Cisco 社のルータ
Cisco 社のルータで 2005 年発売以降のものは、L2TPv3 over IPsec に対応しています (一部対応していないバージョンもあります。IOS をアップデートすることで対応可能な場合もあります)。
この Web サイトでは、ソフトイーサ社で所有している「Cisco 1812」および「Cisco 892」における接続方法について解説していますが、これ以外の型番の Cisco ルータであっても L2TP over IPsec に対応していれば同様に接続可能です (コマンド体系などが若干異なる場合があります)。
Cisco 社のルータ
事前設定
Cisco の設定を行う前に、まず、SoftEther VPN の IPsec 機能の設定を行う必要があります。
上記の画面における「EtherIP / L2TPv3 over IPsec サーバー機能有効」をチェックしてから、「サーバー機能の詳細設定」ボタンをクリックして「追加」ボタンを押してください。すると、以下のような画面が表示されます。
この画面では、L2TPv3 クライアント (ルータ等) が VPN Server に対して IPsec 接続を行おうとする際に提示される ISAKMP (IKE) Phase 1 の ID 文字列と、接続先の仮想 HUB や仮想 HUB 内のユーザーの設定との関連付けを事前に登録しておくことができます。
たとえば、ここでは上記の画面のように L2TPv3 対応ルータ からの VPN 接続を、仮想 HUB 「DEFAULT」におけるユーザー「l2tpv3」として接続させる設定を行った状態であると仮定して、以下の説明を行います。
(ユーザー「l2tpv3」は仮想 HUB 「DEFAULT」に予め登録しておく必要があります。)
ここで、本来は Cisco ルータが VPN Server に対して提示する ISAKMP (IKE) Phase 1 の ID 文字列 または IP アドレスを指定することになりますが、今回の接続実験では簡単のため「*」 (アスタリスク) という 1 文字の ID を指定しましょう。この特別なワイルドカード指定は、いかなる ID を提示した VPN ルータからの接続でも受入れるということを示します。
なお、本番運用に移行する際には、VPN Server 側で定義する ID 文字列を Cisco ルータ側で設定した文字列と同一のものに変更しておくことがセキュリティ上好ましいと言えます。
Cisco ルータにおける設定情報例 #1 (固定 IP アドレス割当の場合)
1 台または複数台の Cisco ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。
なお、この設定例においては、Cisco ルータには固定の IP アドレス (グローバル IP アドレス、または NAT 背後のプライベート IP アドレスのいずれでも差し支えありません) を割当てていることを前提としています。Cisco ルータに可変の IP アドレスを割当てる場合や、PPPoE 等で ISP から IP アドレスを自動取得するような場合の設定例については後述します。
以下の環境を想定した設定例です。お客様の環境に合わせて、適宜読み替えてください。
- Ethernet ポートの用途
FastEthernet 0: WAN 側 (IP アドレス固定: 2.3.4.5。NAT の内側でも可)
FastEthernet 1: ブリッジ側 - 物理的な通信に必要な (インターネットに接続するための) グローバル IP アドレス
FastEthernet 0 ポートの Ethernet セグメントにおいて
IP アドレス: 2.3.4.5 / 255.255.255.0
デフォルトゲートウェイ: 2.3.4.254
としてインターネットに接続していると仮定します。 - 接続先である SoftEther VPN Server が動作している IP アドレス
1.2.3.4 - ISAKMP SA で使用する暗号化設定
AES-256 / SHA / DH Group 2 (1024 bit) - IPsec SA で使用する暗号化設定
AES-256 / SHA - IPsec Pre-Shared Key (事前共有鍵) 文字列
vpn
上記のような場合の Cisco ルータにおけるコンフィグレーション例は以下のようになります。
Cisco Configuration Sample
conf t ip classless ip subnet-zero no ip domain-lookup no bba-group pppoe global spanning-tree mode mst spanning-tree extend system-id vtp mode transparent interface FastEthernet 0 ip address dhcp duplex auto speed auto arp timeout 300 no shutdown exit interface FastEthernet 1 no ip address duplex auto speed auto arp timeout 300 no shutdown exit ip routing ip cef no cdp run pseudowire-class L2TPv3 encapsulation l2tpv3 ip local interface FastEthernet 0 exit crypto isakmp policy 1 encryption aes 256 authentication pre-share group 2 exit crypto isakmp key vpn address 0.0.0.0 0.0.0.0 crypto isakmp keepalive 10 2 periodic crypto ipsec fragmentation after-encryption crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac mode transport exit crypto map MAP 1 ipsec-isakmp set peer 1.2.3.4 set transform-set IPSEC match address IPSEC_MATCH_RULE exit ip access-list extended IPSEC_MATCH_RULE permit 115 any any exit interface FastEthernet 0 crypto map MAP exit interface FastEthernet 1 no cdp enable xconnect 1.2.3.4 1 pw-class L2TPv3 bridge-group 1 exit
