CentOS7

Cisco ルータからの L2TPv3 を用いた VPN 接続方法

Cisco 社のルータ

Cisco 社のルータで 2005 年発売以降のものは、L2TPv3 over IPsec に対応しています (一部対応していないバージョンもあります。IOS をアップデートすることで対応可能な場合もあります)。

この Web サイトでは、ソフトイーサ社で所有している「Cisco 1812」および「Cisco 892」における接続方法について解説していますが、これ以外の型番の Cisco ルータであっても L2TP over IPsec に対応していれば同様に接続可能です (コマンド体系などが若干異なる場合があります)。

事前設定

Cisco の設定を行う前に、まず、SoftEther VPN の IPsec 機能の設定を行う必要があります。

01.png

上記の画面における「EtherIP / L2TPv3 over IPsec サーバー機能有効」をチェックしてから、「サーバー機能の詳細設定」ボタンをクリックして「追加」ボタンを押してください。すると、以下のような画面が表示されます。

02.png

この画面では、L2TPv3 クライアント (ルータ等) が VPN Server に対して IPsec 接続を行おうとする際に提示される ISAKMP (IKE) Phase 1 の ID 文字列と、接続先の仮想 HUB や仮想 HUB 内のユーザーの設定との関連付けを事前に登録しておくことができます。

たとえば、ここでは上記の画面のように L2TPv3 対応ルータ からの VPN 接続を、仮想 HUB 「DEFAULT」におけるユーザー「l2tpv3」として接続させる設定を行った状態であると仮定して、以下の説明を行います。

(ユーザー「l2tpv3」は仮想 HUB 「DEFAULT」に予め登録しておく必要があります。)

ここで、本来は Cisco ルータが VPN Server に対して提示する ISAKMP (IKE) Phase 1 の ID 文字列 または IP アドレスを指定することになりますが、今回の接続実験では簡単のため「*」 (アスタリスク) という 1 文字の ID を指定しましょう。この特別なワイルドカード指定は、いかなる ID を提示した VPN ルータからの接続でも受入れるということを示します。

なお、本番運用に移行する際には、VPN Server 側で定義する ID 文字列を Cisco ルータ側で設定した文字列と同一のものに変更しておくことがセキュリティ上好ましいと言えます。

Cisco ルータにおける設定情報例 #1 (固定 IP アドレス割当の場合)

1 台または複数台の Cisco ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。

なお、この設定例においては、Cisco ルータには固定の IP アドレス (グローバル IP アドレス、または NAT 背後のプライベート IP アドレスのいずれでも差し支えありません) を割当てていることを前提としています。Cisco ルータに可変の IP アドレスを割当てる場合や、PPPoE 等で ISP から IP アドレスを自動取得するような場合の設定例については後述します。

以下の環境を想定した設定例です。お客様の環境に合わせて、適宜読み替えてください。

  • Ethernet ポートの用途
    FastEthernet 0: WAN 側 (IP アドレス固定: 2.3.4.5。NAT の内側でも可)
    FastEthernet 1: ブリッジ側
  • 物理的な通信に必要な (インターネットに接続するための) グローバル IP アドレス
    FastEthernet 0 ポートの Ethernet セグメントにおいて
    IP アドレス: 2.3.4.5 / 255.255.255.0
    デフォルトゲートウェイ: 2.3.4.254
    としてインターネットに接続していると仮定します。
  • 接続先である SoftEther VPN Server が動作している IP アドレス
    1.2.3.4
  • ISAKMP SA で使用する暗号化設定
    AES-256 / SHA / DH Group 2 (1024 bit)
  • IPsec SA で使用する暗号化設定
    AES-256 / SHA
  • IPsec Pre-Shared Key (事前共有鍵) 文字列
    vpn

上記のような場合の Cisco ルータにおけるコンフィグレーション例は以下のようになります。

Cisco Configuration Sample


conf t
ip classless
ip subnet-zero
no ip domain-lookup
no bba-group pppoe global

spanning-tree mode mst
spanning-tree extend system-id
vtp mode transparent

interface FastEthernet 0
ip address dhcp
duplex auto
speed auto
arp timeout 300
no shutdown
exit

interface FastEthernet 1
no ip address
duplex auto
speed auto
arp timeout 300
no shutdown
exit

ip routing
ip cef

no cdp run

pseudowire-class L2TPv3
encapsulation l2tpv3
ip local interface FastEthernet 0
exit

crypto isakmp policy 1
encryption aes 256
authentication pre-share
group 2
exit

crypto isakmp key vpn address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10 2 periodic
crypto ipsec fragmentation after-encryption
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
mode transport
exit

crypto map MAP 1 ipsec-isakmp
set peer 1.2.3.4
set transform-set IPSEC
match address IPSEC_MATCH_RULE
exit

ip access-list extended IPSEC_MATCH_RULE
permit 115 any any
exit

interface FastEthernet 0
crypto map MAP
exit

interface FastEthernet 1
no cdp enable
xconnect 1.2.3.4 1 pw-class L2TPv3
bridge-group 1
exit


