バージョン8.4以降のIOSでISRとのIPSECのVPN接続について教えていただきたいと思います。
CiscoのマニュアルではすべてNATを使用した方法による方法で通常のLANと同様の双方向型通信では問題がでてしまいます。
NATを使用せず、通常のスタティックルートでASAとISRを接続する場合の設定方法を教えていただければと思います。
基本的に現在はISRの方は以下のようにIPSEC GREで接続したいと考えております。
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key ***** address 192.168.101.1
crypto isakmp keepalive 30
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
!
crypto ipsec profile VPN
set transform-set IPSEC
interface Tunnel0
ip unnumbered Dialer1
tunnel source Dialer1
tunnel mode ipsec ipv4
tunnel destination 192.168.101.1
tunnel protection ipsec profile VPN
ASAのほうは以下のようにしてVPNのセッションは成功するもののルーティングを通すのが困難です。
※ifnameのnttが外部回線です。
access-list l2l_list extended permit ip 10.100.100.0 255.255.255.0 10.100.101.0 255.255.255.128
crypto ipsec ikev1 transform-set IPSEC esp-3des esp-md5-hmac
crypto map VPNMAP 1 match address l2l_list
crypto map VPNMAP 1 set peer 192.168.101.2
crypto map VPNMAP 1 set ikev1 transform-set IPSEC
crypto map VPNMAP interface ntt
crypto ikev1 enable ntt
crypto ikev1 policy 1
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
tunnel-group 192.168.101.2 type ipsec-l2l
tunnel-group 192.168.101.2 ipsec-attributes
ikev1 pre-shared-key *****
どなたどのようにルーティングを設定すればよいかかわかるかたご教授ください。
べつにIPSecgreにこだわっているわけではありませんがルータ間でVPNを簡潔したいのでその他の良い方法でも問題ありませんのでよろしくお願いいたします。
つまり、anyVPNやソフトウェアVPN接続での解決はあまりしたくありません。