上記のように設定すると、Cisco ルータはSoftEther VPN Server (IP アドレス: 1.2.3.4) との間で IPsec トンネルを自動的に構築し、そのトンネル内で L2TPv3 パケットを送受信することにより VPN 通信が実現されます。
FastEthernet 0 ポートを WAN 側 (インターネット側)、FastEthernet 1 を VPN のブリッジ側 (VPN を利用する端末が接続されているスイッチ等) に接続することにより、FastEthernet 1 側のセグメントに接続したすべての PC は、Ethernet セグメント (L2) として SoftEther VPN Server の仮想 HUB のセグメントと直結したことになり、任意の通信が可能になります。
Cisco ルータにおける設定情報例 #2 (DHCP 経由で IP を取得する場合)
1 台または複数台の Cisco ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。
なお、この設定例においては、Cisco ルータにはインターネット接続のための動的な IP アドレス (グローバル IP アドレス、または NAT 背後のプライベート IP アドレスのいずれでも差し支えありません) が DHCP サーバーから割当られることを前提としています。
以下の環境を想定した設定例です。お客様の環境に合わせて、適宜読み替えてください。
- Ethernet ポートの用途
FastEthernet 0: WAN 側 (DHCP による IP アドレス自動取得。NAT の内側でも可)
FastEthernet 1: ブリッジ側 - 物理的な通信に必要な (インターネットに接続するための) グローバル IP アドレス
FastEthernet 0 ポートの Ethernet セグメントにおいて DHCP サーバーから IP アドレス、サブネットマスクおよびデフォルトゲートウェイの情報を取得してインターネットに接続すると仮定します。 - 接続先である SoftEther VPN Server が動作している IP アドレス
1.2.3.4 - ISAKMP SA で使用する暗号化設定
AES-256 / SHA / DH Group 2 (1024 bit) - IPsec SA で使用する暗号化設定
AES-256 / SHA - IPsec Pre-Shared Key (事前共有鍵) 文字列
vpn
上記のような場合の Cisco ルータにおけるコンフィグレーション例は以下のようになります。
Cisco Configuration Sample
conf t ip classless ip subnet-zero no ip domain-lookup no bba-group pppoe global spanning-tree mode mst spanning-tree extend system-id vtp mode transparent interface FastEthernet 0 ip address dhcp duplex auto speed auto arp timeout 300 no shutdown exit interface FastEthernet 1 no ip address duplex auto speed auto arp timeout 300 no shutdown exit ip routing ip cef no cdp run pseudowire-class L2TPv3 encapsulation l2tpv3 ip local interface FastEthernet 0 exit crypto isakmp policy 1 encryption aes 256 authentication pre-share group 2 exit crypto isakmp key vpn address 0.0.0.0 0.0.0.0 crypto isakmp keepalive 10 2 periodic crypto ipsec fragmentation after-encryption crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac mode transport exit crypto map MAP 1 ipsec-isakmp set peer 1.2.3.4 set transform-set IPSEC match address IPSEC_MATCH_RULE exit ip access-list extended IPSEC_MATCH_RULE permit 115 any any exit interface FastEthernet 0 crypto map MAP exit interface FastEthernet 1 no cdp enable xconnect 1.2.3.4 1 pw-class L2TPv3 bridge-group 1 exit
FastEthernet 0 ポートを WAN 側 (インターネット側)、FastEthernet 1 を VPN のブリッジ側 (VPN を利用する端末が接続されているスイッチ等) に接続することにより、FastEthernet 1 側のセグメントに接続したすべての PC は、Ethernet セグメント (L2) として SoftEther VPN Server の仮想 HUB のセグメントと直結したことになり、任意の通信が可能になります。
