0.0.0 key 12345
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 28800
crypto isakmp keepalive 3600
!
!
crypto ipsec transform-set TS1 esp-aes esp-sha-hmac
mode transport
!
!
!
crypto dynamic-map DYN_MAP 10
set nat demux
set transform-set TS1
!
!
crypto map CRYP_MAP 6000 ipsec-isakmp dynamic DYN_MAP
!
!
!
!
!
interface GigabitEthernet0
no ip address
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
no ip address
!
interface GigabitEthernet3
no ip address
!
interface GigabitEthernet4
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet5
description PrimaryWANDesc_WAN
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
ip nat outside
ip virtual-reassembly in
zone-member security WAN
duplex auto
speed auto
crypto map CRYP_MAP
!
interface Virtual-Template1
ip unnumbered GigabitEthernet5
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly in
load-interval 30
peer default ip address pool IGP-ENG-VPN
ppp mtu adaptive
ppp authentication ms-chap-v2 VPDN_AUTH
!
interface Vlan1
description LAN
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
ip nbar protocol-discovery
ip flow monitor application-mon input
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly in
zone-member security LAN
ip tcp adjust-mss 1452
load-interval 30
!
ip local pool XXX-(VPN) XXX.XXX.XXX.200 XXX.XXX.XXX.220
ip forward-protocol nd
ip http server
ip http upload enable path flash:
ip http upload overwrite
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source list 23 interface GigabitEthernet5 overload
ip nat inside source list nat-list interface GigabitEthernet5 overload
ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
!
ip access-list extended Others_acl
permit object-group Others_svc object-group Others_src_net object-group Others_dst_net
ip access-list extended Web_acl
permit object-group Web_svc object-group Web_src_net object-group Web_dst_net
ip access-list extended allapps_acl
permit object-group allapps_svc object-group allapps_src_net object-group allapps_dst_net
ip access-list extended nat-list
permit ip object-group local_lan_subnets any
deny ip object-group local_lan_subnets object-group vpn_remote_subnets
permit ip any any
deny ip any any
ip access-list extended vpn_acl
permit object-group vpn_svc object-group vpn_src_net object-group vpn_dst_net
!
!
!
access-list 23 permit 192.168.0.0 0.0.0.255
!
!
!
!
line con 0
login authentication local_access
no modem enable
line vty 0 4
access-class 23 in
privilege level 15
login authentication local_access
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
transport input telnet ssh
!
end
==============================

ラベル:
0 いいね!
1 件の受理された解決策

受理された解決策

解決策を見る
cja56910tf
VIP
VIP

‎2021-08-01 07:35 PM

こんばんは。

まず、投稿されたコンフィグを見ると、CBAC or ZBFWを使用されているようですので、まずこちらを一時的に外して、期待した動作になるかを確認下さい。

また、NATの処理順序は考慮された設定になっていますでしょうか。

通信フローによって処理順序が異なりますので、下記サイトをご覧いただき、ルーティングテーブル的に意図したインターフェースに出力されるかやACLがNAT対象パケットを適切に指定出来ているかを再確認下さい。

https://www.infraexpert.com/study/nat7.htm

https://www.cisco.com/c/ja_jp/support/docs/ip/network-address-translation-nat/6209-5.html

 

次に、恐らくVPN接続を行うWANルータでインターネット側へのヘアピン(Hairpin)通信を実現したいのだと思いますので、いわゆるVPN on a Stick (NAT on a Stick)が解決方法ではないかと思われます。

ASAでの経験/ノウハウはありますが、ルータではやったことがないので、これという回答は提示できませんが、上記用語をインターネットで検索していただくか、下記サイトが参考になると思いますので、一読いただければと思います。

https://zassoul.blogspot.com/2018/05/nat-on-stick.html

https://www.cisco.com/c/en/us/support/docs/security/vpn-client/71461-router-vpnclient-pi-stick.html

元の投稿で解決策を見る

2件の返信2

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2021-07-28 10:34 PM

こんばんは! 外部からというのは、例えば リモート端末がインターネットから 一旦ルーターにアクセスしてから、そのルーター経由でインターネットにアクセスしたいということでしょうか?

 

私の経験不足で知らないだけかもなのですが、通常はスプリットトンネルという技術を使い、リモート端末からダイレクトにインターネットアクセスさせるのが一般的かと思います。ルーターを経由してしまうと、ルーターはその通信を折り返す際、InputとOutputの両方の帯域を使うため性能が下がってしまうためです。

 

IOSルーターでもスプリットトンネルは使えたと思いますが、設定が結構難しかったり情報が少ないので、私も試したことありません。試してみたい場合は、かなり古い資料ですが以下ドキュメントが参考になると思います。

https://www.cisco.com/c/en/us/support/docs/routers/3600-series-multiservice-platforms/91193-rtr-ipsec-internet-connect.html

 

設定に詳しくなかったり時間がない場合は、リモートアクセスVPN終端専用機のASAとAnyConnectを別途導入して利用したほうが早いと思います。ASAは専用機なことも有、スプリットトンネルの情報もたくさんあり、設定はGUIから簡単にできます。また、FQDNのスプリットトンネルも可能です。

https://www.cisco.com/c/ja_jp/support/docs/security/asa-5500-x-series-next-generation-firewalls/70917-asa-split-tunnel-vpn-client.html

https://www.cisco.com/c/ja_jp/support/docs/security/anyconnect-secure-mobility-client/215383-asa-anyconnect-dynamic-split-tunneling.html

 

スプリットトンネルやASAを使いたくない場合は、社内にProxyサーバーを立てて、リモート端末はまずProxyにアクセスしてからProxyで折り返してインターネットに出てくのが良いのではと思います。

解決策を見る
cja56910tf
VIP
VIP

‎2021-08-01 07:35 PM

こんばんは。

まず、投稿されたコンフィグを見ると、CBAC or ZBFWを使用されているようですので、まずこちらを一時的に外して、期待した動作になるかを確認下さい。

また、NATの処理順序は考慮された設定になっていますでしょうか。

通信フローによって処理順序が異なりますので、下記サイトをご覧いただき、ルーティングテーブル的に意図したインターフェースに出力されるかやACLがNAT対象パケットを適切に指定出来ているかを再確認下さい。

https://www.infraexpert.com/study/nat7.htm

https://www.cisco.com/c/ja_jp/support/docs/ip/network-address-translation-nat/6209-5.html

 

次に、恐らくVPN接続を行うWANルータでインターネット側へのヘアピン(Hairpin)通信を実現したいのだと思いますので、いわゆるVPN on a Stick (NAT on a Stick)が解決方法ではないかと思われます。

ASAでの経験/ノウハウはありますが、ルータではやったことがないので、これという回答は提示できませんが、上記用語をインターネットで検索していただくか、下記サイトが参考になると思いますので、一読いただければと思います。

https://zassoul.blogspot.com/2018/05/nat-on-stick.html

https://www.cisco.com/c/en/us/support/docs/security/vpn-client/71461-router-vpnclient-pi-stick.html

Customers Also Viewed These Support Documents