🎄teratailクリスマスプレゼントキャンペーン2024🎄』開催中!

\teratail特別グッズやAmazonギフトカード最大2,000円分が当たる!/

詳細はこちら
VPN

VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。

IPv4

IPv4(Internet Protocol version 4)は、インターネットプロトコルの一つ。インターネットに繋がったコンピューターや機器を識別するためのIPアドレスを32ビット表記で表わします。しかしIPv4は、限界があるため、IPv6が次世代プロトコルとして注目されています。

PPPoE

PPPoE(PPP over Ethernet)は、PPPの認証機能などをLANなどで用いられるイーサネット上でも利用できるようにした通信プロトコル。RFC2516で定義されており、インターネット接続サービスにおいてブリッジ接続のために利用されています。

Q&A

解決済

1回答

6947閲覧

YamahaとCiscoのIPsecフェーズ2に失敗する

funmas

総合スコア31

VPN

VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。

IPv4

IPv4(Internet Protocol version 4)は、インターネットプロトコルの一つ。インターネットに繋がったコンピューターや機器を識別するためのIPアドレスを32ビット表記で表わします。しかしIPv4は、限界があるため、IPv6が次世代プロトコルとして注目されています。

PPPoE

PPPoE(PPP over Ethernet)は、PPPの認証機能などをLANなどで用いられるイーサネット上でも利用できるようにした通信プロトコル。RFC2516で定義されており、インターネット接続サービスにおいてブリッジ接続のために利用されています。

0グッド

0クリップ

投稿2021/01/28 05:44

編集2021/01/29 06:08

前提・実現したいこと

Yamaha(RTX1210)と、
Cisco(C841M)をIPsecでインターネット間の拠点間接続を行いたい。

イメージ説明

発生している問題・エラーメッセージ

IKEv1のフェーズ1はクリアできたようですが、
フェーズ2がどうやってもクリアできず、どこに原因があるかわからない状態です。

yamaha確認方法:show ipsec saで表示を確認
cisco確認方法:show crypto isakmp saで表示を確認
お互いのデフォルトゲートウェイにpingを飛ばすも返ってこず、
WANIP(グローバルIP)にはpingの応答があります。

YamahaとCiscoのコンフィグ

Yamaha

1# Reporting Date: Jan 28 10:25:46 2021 2login timer clear 3ip route default gateway pp 1 4ip route 192.168.44.0/24 gateway tunnel 1 5ip lan1 address 192.168.95.1/24 6pp select 1 7 pp always-on on 8 pppoe use lan2 9 pppoe auto disconnect off 10 pp auth accept pap chap 11 pp auth myname [MYNAME1] [PASSWORD1] 12 ppp lcp mru on 1454 13 ppp ipcp ipaddress on 14 ppp ipcp msext on 15 ppp ccp type none 16 ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200100 200101 200102 17 ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099 18 ip pp nat descriptor 1000 19 pp enable 1 20tunnel select 1 21 ipsec tunnel 1 22 ipsec sa policy 1 1 esp 3des-cbc md5-hmac 23 ipsec ike duration ipsec-sa 1 3600 24 ipsec ike duration isakmp-sa 1 28800 25 ipsec ike encryption 1 3des-cbc 26 ipsec ike group 1 modp1024 27 ipsec ike hash 1 sha 28 ipsec ike keepalive log 1 off 29 ipsec ike keepalive use 1 on 30 ipsec ike local address 1 192.168.95.1 31 ipsec ike local id 1 192.168.95.0/24 32 ipsec ike nat-traversal 1 on 33 ipsec ike pre-shared-key 1 text [事前共有鍵] 34 ipsec ike remote address 1 [CiscoのWANIP(固定)] 35 ipsec ike remote id 1 192.168.44.0/24 36 ip tunnel tcp mss limit auto 37 tunnel enable 1 38~~~フィルタ設定略~~~ 39ip filter 200099 pass * * * * * 40ip filter 200100 pass * 192.168.95.1 udp * 500 41ip filter 200101 pass * 192.168.95.1 esp 42ip filter 200102 pass * 192.168.95.1 udp * 4500 43~~~フィルタ設定略~~~ 44nat descriptor address outer 1 [YamahaのWANIP(固定)] 45nat descriptor type 1000 masquerade 46nat descriptor masquerade static 1000 1 192.168.95.1 udp 500 47nat descriptor masquerade static 1000 2 192.168.95.1 esp 48nat descriptor masquerade static 1000 3 192.168.95.1 udp 4500 49ipsec use on 50ipsec auto refresh on 51syslog notice on 52syslog debug on 53telnetd host lan 54dhcp service server 55dhcp server rfc2131 compliant except remain-silent 56dhcp scope 1 192.168.95.2-192.168.95.191/24 57dns host lan1 58dns server pp 1 59dns server select 500001 pp 1 any . restrict pp 1 60dns private address spoof on 61statistics traffic on

