Cisco ルータからの L2TPv3 を用いた VPN 接続方法

    Cisco 社のルータ

    Cisco 社のルータで 2005 年発売以降のものは、L2TPv3 over IPsec に対応しています (一部対応していないバージョンもあります。IOS をアップデートすることで対応可能な場合もあります)。

    この Web サイトでは、ソフトイーサ社で所有している「Cisco 1812」および「Cisco 892」における接続方法について解説していますが、これ以外の型番の Cisco ルータであっても L2TP over IPsec に対応していれば同様に接続可能です (コマンド体系などが若干異なる場合があります)。

    ciscopic.png

    Cisco 社のルータ

    事前設定

    Cisco の設定を行う前に、まず、SoftEther VPN の IPsec 機能の設定を行う必要があります。

    01.png

    上記の画面における「EtherIP / L2TPv3 over IPsec サーバー機能有効」をチェックしてから、「サーバー機能の詳細設定」ボタンをクリックして「追加」ボタンを押してください。すると、以下のような画面が表示されます。

    02.png

    この画面では、L2TPv3 クライアント (ルータ等) が VPN Server に対して IPsec 接続を行おうとする際に提示される ISAKMP (IKE) Phase 1 の ID 文字列と、接続先の仮想 HUB や仮想 HUB 内のユーザーの設定との関連付けを事前に登録しておくことができます。

    たとえば、ここでは上記の画面のように L2TPv3 対応ルータ からの VPN 接続を、仮想 HUB 「DEFAULT」におけるユーザー「l2tpv3」として接続させる設定を行った状態であると仮定して、以下の説明を行います。

    (ユーザー「l2tpv3」は仮想 HUB 「DEFAULT」に予め登録しておく必要があります。)

    ここで、本来は Cisco ルータが VPN Server に対して提示する ISAKMP (IKE) Phase 1 の ID 文字列 または IP アドレスを指定することになりますが、今回の接続実験では簡単のため「*」 (アスタリスク) という 1 文字の ID を指定しましょう。この特別なワイルドカード指定は、いかなる ID を提示した VPN ルータからの接続でも受入れるということを示します。

    なお、本番運用に移行する際には、VPN Server 側で定義する ID 文字列を Cisco ルータ側で設定した文字列と同一のものに変更しておくことがセキュリティ上好ましいと言えます。

    Cisco ルータにおける設定情報例 #1 (固定 IP アドレス割当の場合)

    1 台または複数台の Cisco ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。

    なお、この設定例においては、Cisco ルータには固定の IP アドレス (グローバル IP アドレス、または NAT 背後のプライベート IP アドレスのいずれでも差し支えありません) を割当てていることを前提としています。Cisco ルータに可変の IP アドレスを割当てる場合や、PPPoE 等で ISP から IP アドレスを自動取得するような場合の設定例については後述します。

    以下の環境を想定した設定例です。お客様の環境に合わせて、適宜読み替えてください。

    • Ethernet ポートの用途
      FastEthernet 0: WAN 側 (IP アドレス固定: 2.3.4.5。NAT の内側でも可)
      FastEthernet 1: ブリッジ側
    • 物理的な通信に必要な (インターネットに接続するための) グローバル IP アドレス
      FastEthernet 0 ポートの Ethernet セグメントにおいて
      IP アドレス: 2.3.4.5 / 255.255.255.0
      デフォルトゲートウェイ: 2.3.4.254
      としてインターネットに接続していると仮定します。
    • 接続先である SoftEther VPN Server が動作している IP アドレス
      1.2.3.4
    • ISAKMP SA で使用する暗号化設定
      AES-256 / SHA / DH Group 2 (1024 bit)
    • IPsec SA で使用する暗号化設定
      AES-256 / SHA
    • IPsec Pre-Shared Key (事前共有鍵) 文字列
      vpn

    上記のような場合の Cisco ルータにおけるコンフィグレーション例は以下のようになります。

    Cisco Configuration Sample

    conf t
    ip classless
    ip subnet-zero
    no ip domain-lookup
    no bba-group pppoe global
    
    spanning-tree mode mst
    spanning-tree extend system-id
    vtp mode transparent
    
    interface FastEthernet 0
    ip address dhcp
    duplex auto
    speed auto
    arp timeout 300
    no shutdown
    exit
    
    interface FastEthernet 1
    no ip address
    duplex auto
    speed auto
    arp timeout 300
    no shutdown
    exit
    
    ip routing
    ip cef
    
    no cdp run
    
    pseudowire-class L2TPv3
    encapsulation l2tpv3
    ip local interface FastEthernet 0
    exit
    
    crypto isakmp policy 1
    encryption aes 256
    authentication pre-share
    group 2
    exit
    
    crypto isakmp key vpn address 0.0.0.0 0.0.0.0
    crypto isakmp keepalive 10 2 periodic
    crypto ipsec fragmentation after-encryption
    crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
    mode transport
    exit
    
    crypto map MAP 1 ipsec-isakmp
    set peer 1.2.3.4
    set transform-set IPSEC
    match address IPSEC_MATCH_RULE
    exit
    
    ip access-list extended IPSEC_MATCH_RULE
    permit 115 any any
    exit
    
    interface FastEthernet 0
    crypto map MAP
    exit
    
    interface FastEthernet 1
    no cdp enable
    xconnect 1.2.3.4 1 pw-class L2TPv3
    bridge-group 1
    exit

