2022年02月28日
このエントリーをはてなブックマークに追加
nec-ix


会社で NEC IX の検証をしています。
片側は、 PPPoE で標準的なVPN設定が可能ですが、片側は、すでにルーターが設置されており、そこには設定をすることができませんでした。
そういう環境はよく見かけると思います。

ということで、以下のように設定を行いました。





左側の拠点はPPPoEを行っています。
右側がNAT配下です。

結論から言うと、通常のVPN設定を行い、 ike policy の mode を aggressive にするだけでした。

以下 config 例です。
最初にWebからVPNの設定を追加しました。このとき、IPsecで、接続元・接続先ともに固定IPアドレスを指定しました。実際には動的IPを利用していても、ダイナミックDNSを利用することで、固定IPとしても問題ありませんでした。
config の大半は上記のWeb設定で自動で生成された設定値が随所に入っています。


-------------
拠点1
-------------
ip ufs-cache enable
ip route 192.168.0.0/24 Tunnel0.0
!
ip access-list web_vpnlist permit ip src any dest any
!
ike nat-traversal
!
ike proposal web_vpn1ikeprop encryption aes-256 hash sha2-256
!
ike policy web_vpn1ikepolicy peer-fqdn-ipv4 [拠点2のFQDN] key [事前共有キー] web_vpn1ikeprop
!
ipsec autokey-proposal web_vpn1secprop esp-aes-256 esp-sha2-256
!
ipsec autokey-map web_vpn1secpolicy web_vpnlist peer-fqdn-ipv4 [拠点2のFQDN] web_vpn1secprop
!
interface Tunnel0.0
description Desc-To-ibaraki
tunnel mode ipsec
ip unnumbered BVI0
ip tcp adjust-mss auto
ipsec policy tunnel web_vpn1secpolicy out
no shutdown




-------------
拠点2
-------------
※インターネットに接続するための config は省略しています。


ip ufs-cache enable

! 拠点1 で利用しているセグメント
ip route 10.0.0.0/24 Tunnel0.0

ip access-list web_vpnlist permit ip src any dest any
!
!
!
ike nat-traversal
!
ike proposal web_vpn1ikeprop encryption aes-256 hash sha2-256
!
! 以下の設定値は、ダイナミックDNSの設定値を指定しています。拠点2はNAT配下なので、mode aggressive を指定します
ike policy web_vpn1ikepolicy peer-fqdn-ipv4 [拠点1のFQDN] key [事前共有キー] mode aggressive web_vpn1ikeprop
!
ipsec autokey-proposal web_vpn1secprop esp-aes-256 esp-sha2-256
!
!
ipsec autokey-map web_vpn1secpolicy web_vpnlist peer-fqdn-ipv4 [拠点1のFQDN] web_vpn1secprop
!

interface Tunnel0.0
tunnel mode ipsec
ip unnumbered BVI0
ip tcp adjust-mss auto
ipsec policy tunnel web_vpn1secpolicy out



stock_value at 12:04│Comments(0)技術 

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