上記のように設定すると、Cisco ルータはSoftEther VPN Server (IP アドレス: 1.2.3.4) との間で IPsec トンネルを自動的に構築し、そのトンネル内で L2TPv3 パケットを送受信することにより VPN 通信が実現されます。

FastEthernet 0 ポートを WAN 側 (インターネット側)、FastEthernet 1 を VPN のブリッジ側 (VPN を利用する端末が接続されているスイッチ等) に接続することにより、FastEthernet 1 側のセグメントに接続したすべての PC は、Ethernet セグメント (L2) として SoftEther VPN Server の仮想 HUB のセグメントと直結したことになり、任意の通信が可能になります。

Cisco ルータにおける設定情報例 #2 (DHCP 経由で IP を取得する場合)

1 台または複数台の Cisco ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。

なお、この設定例においては、Cisco ルータにはインターネット接続のための動的な IP アドレス (グローバル IP アドレス、または NAT 背後のプライベート IP アドレスのいずれでも差し支えありません) が DHCP サーバーから割当られることを前提としています。

以下の環境を想定した設定例です。お客様の環境に合わせて、適宜読み替えてください。

  • Ethernet ポートの用途
    FastEthernet 0: WAN 側 (DHCP による IP アドレス自動取得。NAT の内側でも可)
    FastEthernet 1: ブリッジ側
  • 物理的な通信に必要な (インターネットに接続するための) グローバル IP アドレス
    FastEthernet 0 ポートの Ethernet セグメントにおいて DHCP サーバーから IP アドレス、サブネットマスクおよびデフォルトゲートウェイの情報を取得してインターネットに接続すると仮定します。
  • 接続先である SoftEther VPN Server が動作している IP アドレス
    1.2.3.4
  • ISAKMP SA で使用する暗号化設定
    AES-256 / SHA / DH Group 2 (1024 bit)
  • IPsec SA で使用する暗号化設定
    AES-256 / SHA
  • IPsec Pre-Shared Key (事前共有鍵) 文字列
    vpn

上記のような場合の Cisco ルータにおけるコンフィグレーション例は以下のようになります。

Cisco Configuration Sample


conf t
ip classless
ip subnet-zero
no ip domain-lookup
no bba-group pppoe global

spanning-tree mode mst
spanning-tree extend system-id
vtp mode transparent

interface FastEthernet 0
ip address dhcp
duplex auto
speed auto
arp timeout 300
no shutdown
exit

interface FastEthernet 1
no ip address
duplex auto
speed auto
arp timeout 300
no shutdown
exit

ip routing
ip cef

no cdp run

pseudowire-class L2TPv3
encapsulation l2tpv3
ip local interface FastEthernet 0
exit

crypto isakmp policy 1
encryption aes 256
authentication pre-share
group 2
exit

crypto isakmp key vpn address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10 2 periodic
crypto ipsec fragmentation after-encryption
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
mode transport
exit

crypto map MAP 1 ipsec-isakmp
set peer 1.2.3.4
set transform-set IPSEC
match address IPSEC_MATCH_RULE
exit

ip access-list extended IPSEC_MATCH_RULE
permit 115 any any
exit

interface FastEthernet 0
crypto map MAP
exit

interface FastEthernet 1
no cdp enable
xconnect 1.2.3.4 1 pw-class L2TPv3
bridge-group 1
exit


上記のように設定すると、Cisco ルータはSoftEther VPN Server (IP アドレス: 1.2.3.4) との間で IPsec トンネルを自動的に構築し、そのトンネル内で L2TPv3 パケットを送受信することにより VPN 通信が実現されます。

FastEthernet 0 ポートを WAN 側 (インターネット側)、FastEthernet 1 を VPN のブリッジ側 (VPN を利用する端末が接続されているスイッチ等) に接続することにより、FastEthernet 1 側のセグメントに接続したすべての PC は、Ethernet セグメント (L2) として SoftEther VPN Server の仮想 HUB のセグメントと直結したことになり、任意の通信が可能になります。