Cisco ルータにおける設定情報例 #3 (PPPoE 経由で IP を取得する場合)
1 台または複数台の Cisco ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。
なお、この設定例においては、Cisco ルータはインターネットにまず PPPoE を用いて ISP にダイヤルアップ接続し、次に ISP 経由で IP アドレスを取得する場合を想定しています。
以下の環境を想定した設定例です。お客様の環境に合わせて、適宜読み替えてください。
- Ethernet ポートの用途
FastEthernet 0: WAN 側 (PPPoE による IP アドレス自動取得。NAT の内側でも可)
FastEthernet 1: ブリッジ側 - 物理的な通信に必要な (インターネットに接続するための) グローバル IP アドレス
FastEthernet 0 ポートの Ethernet セグメントが NTT のフレッツ・サービス等の ONU に接続されており、当該セグメントにおいて NTT 収容ビルにある PPPoE サーバーを経由して ISP に接続し、ISP から IP アドレス、サブネットマスクおよびデフォルトゲートウェイの情報を取得してインターネットに接続すると仮定します。 - Cisco ルータがインターネットに PPPoE 接続する際の認証情報
ID: abc12345 @ isp.ad.jp
パスワード: nekojamu - 接続先である SoftEther VPN Server が動作している IP アドレス
1.2.3.4 - ISAKMP SA で使用する暗号化設定
AES-256 / SHA / DH Group 2 (1024 bit) - IPsec SA で使用する暗号化設定
AES-256 / SHA - IPsec Pre-Shared Key (事前共有鍵) 文字列
vpn
上記のような場合の Cisco ルータにおけるコンフィグレーション例は以下のようになります。
Cisco Configuration Sample
conf t ip classless ip subnet-zero no ip domain-lookup no bba-group pppoe global spanning-tree mode mst spanning-tree extend system-id vtp mode transparent interface FastEthernet 0 no ip address duplex auto speed auto arp timeout 300 no shutdown exit interface FastEthernet 1 no ip address duplex auto speed auto arp timeout 300 no shutdown exit ip routing ip cef no cdp run interface FastEthernet 0 pppoe enable pppoe-client dial-pool-number 1 exit interface FastEthernet 1 no ip address exit interface Dialer 1 ip address negotiated encapsulation ppp dialer pool 1 dialer-group 1 ip mtu 1454 keepalive 15 6 ppp authentication chap callin ppp chap hostname abc12345@isp.ad.jp ppp chap password 0 nekojamu dialer idle-timeout 0 dialer persistent exit ip route 0.0.0.0 0.0.0.0 Dialer1 permanent pseudowire-class L2TPv3 encapsulation l2tpv3 ip local interface Dialer 1 exit crypto isakmp policy 1 encryption aes 256 hash sha authentication pre-share group 2 exit crypto isakmp key vpn address 0.0.0.0 0.0.0.0 crypto isakmp keepalive 10 2 periodic crypto ipsec fragmentation after-encryption crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac mode transport exit crypto map MAP 1 ipsec-isakmp set peer 1.2.3.4 set transform-set IPSEC match address IPSEC_MATCH_RULE exit ip access-list extended IPSEC_MATCH_RULE permit 115 any any exit interface Dialer 1 crypto map MAP exit interface FastEthernet 1 no cdp enable xconnect 1.2.3.4 1 pw-class L2TPv3 bridge-group 1 exit
上記のように設定すると、Cisco ルータはSoftEther VPN Server (IP アドレス: 1.2.3.4) との間で IPsec トンネルを自動的に構築し、そのトンネル内で L2TPv3 パケットを送受信することにより VPN 通信が実現されます。
FastEthernet 0 ポートを WAN 側 (インターネット側)、FastEthernet 1 を VPN のブリッジ側 (VPN を利用する端末が接続されているスイッチ等) に接続することにより、FastEthernet 1 側のセグメントに接続したすべての PC は、Ethernet セグメント (L2) として SoftEther VPN Server の仮想 HUB のセグメントと直結したことになり、任意の通信が可能になります。