2016-02-24 11:58 AM
本社にC841M-4X-JAIS/K9、支店にC841M-4X-JSEC/K9を設置してIPSecでVPN接続したいと考えています。
将来的には、支店を増やすこととandroidやiPhoneからも接続できるようにする予定です。
本社は固定のグローバルアドレスをもっていますが、支店は固定していません。
そのためにアグレッシブモードで設定をしていますが、上手くいきません。
参考にしたサイトは下記の2つと個人のブログなどです。
http://www.cisco.com/cisco/web/support/JP/102/1020/1020021_ipsec_lantolan.html
http://www.cisco.com/cisco/web/support/JP/102/1022/1022131_initaggr-j.html
サポートに問い合わせもしたのですが、どこを変更するのかがイマイチ良く分かりません。
2つ目のページのconfigの変更でおかしなところはありますか?
支店側のルーター
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp keepalive 30 5
!
crypto isakmp peer address 14.38.69.71 (本社のグローバルIP)
set aggressive-mode password cisco123 (事前共有キー)
set aggressive-mode client-endpoint ipv4-address 14.38.69.70
←これが分かりません、ルーター名をFQDNで指定するのでは?
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map mymap 1 ipsec-isakmp
set peer 14.38.69.71 (本社のグローバルIP)
set transform-set myset
match address 100
!
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.0 (支店のLAN側ネットワーク)
!
interface Ethernet0/0
ip address 14.38.69.70 255.255.0.0 (no ip address)
half-duplex (duplex auto)
crypto map mymap
!
ip classless
ip route 0.0.0.0 0.0.0.0 14.38.69.71 (本社のグローバルIP)
ip http server
!
access-list 100 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 (支店のLAN側NW 本社のLAN側NW)
!
call rsvp-sync
!
本社側のルーター
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 14.38.69.70
←cisco123は事前共有キーで、相手のアドレスは可変だからFQDNで指定する?
crypto isakmp keepalive 30 5
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto dynamic-map mymap 10
set transform-set myset
!
!
crypto map mainmap 1 ipsec-isakmp dynamic mymap
!
!
!
interface Loopback0
ip address 2.2.2.2 255.255.255.0 (本社のLAN側NW)
!
interface FastEthernet0/0
ip address 14.38.69.71 255.255.0.0 (本社のグローバルIP)
duplex auto
speed auto
crypto map mainmap
!
ip classless
ip route 0.0.0.0 0.0.0.0 14.38.69.70 (支店のグローバルIP?FQDN?)
no ip http server
!
!
全然的外れな質問かもしれませんが、解決になるヒントでも教えていただけたらと思います。
よろしくお願いします。