Cisco 社のルータで 2005 年発売以降のものは、L2TPv3 over IPsec に対応しています (一部対応していないバージョンもあります。IOS をアップデートすることで対応可能な場合もあります)。
この Web サイトでは、ソフトイーサ社で所有している「Cisco 1812」および「Cisco 892」における接続方法について解説していますが、これ以外の型番の Cisco ルータであっても L2TP over IPsec に対応していれば同様に接続可能です (コマンド体系などが若干異なる場合があります)。
Cisco の設定を行う前に、まず、SoftEther VPN の IPsec 機能の設定を行う必要があります。
上記の画面における「EtherIP / L2TPv3 over IPsec サーバー機能有効」をチェックしてから、「サーバー機能の詳細設定」ボタンをクリックして「追加」ボタンを押してください。すると、以下のような画面が表示されます。
この画面では、L2TPv3 クライアント (ルータ等) が VPN Server に対して IPsec 接続を行おうとする際に提示される ISAKMP (IKE) Phase 1 の ID 文字列と、接続先の仮想 HUB や仮想 HUB 内のユーザーの設定との関連付けを事前に登録しておくことができます。
たとえば、ここでは上記の画面のように L2TPv3 対応ルータ からの VPN 接続を、仮想 HUB 「DEFAULT」におけるユーザー「l2tpv3」として接続させる設定を行った状態であると仮定して、以下の説明を行います。
(ユーザー「l2tpv3」は仮想 HUB 「DEFAULT」に予め登録しておく必要があります。)
ここで、本来は Cisco ルータが VPN Server に対して提示する ISAKMP (IKE) Phase 1 の ID 文字列 または IP アドレスを指定することになりますが、今回の接続実験では簡単のため「*」 (アスタリスク) という 1 文字の ID を指定しましょう。この特別なワイルドカード指定は、いかなる ID を提示した VPN ルータからの接続でも受入れるということを示します。
なお、本番運用に移行する際には、VPN Server 側で定義する ID 文字列を Cisco ルータ側で設定した文字列と同一のものに変更しておくことがセキュリティ上好ましいと言えます。
1 台または複数台の Cisco ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。
なお、この設定例においては、Cisco ルータには固定の IP アドレス (グローバル IP アドレス、または NAT 背後のプライベート IP アドレスのいずれでも差し支えありません) を割当てていることを前提としています。Cisco ルータに可変の IP アドレスを割当てる場合や、PPPoE 等で ISP から IP アドレスを自動取得するような場合の設定例については後述します。
以下の環境を想定した設定例です。お客様の環境に合わせて、適宜読み替えてください。
上記のような場合の Cisco ルータにおけるコンフィグレーション例は以下のようになります。
conf t
ip classless
ip subnet-zero
no ip domain-lookup
no bba-group pppoe global
spanning-tree mode mst
spanning-tree extend system-id
vtp mode transparent
interface FastEthernet 0
ip address dhcp
duplex auto
speed auto
arp timeout 300
no shutdown
exit
interface FastEthernet 1
no ip address
duplex auto
speed auto
arp timeout 300
no shutdown
exit
ip routing
ip cef
no cdp run
pseudowire-class L2TPv3
encapsulation l2tpv3
ip local interface FastEthernet 0
exit
crypto isakmp policy 1
encryption aes 256
authentication pre-share
group 2
exit
crypto isakmp key vpn address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10 2 periodic
crypto ipsec fragmentation after-encryption
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
mode transport
exit
crypto map MAP 1 ipsec-isakmp
set peer 1.2.3.4
set transform-set IPSEC
match address IPSEC_MATCH_RULE
exit
ip access-list extended IPSEC_MATCH_RULE
permit 115 any any
exit
interface FastEthernet 0
crypto map MAP
exit
interface FastEthernet 1
no cdp enable
xconnect 1.2.3.4 1 pw-class L2TPv3
bridge-group 1
exit
上記のように設定すると、Cisco ルータはSoftEther VPN Server (IP アドレス: 1.2.3.4) との間で IPsec トンネルを自動的に構築し、そのトンネル内で L2TPv3 パケットを送受信することにより VPN 通信が実現されます。
FastEthernet 0 ポートを WAN 側 (インターネット側)、FastEthernet 1 を VPN のブリッジ側 (VPN を利用する端末が接続されているスイッチ等) に接続することにより、FastEthernet 1 側のセグメントに接続したすべての PC は、Ethernet セグメント (L2) として SoftEther VPN Server の仮想 HUB のセグメントと直結したことになり、任意の通信が可能になります。
1 台または複数台の Cisco ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。
なお、この設定例においては、Cisco ルータにはインターネット接続のための動的な IP アドレス (グローバル IP アドレス、または NAT 背後のプライベート IP アドレスのいずれでも差し支えありません) が DHCP サーバーから割当られることを前提としています。
以下の環境を想定した設定例です。お客様の環境に合わせて、適宜読み替えてください。
上記のような場合の Cisco ルータにおけるコンフィグレーション例は以下のようになります。
conf t
ip classless
ip subnet-zero
no ip domain-lookup
no bba-group pppoe global
spanning-tree mode mst
spanning-tree extend system-id
vtp mode transparent
interface FastEthernet 0
ip address dhcp