    上記のように設定すると、Cisco ルータはSoftEther VPN Server (IP アドレス: 1.2.3.4) との間で IPsec トンネルを自動的に構築し、そのトンネル内で L2TPv3 パケットを送受信することにより VPN 通信が実現されます。

    FastEthernet 0 ポートを WAN 側 (インターネット側)、FastEthernet 1 を VPN のブリッジ側 (VPN を利用する端末が接続されているスイッチ等) に接続することにより、FastEthernet 1 側のセグメントに接続したすべての PC は、Ethernet セグメント (L2) として SoftEther VPN Server の仮想 HUB のセグメントと直結したことになり、任意の通信が可能になります。

    Cisco ルータにおける設定情報例 #2 (DHCP 経由で IP を取得する場合)

    1 台または複数台の Cisco ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。

    なお、この設定例においては、Cisco ルータにはインターネット接続のための動的な IP アドレス (グローバル IP アドレス、または NAT 背後のプライベート IP アドレスのいずれでも差し支えありません) が DHCP サーバーから割当られることを前提としています。

    以下の環境を想定した設定例です。お客様の環境に合わせて、適宜読み替えてください。

    • Ethernet ポートの用途
      FastEthernet 0: WAN 側 (DHCP による IP アドレス自動取得。NAT の内側でも可)
      FastEthernet 1: ブリッジ側
    • 物理的な通信に必要な (インターネットに接続するための) グローバル IP アドレス
      FastEthernet 0 ポートの Ethernet セグメントにおいて DHCP サーバーから IP アドレス、サブネットマスクおよびデフォルトゲートウェイの情報を取得してインターネットに接続すると仮定します。
    • 接続先である SoftEther VPN Server が動作している IP アドレス
      1.2.3.4
    • ISAKMP SA で使用する暗号化設定
      AES-256 / SHA / DH Group 2 (1024 bit)
    • IPsec SA で使用する暗号化設定
      AES-256 / SHA
    • IPsec Pre-Shared Key (事前共有鍵) 文字列
      vpn

    上記のような場合の Cisco ルータにおけるコンフィグレーション例は以下のようになります。

    Cisco Configuration Sample

    conf t
    ip classless
    ip subnet-zero
    no ip domain-lookup
    no bba-group pppoe global
    
    spanning-tree mode mst
    spanning-tree extend system-id
    vtp mode transparent
    
    interface FastEthernet 0
    ip address dhcp
    duplex auto
    speed auto
    arp timeout 300
    no shutdown
    exit
    
    interface FastEthernet 1
    no ip address
    duplex auto
    speed auto
    arp timeout 300
    no shutdown
    exit
    
    ip routing
    ip cef
    
    no cdp run
    
    pseudowire-class L2TPv3
    encapsulation l2tpv3
    ip local interface FastEthernet 0
    exit
    
    crypto isakmp policy 1
    encryption aes 256
    authentication pre-share
    group 2
    exit
    
    crypto isakmp key vpn address 0.0.0.0 0.0.0.0
    crypto isakmp keepalive 10 2 periodic
    crypto ipsec fragmentation after-encryption
    crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
    mode transport
    exit
    
    crypto map MAP 1 ipsec-isakmp
    set peer 1.2.3.4
    set transform-set IPSEC
    match address IPSEC_MATCH_RULE
    exit
    
    ip access-list extended IPSEC_MATCH_RULE
    permit 115 any any
    exit
    
    interface FastEthernet 0
    crypto map MAP
    exit
    
    interface FastEthernet 1
    no cdp enable
    xconnect 1.2.3.4 1 pw-class L2TPv3
    bridge-group 1
    exit
    上記のように設定すると、Cisco ルータはSoftEther VPN Server (IP アドレス: 1.2.3.4) との間で IPsec トンネルを自動的に構築し、そのトンネル内で L2TPv3 パケットを送受信することにより VPN 通信が実現されます。

    FastEthernet 0 ポートを WAN 側 (インターネット側)、FastEthernet 1 を VPN のブリッジ側 (VPN を利用する端末が接続されているスイッチ等) に接続することにより、FastEthernet 1 側のセグメントに接続したすべての PC は、Ethernet セグメント (L2) として SoftEther VPN Server の仮想 HUB のセグメントと直結したことになり、任意の通信が可能になります。

