![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2018-09-04T16:13:16+09:00","","") [[CentOS7]] *Cisco ルータからの L2TPv3 を用いた VPN 接続方法 [#y11e0689] **Cisco 社のルータ [#oa7d4f43] Cisco 社のルータで 2005 年発売以降のものは、L2TPv3 over IPsec に対応しています (一部対応していないバージョンもあります。IOS をアップデートすることで対応可能な場合もあります)。 この Web サイトでは、ソフトイーサ社で所有している「Cisco 1812」および「Cisco 892」における接続方法について解説していますが、これ以外の型番の Cisco ルータであっても L2TP over IPsec に対応していれば同様に接続可能です (コマンド体系などが若干異なる場合があります)。 *事前設定 [#ka7b77bd] Cisco の設定を行う前に、まず、SoftEther VPN の IPsec 機能の設定を行う必要があります。 &ref(01.png); 上記の画面における「EtherIP / L2TPv3 over IPsec サーバー機能有効」をチェックしてから、「サーバー機能の詳細設定」ボタンをクリックして「追加」ボタンを押してください。すると、以下のような画面が表示されます。 &ref(02.png); この画面では、L2TPv3 クライアント (ルータ等) が VPN Server に対して IPsec 接続を行おうとする際に提示される ISAKMP (IKE) Phase 1 の ID 文字列と、接続先の仮想 HUB や仮想 HUB 内のユーザーの設定との関連付けを事前に登録しておくことができます。 たとえば、ここでは上記の画面のように L2TPv3 対応ルータ からの VPN 接続を、仮想 HUB 「DEFAULT」におけるユーザー「l2tpv3」として接続させる設定を行った状態であると仮定して、以下の説明を行います。 (ユーザー「l2tpv3」は仮想 HUB 「DEFAULT」に予め登録しておく必要があります。) ここで、本来は Cisco ルータが VPN Server に対して提示する ISAKMP (IKE) Phase 1 の ID 文字列 または IP アドレスを指定することになりますが、今回の接続実験では簡単のため「*」 (アスタリスク) という 1 文字の ID を指定しましょう。この特別なワイルドカード指定は、いかなる ID を提示した VPN ルータからの接続でも受入れるということを示します。 なお、本番運用に移行する際には、VPN Server 側で定義する ID 文字列を Cisco ルータ側で設定した文字列と同一のものに変更しておくことがセキュリティ上好ましいと言えます。 *Cisco ルータにおける設定情報例 #1 (固定 IP アドレス割当の場合) [#p8577115] 1 台または複数台の Cisco ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。 なお、この設定例においては、Cisco ルータには固定の IP アドレス (グローバル IP アドレス、または NAT 背後のプライベート IP アドレスのいずれでも差し支えありません) を割当てていることを前提としています。Cisco ルータに可変の IP アドレスを割当てる場合や、PPPoE 等で ISP から IP アドレスを自動取得するような場合の設定例については後述します。 以下の環境を想定した設定例です。お客様の環境に合わせて、適宜読み替えてください。 -Ethernet ポートの用途 &br; FastEthernet 0: WAN 側 (IP アドレス固定: 2.3.4.5。NAT の内側でも可) &br; FastEthernet 1: ブリッジ側 -物理的な通信に必要な (インターネットに接続するための) グローバル IP アドレス &br; FastEthernet 0 ポートの Ethernet セグメントにおいて &br; IP アドレス: 2.3.4.5 / 255.255.255.0 &br; デフォルトゲートウェイ: 2.3.4.254 &br; としてインターネットに接続していると仮定します。 -接続先である SoftEther VPN Server が動作している IP アドレス &br; 1.2.3.4 -ISAKMP SA で使用する暗号化設定 &br; AES-256 / SHA / DH Group 2 (1024 bit) -IPsec SA で使用する暗号化設定 &br; AES-256 / SHA -IPsec Pre-Shared Key (事前共有鍵) 文字列 &br; vpn 上記のような場合の Cisco ルータにおけるコンフィグレーション例は以下のようになります。 **Cisco Configuration Sample [#c6921e2a] ----- conf t &br; ip classless &br; ip subnet-zero &br; no ip domain-lookup &br; no bba-group pppoe global &br; &br; spanning-tree mode mst &br; spanning-tree extend system-id &br; vtp mode transparent &br; &br; interface FastEthernet 0 &br; ip address dhcp &br; duplex auto &br; speed auto &br; arp timeout 300 &br; no shutdown &br; exit &br; &br; interface FastEthernet 1 &br; no ip address &br; duplex auto &br; speed auto &br; arp timeout 300 &br; no shutdown &br; exit &br; &br; ip routing &br; ip cef &br; &br; no cdp run &br; &br; pseudowire-class L2TPv3 &br; encapsulation l2tpv3 &br; ip local interface FastEthernet 0 &br; exit &br; &br; crypto isakmp policy 1 &br; encryption aes 256 &br; authentication pre-share &br; group 2 &br; exit &br; &br; crypto isakmp key vpn address 0.0.0.0 0.0.0.0 &br; crypto isakmp keepalive 10 2 periodic &br; crypto ipsec fragmentation after-encryption &br; crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac &br; mode transport &br; exit &br; &br; crypto map MAP 1 ipsec-isakmp &br; set peer 1.2.3.4 &br; set transform-set IPSEC &br; match address IPSEC_MATCH_RULE &br; exit &br; &br; ip access-list extended IPSEC_MATCH_RULE &br; permit 115 any any &br; exit &br; &br; interface FastEthernet 0 &br; crypto map MAP &br; exit &br; &br; interface FastEthernet 1 &br; no cdp enable &br; xconnect 1.2.3.4 1 pw-class L2TPv3 &br; bridge-group 1 &br; exit &br; ----- 上記のように設定すると、Cisco ルータはSoftEther VPN Server (IP アドレス: 1.2.3.4) との間で IPsec トンネルを自動的に構築し、そのトンネル内で L2TPv3 パケットを送受信することにより VPN 通信が実現されます。 