VLANを利用したL2TPv3/IPsec

Suguru · ‎2018-04-20

こんにちは

VPNの設定に関して不明な点がありまして、どのようにルーターのコンフィグを設定すれば上手く動作するのかアドバイスいただけないでしょうか。

センター間とルーター間をL2TPv3/IPsecで接続しようとしています。

ルーター側は891FJを設置しています。

ルーターはPPPoEでISP経由でWAN側IPを取得し、
GigabitEthernet1にPCが接続されており、VLAN2とスイッチしています。
VLAN2からxconnectコマンドを発行してL2TPv3でセンター側と繋ごうとしています。

センター側はPacketiX VPNというSDNのVPNサーバーが構成されており、
L2TPv3を待ち受ける設定がされています。
NATとDHCPの機能が有効になっており、下記のように構成されています。
仮想NATのNICのIPアドレス：100.64.0.1/24
DHCPの配布アドレス帯：100.64.0.64-127
参考URL：https://ja.softether.org/

最下記のコンフィグをルーターに設定したところ、L2TPv3のセッションは構成できており、
PCのMACアドレスをVPNサーバーが取得しておりました。
しかし、PCにIPアドレスが割り当てられず、LANに参加できない状況になっています。

（DHCPでも、IPアドレスを設定してもダメでした。）
正常な動作は100.64.0.64が割り当てられて、100.64.0.1をゲートウェイとして動作すると思います。

PC上でWireSharkを用いてパケット解析したところ、

PCからDHCP Discovery メッセージがブロードキャストされた後は、DHCPに関する通信が行われていませんでした。

FastEthernet0を利用して接続した時はIPアドレスが上手く割り振られて通信ができたので、

VLANで接続する際との違いが分からず困っております。
ご指導の程、よろしくお願いします。

○L2TPv3接続時のルーターのxconnectの状態
Legend:    XC ST=Xconnect State S1=Segment1 State S2=Segment2 State
UP=Up       DN=Down            AD=Admin Down      IA=Inactive
SB=Standby HS=Hot Standby     RV=Recovering      NH=No Hardware

XC ST Segment 1                         S1 Segment 2                         S2
------+---------------------------------+--+---------------------------------+--
UP pri   ac Vl2:2(Eth VLAN)              UP l2tp x.x.x.x:1              UP
IA sec   ac Vl2:2(Eth VLAN)              UP l2tp y.y.y.y:2                SB

○ルーターコンフィグ
※一部余分な記載は省略しています。
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname JC891FJ
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
logging buffered 65535
enable password xxxxxxx
!
aaa new-model
!
aaa authentication login default line
!
aaa session-id common
clock timezone JST 9 0
!
ip inspect name ins1 ftp
ip inspect name ins1 dns
ip inspect name ins1 http
ip inspect name ins1 https
ip inspect name ins1 smtp
ip inspect name ins1 pop3
ip inspect name ins1 isakmp timeout 43200
ip inspect name ins1 tcp
ip inspect name ins1 udp
ip cef
no ipv6 cef
!

parameter-map type urlfpolicy local LOCAL
block-page message "URL Filter is Blocking"
parameter-map type urlf-glob PERMIT

!
multilink bundle-name authenticated
!
license udi pid C891FJ-K9 sn vvvvvvvvvvv
!
archive
log config
hidekeys
!
no spanning-tree vlan 1
no spanning-tree vlan 2
vtp mode transparent
!
vlan 2-3,8,100
no cdp run
!
pseudowire-class PWIRE-L2TPv3-Primary
encapsulation l2tpv3
ip local interface Dialer1
!
pseudowire-class PWIRE-L2TPv3-Secondary
encapsulation l2tpv3
ip local interface Dialer1
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key aaa address x.x.x.x
crypto isakmp key aaa address y.y.y.y
crypto isakmp keepalive 10 periodic
!
crypto ipsec transform-set IPSEC esp-3des esp-sha-hmac
mode transport
crypto ipsec fragmentation after-encryption
!
crypto map L2TPv3-VPN 1 ipsec-isakmp
set peer x.x.x.x default
set peer y.y.y.y
set transform-set IPSEC
match address IPSEC_MATCH_RULE
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface FastEthernet0
no ip address
duplex auto
speed auto
no keepalive
arp timeout 300
!
interface GigabitEthernet0
no ip address
!
interface GigabitEthernet1
switchport access vlan 2
no ip address
no keepalive
arp timeout 300
!
interface GigabitEthernet2
no ip address
shutdown
!
interface GigabitEthernet8
no ip address
ip virtual-reassembly in
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable
!
interface Vlan1
ip address 192.168.100.40 255.255.255.0
ip access-group 151 out
no ip proxy-arp
ip nat inside
ip inspect ins1 in
ip virtual-reassembly in
ip tcp adjust-mss 1340
!
interface Vlan2
no ip address
no ip proxy-arp
ip tcp adjust-mss 1340
arp timeout 300
xconnect x.x.x.x 1 encapsulation l2tpv3 pw-class PWIRE-L2TPv3-Primary
backup peer y.y.y.y 2 pw-class PWIRE-L2TPv3-Secondary
bridge-group 1
!
interface Async3
no ip address
encapsulation slip
!
interface Dialer1
description Internet01
mtu 1454
ip address negotiated
ip access-group 101 in
ip access-group 102 out
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp mtu adaptive
ppp authentication chap callin
ppp chap hostname hogehoge@aaa.co.jp
ppp chap password 0 fugafuga
ppp ipcp dns request
no cdp enable
crypto map L2TPv3-VPN
!
no ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns view VIEW1
domain resolver source-interface Dialer1
domain name-server interface Dialer1
ip dns view-list VIEW-LIST
view VIEW1 1000
restrict name-group 1
ip dns name-list 1 permit .*.
ip dns server view-group VIEW-LIST
ip dns server
ip nat inside source list 161 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip access-list extended IPSEC_MATCH_RULE
permit 115 any any
permit udp host z.z.z.z eq 1701 host x.x.x.x eq 1701
permit udp host z.z.z.z eq 1701 host y.y.y.y eq 1701
!
dialer-list 1 protocol ip permit
!
access-list 10 permit 192.168.100.0 0.0.0.255
access-list 10 deny any
access-list 101 permit ip any any
access-list 102 permit ip any any
access-list 151 permit ip any any
access-list 161 permit ip 192.168.100.0 0.0.0.255 any
!
control-plane
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
banner login ^Coriginal^C
!
line con 0
exec-timeout 0 0
password xxxxx
logging synchronous
no modem enable
line aux 0
line 3
modem InOut
speed 115200
flowcontrol hardware
line vty 0 4
access-class 10 in
password xxxxx
transport input all
!
scheduler allocate 20000 1000
!
end

shimenoy · ‎2018-04-20

Suguruさん、こんにちは。

あまり的を得ていないかもしれませんが、ヒントになり得る可能性があればと思い、コメントします。

センタ側のVLANはどうなっておりますでしょうか。
参考URL先を拝見しましたが、
https://ja.softether.org/1-features/2._%E3%83%AC%E3%82%A4%E3%83%A4_2_Ethernet_%E3%83%99%E3%83%BC%E3%82%B9%E3%81%AE_VPN
の
2.6. IEEE802.1Q VLAN サポート
の部分で、
> SoftEther VPN はまた、VLAN 伝送のサポートに加え、パケットに対する自動的な VLAN タグの付加と除去を行う機能も有しています

とあるので、この辺りなのでは･･･と思っています。
# 既に考慮済であれば、すみません。