cisco

1version 15.5 2service timestamps debug datetime msec 3service timestamps log datetime msec 4service password-encryption 5! 6hostname C841M 7! 8boot-start-marker 9boot-end-marker 10! 11! 12logging buffered 51200 warnings 13no logging console 14! 15no aaa new-model 16ethernet lmi ce 17clock timezone GMT 9 0 18! 19! 20! 21! 22! 23ip nbar http-services 24! 25! 26ip dhcp excluded-address 192.168.44.1 27! 28ip dhcp pool ccp-pool 29 import all 30 network 192.168.44.0 255.255.255.0 31 default-router 192.168.44.1 32 dns-server 192.168.44.1 33 lease 0 2 34! 35! 36! 37ip domain name example.comz 38ip cef 39no ipv6 cef 40! 41! 42parameter-map type inspect global 43 max-incomplete low 18000 44 max-incomplete high 20000 45 nbar-classify 46! 47license udi pid C841M-4X-JSEC/K9 sn FGL210824CM 48! 49! 50object-group network Others_dst_net 51 any 52! 53object-group network Others_src_net 54 any 55! 56object-group service Others_svc 57 ip 58! 59object-group network Web_dst_net 60 any 61! 62object-group network Web_src_net 63 any 64! 65object-group service Web_svc 66 ip 67! 68object-group network local_cws_net 69! 70object-group network local_lan_subnets 71 192.168.44.0 255.255.255.0 72! 73object-group network vpn_remote_subnets 74 any 75! 76username [login-name] privilege 15 secret 5 [login-password] 77! 78redundancy 79! 80! 81! 82! 83no cdp run 84! 85! 86crypto isakmp policy 1 87 encr 3des 88 authentication pre-share 89 group 2 90 lifetime 28800 91crypto isakmp key [事前共有鍵] address [YamahaのWANIP(固定)] 92crypto isakmp keepalive 10 93crypto isakmp aggressive-mode disable 94! 95! 96crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac 97 mode tunnel 98! 99crypto ipsec profile VTI 100 set transform-set IPSEC 101! 102! 103! 104crypto map TEST local-address GigabitEthernet0/4 105crypto map TEST 1 ipsec-isakmp 106 set peer [YamahaのWANIP(固定)] 107 set transform-set IPSEC 108 match address 100 109! 110! 111! 112! 113! 114interface Loopback0 115 no ip address 116! 117interface Tunnel0 118 no ip address 119 ip unnumbered Loopback0 120 tunnel source Dialer1 121 tunnel mode ipsec ipv4 122 tunnel destination [YamahaのWANIP(固定)] 123 tunnel protection ipsec profile VTI 124! 125interface GigabitEthernet0/0 126 no ip address 127! 128~~~interface省略~~~ 129interface GigabitEthernet0/4 130 description PrimaryWANDesc_ 131 no ip address 132 ip nbar protocol-discovery 133 ip tcp adjust-mss 1412 134 duplex auto 135 speed auto 136 pppoe enable group global 137 pppoe-client dial-pool-number 1 138 crypto map TEST 139! 140interface GigabitEthernet0/5 141 no ip address 142 shutdown 143 duplex auto 144 speed auto 145! 146interface Vlan1 147 description $ETH_LAN$ 148 ip address 192.168.44.1 255.255.255.0 149 ip nbar protocol-discovery 150 ip flow monitor application-mon input 151 ip flow ingress 152 ip flow egress 153 ip nat inside 154 ip virtual-reassembly in 155 zone-member security LAN 156 ip tcp adjust-mss 1412 157 load-interval 30 158! 159interface Dialer1 160 description PrimaryWANDesc__GigabitEthernet0/4 161 mtu 1454 162 ip address negotiated 163 ip mtu 1452 164 ip nbar protocol-discovery 165 ip nat outside 166 ip virtual-reassembly in 167 zone-member security WAN 168 encapsulation ppp 169 dialer pool 1 170 dialer-group 1 171 ppp mtu adaptive 172 ppp authentication chap callin 173 ppp chap hostname [MYNAME2] 174 ppp chap password 7 [PASSWORD2] 175 ppp ipcp dns request 176 no cdp enable 177! 178ip forward-protocol nd 179ip http server 180ip http access-class 23 181ip http authentication local 182ip http secure-server 183ip http timeout-policy idle 60 life 86400 requests 10000 184! 185! 186ip dns server 187ip nat inside source list nat-list interface Dialer1 overload 188ip route 0.0.0.0 0.0.0.0 Dialer1 189ip route 192.168.95.0 255.255.255.0 Dialer1 190! 191! 192dialer-list 1 protocol ip permit 193! 194! 195access-list 23 permit 192.168.44.0 0.0.0.255 196access-list 100 permit ip 192.168.44.0 0.0.0.255 192.168.95.0 0.0.0.255 197access-list 100 permit ip any any 198! 199! 200~~~省略~~~ 201! 202scheduler allocate 20000 1000 203! 204end