FastEthernet 0 ポートを WAN 側 (インターネット側)、FastEthernet 1 を VPN のブリッジ側 (VPN を利用する端末が接続されているスイッチ等) に接続することにより、FastEthernet 1 側のセグメントに接続したすべての PC は、Ethernet セグメント (L2) として SoftEther VPN Server の仮想 HUB のセグメントと直結したことになり、任意の通信が可能になります。 *Cisco ルータにおける設定情報例 #2 (DHCP 経由で IP を取得する場合) [#bf2403b9] 1 台または複数台の Cisco ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。 なお、この設定例においては、Cisco ルータにはインターネット接続のための動的な IP アドレス (グローバル IP アドレス、または NAT 背後のプライベート IP アドレスのいずれでも差し支えありません) が DHCP サーバーから割当られることを前提としています。 以下の環境を想定した設定例です。お客様の環境に合わせて、適宜読み替えてください。 -Ethernet ポートの用途 &br; FastEthernet 0: WAN 側 (DHCP による IP アドレス自動取得。NAT の内側でも可) &br; FastEthernet 1: ブリッジ側 -物理的な通信に必要な (インターネットに接続するための) グローバル IP アドレス &br; FastEthernet 0 ポートの Ethernet セグメントにおいて DHCP サーバーから IP アドレス、サブネットマスクおよびデフォルトゲートウェイの情報を取得してインターネットに接続すると仮定します。 -接続先である SoftEther VPN Server が動作している IP アドレス &br; 1.2.3.4 -ISAKMP SA で使用する暗号化設定 &br; AES-256 / SHA / DH Group 2 (1024 bit) -IPsec SA で使用する暗号化設定 &br; AES-256 / SHA -IPsec Pre-Shared Key (事前共有鍵) 文字列 &br; vpn 上記のような場合の Cisco ルータにおけるコンフィグレーション例は以下のようになります。 **Cisco Configuration Sample [#mf2d6898] ----- conf t &br; ip classless &br; ip subnet-zero &br; no ip domain-lookup &br; no bba-group pppoe global &br; &br; spanning-tree mode mst &br; spanning-tree extend system-id &br; vtp mode transparent &br; &br; interface FastEthernet 0 &br; ip address dhcp &br; duplex auto &br; speed auto &br; arp timeout 300 &br; no shutdown &br; exit &br; &br; interface FastEthernet 1 &br; no ip address &br; duplex auto &br; speed auto &br; arp timeout 300 &br; no shutdown &br; exit &br; &br; ip routing &br; ip cef &br; &br; no cdp run &br; &br; pseudowire-class L2TPv3 &br; encapsulation l2tpv3 &br; ip local interface FastEthernet 0 &br; exit &br; &br; crypto isakmp policy 1 &br; encryption aes 256 &br; authentication pre-share &br; group 2 &br; exit &br; &br; crypto isakmp key vpn address 0.0.0.0 0.0.0.0 &br; crypto isakmp keepalive 10 2 periodic &br; crypto ipsec fragmentation after-encryption &br; crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac &br; mode transport &br; exit &br; &br; crypto map MAP 1 ipsec-isakmp &br; set peer 1.2.3.4 &br; set transform-set IPSEC &br; match address IPSEC_MATCH_RULE &br; exit &br; &br; ip access-list extended IPSEC_MATCH_RULE &br; permit 115 any any &br; exit &br; &br; interface FastEthernet 0 &br; crypto map MAP &br; exit &br; &br; interface FastEthernet 1 &br; no cdp enable &br; xconnect 1.2.3.4 1 pw-class L2TPv3 &br; bridge-group 1 &br; exit &br; ----- 上記のように設定すると、Cisco ルータはSoftEther VPN Server (IP アドレス: 1.2.3.4) との間で IPsec トンネルを自動的に構築し、そのトンネル内で L2TPv3 パケットを送受信することにより VPN 通信が実現されます。 FastEthernet 0 ポートを WAN 側 (インターネット側)、FastEthernet 1 を VPN のブリッジ側 (VPN を利用する端末が接続されているスイッチ等) に接続することにより、FastEthernet 1 側のセグメントに接続したすべての PC は、Ethernet セグメント (L2) として SoftEther VPN Server の仮想 HUB のセグメントと直結したことになり、任意の通信が可能になります。 *Cisco ルータにおける設定情報例 #3 (PPPoE 経由で IP を取得する場合) [#e1b2a16b] 1 台または複数台の Cisco ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。 なお、この設定例においては、Cisco ルータはインターネットにまず PPPoE を用いて ISP にダイヤルアップ接続し、次に ISP 経由で IP アドレスを取得する場合を想定しています。 以下の環境を想定した設定例です。お客様の環境に合わせて、適宜読み替えてください。 -Ethernet ポートの用途 &br; FastEthernet 0: WAN 側 (PPPoE による IP アドレス自動取得。NAT の内側でも可) &br; FastEthernet 1: ブリッジ側 -物理的な通信に必要な (インターネットに接続するための) グローバル IP アドレス &br; FastEthernet 0 ポートの Ethernet セグメントが NTT のフレッツ・サービス等の ONU に接続されており、当該セグメントにおいて NTT 収容ビルにある PPPoE サーバーを経由して ISP に接続し、ISP から IP アドレス、サブネットマスクおよびデフォルトゲートウェイの情報を取得してインターネットに接続すると仮定します。 -Cisco ルータがインターネットに PPPoE 接続する際の認証情報 &br; ID: abc12345 @ isp.ad.jp &br; パスワード: nekojamu -接続先である SoftEther VPN Server が動作している IP アドレス &br; 1.2.3.4 -ISAKMP SA で使用する暗号化設定 &br; AES-256 / SHA / DH Group 2 (1024 bit) -IPsec SA で使用する暗号化設定 &br; AES-256 / SHA -IPsec Pre-Shared Key (事前共有鍵) 文字列 &br; vpn 上記のような場合の Cisco ルータにおけるコンフィグレーション例は以下のようになります。 **Cisco Configuration Sample [#r74d3557] ----- conf t &br; ip classless &br; ip subnet-zero &br; no ip domain-lookup &br; no bba-group pppoe global &br; &br; spanning-tree mode mst &br; spanning-tree extend system-id &br; vtp mode transparent &br; &br; interface FastEthernet 0 &br; no ip address &br; duplex auto &br; speed auto &br; arp timeout 300 &br; no shutdown &br; exit &br; &br; interface FastEthernet 1 &br; no ip address &br; duplex auto &br; speed auto &br; arp timeout 300 &br; no shutdown &br; exit &br; &br; ip routing &br; ip cef &br; &br; no cdp run &br; &br; interface FastEthernet 0 &br; pppoe enable &br; pppoe-client dial-pool-number 1 &br; exit &br; &br; interface FastEthernet 1 &br; no ip address &br; exit &br; &br; interface Dialer 1 &br; ip address negotiated &br; encapsulation ppp &br; dialer pool 1 &br; dialer-group 1 &br; ip mtu 1454 &br; keepalive 15 6 &br; ppp authentication chap callin &br; ppp chap hostname abc12345@isp.ad.jp &br; ppp chap password 0 nekojamu &br; dialer idle-timeout 0 &br; dialer persistent &br; exit &br; &br; ip route 0.0.0.0 0.0.0.0 Dialer1 permanent &br; &br; pseudowire-class L2TPv3 &br; encapsulation l2tpv3 &br; ip local interface Dialer 1 &br; exit &br; &br; crypto isakmp policy 1 &br; encryption aes 256 &br; hash sha &br; authentication pre-share &br; group 2 &br; exit &br; &br; crypto isakmp key vpn address 0.0.0.0 0.0.0.0 &br; crypto isakmp keepalive 10 2 periodic &br; crypto ipsec fragmentation after-encryption &br; crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac &br; mode transport &br; exit &br; &br; crypto map MAP 1 ipsec-isakmp &br; set peer 1.2.3.4 &br; set transform-set IPSEC &br; match address IPSEC_MATCH_RULE &br; exit &br; &br; ip access-list extended IPSEC_MATCH_RULE &br; permit 115 any any &br; exit &br; &br; interface Dialer 1 &br; crypto map MAP &br; exit &br; &br; interface FastEthernet 1 &br; no cdp enable &br; xconnect 1.2.3.4 1 pw-class L2TPv3 &br; bridge-group 1 &br; exit &br; ----- 上記のように設定すると、Cisco ルータはSoftEther VPN Server (IP アドレス: 1.2.3.4) との間で IPsec トンネルを自動的に構築し、そのトンネル内で L2TPv3 パケットを送受信することにより VPN 通信が実現されます。 FastEthernet 0 ポートを WAN 側 (インターネット側)、FastEthernet 1 を VPN のブリッジ側 (VPN を利用する端末が接続されているスイッチ等) に接続することにより、FastEthernet 1 側のセグメントに接続したすべての PC は、Ethernet セグメント (L2) として SoftEther VPN Server の仮想 HUB のセグメントと直結したことになり、任意の通信が可能になります。