    Cisco ルータにおける設定情報例 #3 (PPPoE 経由で IP を取得する場合)

    1 台または複数台の Cisco ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。

    なお、この設定例においては、Cisco ルータはインターネットにまず PPPoE を用いて ISP にダイヤルアップ接続し、次に ISP 経由で IP アドレスを取得する場合を想定しています。

    以下の環境を想定した設定例です。お客様の環境に合わせて、適宜読み替えてください。

    • Ethernet ポートの用途
      FastEthernet 0: WAN 側 (PPPoE による IP アドレス自動取得。NAT の内側でも可)
      FastEthernet 1: ブリッジ側
    • 物理的な通信に必要な (インターネットに接続するための) グローバル IP アドレス
      FastEthernet 0 ポートの Ethernet セグメントが NTT のフレッツ・サービス等の ONU に接続されており、当該セグメントにおいて NTT 収容ビルにある PPPoE サーバーを経由して ISP に接続し、ISP から IP アドレス、サブネットマスクおよびデフォルトゲートウェイの情報を取得してインターネットに接続すると仮定します。
    • Cisco ルータがインターネットに PPPoE 接続する際の認証情報
      ID: abc12345 @ isp.ad.jp
      パスワード: nekojamu
    • 接続先である SoftEther VPN Server が動作している IP アドレス
      1.2.3.4
    • ISAKMP SA で使用する暗号化設定
      AES-256 / SHA / DH Group 2 (1024 bit)
    • IPsec SA で使用する暗号化設定
      AES-256 / SHA
    • IPsec Pre-Shared Key (事前共有鍵) 文字列
      vpn

    上記のような場合の Cisco ルータにおけるコンフィグレーション例は以下のようになります。

     

    Cisco Configuration Sample

    conf t
    ip classless
    ip subnet-zero
    no ip domain-lookup
    no bba-group pppoe global
    
    spanning-tree mode mst
    spanning-tree extend system-id
    vtp mode transparent
    
    interface FastEthernet 0
    no ip address
    duplex auto
    speed auto
    arp timeout 300
    no shutdown
    exit
    
    interface FastEthernet 1
    no ip address
    duplex auto
    speed auto
    arp timeout 300
    no shutdown
    exit
    
    ip routing
    ip cef
    
    no cdp run
    
    interface FastEthernet 0
    pppoe enable
    pppoe-client dial-pool-number 1
    exit
    
    interface FastEthernet 1
    no ip address
    exit
    
    interface Dialer 1
    ip address negotiated
    encapsulation ppp
    dialer pool 1
    dialer-group 1
    ip mtu 1454
    keepalive 15 6
    ppp authentication chap callin
    ppp chap hostname abc12345@isp.ad.jp
    ppp chap password 0 nekojamu
    dialer idle-timeout 0
    dialer persistent
    exit
    
    ip route 0.0.0.0 0.0.0.0 Dialer1 permanent
    
    pseudowire-class L2TPv3
    encapsulation l2tpv3
    ip local interface Dialer 1
    exit
    
    crypto isakmp policy 1
    encryption aes 256
    hash sha
    authentication pre-share
    group 2
    exit
    
    crypto isakmp key vpn address 0.0.0.0 0.0.0.0
    crypto isakmp keepalive 10 2 periodic
    crypto ipsec fragmentation after-encryption
    crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
    mode transport
    exit
    
    crypto map MAP 1 ipsec-isakmp
    set peer 1.2.3.4
    set transform-set IPSEC
    match address IPSEC_MATCH_RULE
    exit
    
    ip access-list extended IPSEC_MATCH_RULE
    permit 115 any any
    exit
    
    interface Dialer 1
    crypto map MAP
    exit
    
    interface FastEthernet 1
    no cdp enable
    xconnect 1.2.3.4 1 pw-class L2TPv3
    bridge-group 1
    exit
     

    上記のように設定すると、Cisco ルータはSoftEther VPN Server (IP アドレス: 1.2.3.4) との間で IPsec トンネルを自動的に構築し、そのトンネル内で L2TPv3 パケットを送受信することにより VPN 通信が実現されます。

    FastEthernet 0 ポートを WAN 側 (インターネット側)、FastEthernet 1 を VPN のブリッジ側 (VPN を利用する端末が接続されているスイッチ等) に接続することにより、FastEthernet 1 側のセグメントに接続したすべての PC は、Ethernet セグメント (L2) として SoftEther VPN Server の仮想 HUB のセグメントと直結したことになり、任意の通信が可能になります。

    SoftEther VPN と Cisco ルータを組み合わせるメリットの解説もお読みください。