状態確認

yamaha

1pp1# show ipsec sa 2Total: isakmp:1 send:1 recv:1 3 4sa sgw isakmp connection dir life[s] remote-id 5---------------------------------------------------------------------------- 62 1 - isakmp - 28766 [CiscoのWANIP] 73 1 2 tun[0001]esp send 3568 [CiscoのWANIP] 84 1 2 tun[0001]esp recv 3568 [CiscoのWANIP]

cisco

1C841M# show crypto isakmp sa 2IPv4 Crypto ISAKMP SA 3dst src state conn-id status 4[CiscoのWANIP] [YamahaのWANIP] QM_IDLE 2051 ACTIVE 5[CiscoのWANIP] [YamahaのWANIP] QM_IDLE 2050 ACTIVE 6[CiscoのWANIP] [YamahaのWANIP] QM_IDLE 3066 ACTIVE 7[CiscoのWANIP] [YamahaのWANIP] QM_IDLE 2846 ACTIVE 8 9IPv6 Crypto ISAKMP SA

cisco

1C841M#show crypto ipsec sa 2 3interface: Tunnel0 4 Crypto map tag: Tunnel0-head-0, local addr [CiscoのWANIP] 5 6 protected vrf: (none) 7 local ident (addr/mask/prot/port): (192.168.44.0/255.255.255.0/0/0) 8 remote ident (addr/mask/prot/port): (192.168.95.0/255.255.255.0/0/0) 9 current_peer [YamahaのWANIP] port 500 10 PERMIT, flags={} 11 #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 12 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 13 #pkts compressed: 0, #pkts decompressed: 0 14 #pkts not compressed: 0, #pkts compr. failed: 0 15 #pkts not decompressed: 0, #pkts decompress failed: 0 16 #send errors 0, #recv errors 0 17 18 local crypto endpt.: [CiscoのWANIP], remote crypto endpt.: [YamahaのWANIP] 19 plaintext mtu 1398, path mtu 1452, ip mtu 1452, ip mtu idb Dialer1 20 current outbound spi: 0xD003E551(3489916241) 21 PFS (Y/N): N, DH group: none 22 23 inbound esp sas: 24 spi: 0x52EAC8CB(1391118539) 25 transform: esp-3des esp-md5-hmac , 26 in use settings ={Tunnel, } 27 ~~~省略~~~ 28 29 outbound esp sas: 30 spi: 0xD003E551(3489916241) 31 transform: esp-3des esp-md5-hmac , 32 in use settings ={Tunnel, } 33 ~~~省略~~~ 34 35 36interface: GigabitEthernet0/4 37 Crypto map tag: TEST, local addr 0.0.0.0 38 39 protected vrf: (none) 40 ~~~省略~~~ 41 42 protected vrf: (none) 43 ~~~省略~~~

試したこと

公式のサンプルやトラブルシューティング、ネットに落ちている情報を頼りに、
IPsecの設定を行いました。

PPPoEやインターフェースの設定などは、主にGUIの初期設定を流用していますが、
それ以降はCLIのみで操作を行っています。

個人的にYamahaに問題はなさそうな気がしていて、
Cisco側が問題なのかなと考えています。

crypto map TESTの位置が、G0/4に設定するのが間違えているのかと思いましたが、VlanやDialerに設定すると、ネットが使えない状態になった為、G0/4に設定しています。

NATとIPsecの共存が難しいとの記事を見て、それに対応する設定を入れました(はず)が、いまだにつなげない状態です。

さいごに

問題の切り分けが出来ず、情報が多くて大変申し訳ないです。
どれだけ小さなヒントでも構いませんので、お気づきの点があれば教えていただけると嬉しいです。
なにとぞ、よろしくお願いします。

補足情報(FW/ツールのバージョンなど)

RTX1210
C841M
プロバイダ2本使用
コンソールケーブルで操作

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

自己解決

事例はあるものの、同一ベンダーで揃えるのが、基本であるということを知り、
Cisco IOSを二台購入することになりましたので、回答を締めさせていただきます。

ご確認いただきありがとうございました。

※本件に関することで言えば、VTIを設定するならば、crypt mapは不要のようです。

投稿2021/02/10 05:20

funmas

総合スコア31

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.36%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問