Cisco ルータにおける設定情報例 #3 (PPPoE 経由で IP を取得する場合)

1 台または複数台の Cisco ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。

なお、この設定例においては、Cisco ルータはインターネットにまず PPPoE を用いて ISP にダイヤルアップ接続し、次に ISP 経由で IP アドレスを取得する場合を想定しています。

以下の環境を想定した設定例です。お客様の環境に合わせて、適宜読み替えてください。

  • Ethernet ポートの用途
    FastEthernet 0: WAN 側 (PPPoE による IP アドレス自動取得。NAT の内側でも可)
    FastEthernet 1: ブリッジ側
  • 物理的な通信に必要な (インターネットに接続するための) グローバル IP アドレス
    FastEthernet 0 ポートの Ethernet セグメントが NTT のフレッツ・サービス等の ONU に接続されており、当該セグメントにおいて NTT 収容ビルにある PPPoE サーバーを経由して ISP に接続し、ISP から IP アドレス、サブネットマスクおよびデフォルトゲートウェイの情報を取得してインターネットに接続すると仮定します。
  • Cisco ルータがインターネットに PPPoE 接続する際の認証情報
    ID: abc12345 @ isp.ad.jp
    パスワード: nekojamu
  • 接続先である SoftEther VPN Server が動作している IP アドレス
    1.2.3.4
  • ISAKMP SA で使用する暗号化設定
    AES-256 / SHA / DH Group 2 (1024 bit)
  • IPsec SA で使用する暗号化設定
    AES-256 / SHA
  • IPsec Pre-Shared Key (事前共有鍵) 文字列
    vpn

上記のような場合の Cisco ルータにおけるコンフィグレーション例は以下のようになります。

Cisco Configuration Sample


conf t
ip classless
ip subnet-zero
no ip domain-lookup
no bba-group pppoe global

spanning-tree mode mst
spanning-tree extend system-id
vtp mode transparent

interface FastEthernet 0
no ip address
duplex auto
speed auto
arp timeout 300
no shutdown
exit

interface FastEthernet 1
no ip address
duplex auto
speed auto
arp timeout 300
no shutdown
exit

ip routing
ip cef

no cdp run

interface FastEthernet 0
pppoe enable
pppoe-client dial-pool-number 1
exit

interface FastEthernet 1
no ip address
exit

interface Dialer 1
ip address negotiated
encapsulation ppp
dialer pool 1
dialer-group 1
ip mtu 1454
keepalive 15 6
ppp authentication chap callin
ppp chap hostname abc12345@isp.ad.jp
ppp chap password 0 nekojamu
dialer idle-timeout 0
dialer persistent
exit

ip route 0.0.0.0 0.0.0.0 Dialer1 permanent

pseudowire-class L2TPv3
encapsulation l2tpv3
ip local interface Dialer 1
exit

crypto isakmp policy 1
encryption aes 256
hash sha
authentication pre-share
group 2
exit

crypto isakmp key vpn address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10 2 periodic
crypto ipsec fragmentation after-encryption
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
mode transport
exit

crypto map MAP 1 ipsec-isakmp
set peer 1.2.3.4
set transform-set IPSEC
match address IPSEC_MATCH_RULE
exit

ip access-list extended IPSEC_MATCH_RULE
permit 115 any any
exit

interface Dialer 1
crypto map MAP
exit

interface FastEthernet 1
no cdp enable
xconnect 1.2.3.4 1 pw-class L2TPv3
bridge-group 1
exit


上記のように設定すると、Cisco ルータはSoftEther VPN Server (IP アドレス: 1.2.3.4) との間で IPsec トンネルを自動的に構築し、そのトンネル内で L2TPv3 パケットを送受信することにより VPN 通信が実現されます。

FastEthernet 0 ポートを WAN 側 (インターネット側)、FastEthernet 1 を VPN のブリッジ側 (VPN を利用する端末が接続されているスイッチ等) に接続することにより、FastEthernet 1 側のセグメントに接続したすべての PC は、Ethernet セグメント (L2) として SoftEther VPN Server の仮想 HUB のセグメントと直結したことになり、任意の通信が可能になります。


添付ファイル: file02.png 82件 [詳細] file01.png 96件 [詳細]

トップ   編集 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-09-04 (火) 16:14:05 (1551d)