duplex auto
speed auto
arp timeout 300
no shutdown
exit
interface FastEthernet 1
no ip address
duplex auto
speed auto
arp timeout 300
no shutdown
exit
ip routing
ip cef
no cdp run
pseudowire-class L2TPv3
encapsulation l2tpv3
ip local interface FastEthernet 0
exit
crypto isakmp policy 1
encryption aes 256
authentication pre-share
group 2
exit
crypto isakmp key vpn address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10 2 periodic
crypto ipsec fragmentation after-encryption
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
mode transport
exit
crypto map MAP 1 ipsec-isakmp
set peer 1.2.3.4
set transform-set IPSEC
match address IPSEC_MATCH_RULE
exit
ip access-list extended IPSEC_MATCH_RULE
permit 115 any any
exit
interface FastEthernet 0
crypto map MAP
exit
interface FastEthernet 1
no cdp enable
xconnect 1.2.3.4 1 pw-class L2TPv3
bridge-group 1
exit
上記のように設定すると、Cisco ルータはSoftEther VPN Server (IP アドレス: 1.2.3.4) との間で IPsec トンネルを自動的に構築し、そのトンネル内で L2TPv3 パケットを送受信することにより VPN 通信が実現されます。
FastEthernet 0 ポートを WAN 側 (インターネット側)、FastEthernet 1 を VPN のブリッジ側 (VPN を利用する端末が接続されているスイッチ等) に接続することにより、FastEthernet 1 側のセグメントに接続したすべての PC は、Ethernet セグメント (L2) として SoftEther VPN Server の仮想 HUB のセグメントと直結したことになり、任意の通信が可能になります。
1 台または複数台の Cisco ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。
なお、この設定例においては、Cisco ルータはインターネットにまず PPPoE を用いて ISP にダイヤルアップ接続し、次に ISP 経由で IP アドレスを取得する場合を想定しています。
以下の環境を想定した設定例です。お客様の環境に合わせて、適宜読み替えてください。
上記のような場合の Cisco ルータにおけるコンフィグレーション例は以下のようになります。
conf t
ip classless
ip subnet-zero
no ip domain-lookup
no bba-group pppoe global
spanning-tree mode mst
spanning-tree extend system-id
vtp mode transparent
interface FastEthernet 0
no ip address
duplex auto
speed auto
arp timeout 300
no shutdown
exit
interface FastEthernet 1
no ip address
duplex auto
speed auto
arp timeout 300
no shutdown
exit
ip routing
ip cef
no cdp run
interface FastEthernet 0
pppoe enable
pppoe-client dial-pool-number 1
exit
interface FastEthernet 1
no ip address
exit
interface Dialer 1
ip address negotiated
encapsulation ppp
dialer pool 1
dialer-group 1
ip mtu 1454
keepalive 15 6
ppp authentication chap callin
ppp chap hostname abc12345@isp.ad.jp
ppp chap password 0 nekojamu
dialer idle-timeout 0
dialer persistent
exit
ip route 0.0.0.0 0.0.0.0 Dialer1 permanent
pseudowire-class L2TPv3
encapsulation l2tpv3
ip local interface Dialer 1
exit
crypto isakmp policy 1
encryption aes 256
hash sha
authentication pre-share
group 2
exit
crypto isakmp key vpn address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10 2 periodic
crypto ipsec fragmentation after-encryption
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
mode transport
exit
crypto map MAP 1 ipsec-isakmp
set peer 1.2.3.4
set transform-set IPSEC
match address IPSEC_MATCH_RULE
exit
ip access-list extended IPSEC_MATCH_RULE
permit 115 any any
exit
interface Dialer 1
crypto map MAP
exit
interface FastEthernet 1
no cdp enable
xconnect 1.2.3.4 1 pw-class L2TPv3
bridge-group 1
exit
上記のように設定すると、Cisco ルータはSoftEther VPN Server (IP アドレス: 1.2.3.4) との間で IPsec トンネルを自動的に構築し、そのトンネル内で L2TPv3 パケットを送受信することにより VPN 通信が実現されます。
FastEthernet 0 ポートを WAN 側 (インターネット側)、FastEthernet 1 を VPN のブリッジ側 (VPN を利用する端末が接続されているスイッチ等) に接続することにより、FastEthernet 1 側のセグメントに接続したすべての PC は、Ethernet セグメント (L2) として SoftEther VPN Server の仮想 HUB のセグメントと直結したことになり、任意の通信が可能になります。