ヤマハRTX1000とCisco C1721のIPsecVPNの接続検証をしたのでメモ。
設定値はヤマハから公開されている参考設定を元に、AESへ変更しました。
今回使用したC1721はEthernetボードを追加しています。
(10BASE)
多分Cisco1812Jではこの設定だとつながらないと思います
構成図
※構成図の192.168.141.1のクライアントPCのアドレスが間違ってます
IPsec VPNのパラメータ
以下コンフィグレーション
#Yamaha RTX1000 ip route 192.168.141.0/24 gateway tunnel 2 ip lan2 address 1.2.3.1/27 tunnel select 2 ipsec tunnel 102 ipsec sa policy 102 2 esp aes-cbc sha-hmac ipsec ike duration isakmp-sa 2 28800 ipsec ike encryption 2 aes-cbc ipsec ike group 2 modp1024 ipsec ike hash 2 sha ipsec ike local address 2 1.2.3.1 ipsec ike local id 2 192.168.105.0/24 ipsec ike pre-shared-key 2 text password1234 ipsec ike remote address 2 1.2.3.7 ipsec ike remote id 2 192.168.141.0/24 ip tunnel tcp mss limit 1350 tunnel enable 2 ipsec auto refresh on #Cisco C1721 crypto isakmp policy 1 encr aes authentication pre-share group 2 lifetime 28800 crypto isakmp key password1234 address 1.2.3.1 ! ! crypto ipsec transform-set DEFAULT esp-aes esp-sha-hmac ! crypto map LAB local-address Ethernet0 crypto map LAB 1 ipsec-isakmp set peer 1.2.3.1 set transform-set DEFAULT match address 100 ! interface Ethernet0 ip address 1.2.3.7 255.255.255.224 half-duplex crypto map LAB ! interface FastEthernet0 ip address 192.168.141.254 255.255.255.0 ip tcp adjust-mss 1350 speed auto ! ip route 0.0.0.0 0.0.0.0 1.2.3.1 access-list 100 permit ip 192.168.141.0 0.0.0.255 192.168.105.0 0.0.0.255 確認コマンド C1700-01#sh crypto isakmp sa dst src state conn-id slot status 1.2.3.7 1.2.3.1 QM_IDLE 2 0 ACTIVE 1.2.3.7 1.2.3.1 QM_IDLE 1 0 ACTIVE ついでに以下コマンドでも確認します show crypt ipsec sa RTX1000-01# show ipsec sa sa sgw connection dir life[s] remote-id -------------------------------------------------------------------------- 1 2 isakmp - 27096 1.2.3.7 2 2 tun[002]esp send 27098 1.2.3.7 3 2 tun[002]esp recv 27098 1.2.3.7 4 2 isakmp - 27111 1.2.3.7
検証時にWindowsクライアントPCを使用する場合はファイアーウォールを無効にして検証したほうがいいです。
所属するネットワークの設定によって、違うセグメントからの通信を破棄する場合があります。