質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
86.12%
VPN

VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。

IPv4

IPv4(Internet Protocol version 4)は、インターネットプロトコルの一つ。インターネットに繋がったコンピューターや機器を識別するためのIPアドレスを32ビット表記で表わします。しかしIPv4は、限界があるため、IPv6が次世代プロトコルとして注目されています。

PPPoE

PPPoE(PPP over Ethernet)は、PPPの認証機能などをLANなどで用いられるイーサネット上でも利用できるようにした通信プロトコル。RFC2516で定義されており、インターネット接続サービスにおいてブリッジ接続のために利用されています。

解決済

YamahaとCiscoのIPsecフェーズ2に失敗する

funmas
funmas

総合スコア31

VPN

VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。

IPv4

IPv4(Internet Protocol version 4)は、インターネットプロトコルの一つ。インターネットに繋がったコンピューターや機器を識別するためのIPアドレスを32ビット表記で表わします。しかしIPv4は、限界があるため、IPv6が次世代プロトコルとして注目されています。

PPPoE

PPPoE(PPP over Ethernet)は、PPPの認証機能などをLANなどで用いられるイーサネット上でも利用できるようにした通信プロトコル。RFC2516で定義されており、インターネット接続サービスにおいてブリッジ接続のために利用されています。

1回答

0リアクション

0クリップ

3374閲覧

投稿2021/01/28 05:44

編集2021/01/29 06:08

前提・実現したいこと

Yamaha(RTX1210)と、
Cisco(C841M)をIPsecでインターネット間の拠点間接続を行いたい。

イメージ説明

発生している問題・エラーメッセージ

IKEv1のフェーズ1はクリアできたようですが、
フェーズ2がどうやってもクリアできず、どこに原因があるかわからない状態です。

yamaha確認方法:show ipsec saで表示を確認
cisco確認方法:show crypto isakmp saで表示を確認
お互いのデフォルトゲートウェイにpingを飛ばすも返ってこず、
WANIP(グローバルIP)にはpingの応答があります。

YamahaとCiscoのコンフィグ

Yamaha

# Reporting Date: Jan 28 10:25:46 2021 login timer clear ip route default gateway pp 1 ip route 192.168.44.0/24 gateway tunnel 1 ip lan1 address 192.168.95.1/24 pp select 1 pp always-on on pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname [MYNAME1] [PASSWORD1] ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200100 200101 200102 ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099 ip pp nat descriptor 1000 pp enable 1 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc md5-hmac ipsec ike duration ipsec-sa 1 3600 ipsec ike duration isakmp-sa 1 28800 ipsec ike encryption 1 3des-cbc ipsec ike group 1 modp1024 ipsec ike hash 1 sha ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.95.1 ipsec ike local id 1 192.168.95.0/24 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text [事前共有鍵] ipsec ike remote address 1 [CiscoのWANIP(固定)] ipsec ike remote id 1 192.168.44.0/24 ip tunnel tcp mss limit auto tunnel enable 1 ~~~フィルタ設定略~~~ ip filter 200099 pass * * * * * ip filter 200100 pass * 192.168.95.1 udp * 500 ip filter 200101 pass * 192.168.95.1 esp ip filter 200102 pass * 192.168.95.1 udp * 4500 ~~~フィルタ設定略~~~ nat descriptor address outer 1 [YamahaのWANIP(固定)] nat descriptor type 1000 masquerade nat descriptor masquerade static 1000 1 192.168.95.1 udp 500 nat descriptor masquerade static 1000 2 192.168.95.1 esp nat descriptor masquerade static 1000 3 192.168.95.1 udp 4500 ipsec use on ipsec auto refresh on syslog notice on syslog debug on telnetd host lan dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.95.2-192.168.95.191/24 dns host lan1 dns server pp 1 dns server select 500001 pp 1 any . restrict pp 1 dns private address spoof on statistics traffic on

cisco

version 15.5 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname C841M ! boot-start-marker boot-end-marker ! ! logging buffered 51200 warnings no logging console ! no aaa new-model ethernet lmi ce clock timezone GMT 9 0 ! ! ! ! ! ip nbar http-services ! ! ip dhcp excluded-address 192.168.44.1 ! ip dhcp pool ccp-pool import all network 192.168.44.0 255.255.255.0 default-router 192.168.44.1 dns-server 192.168.44.1 lease 0 2 ! ! ! ip domain name example.comz ip cef no ipv6 cef ! ! parameter-map type inspect global max-incomplete low 18000 max-incomplete high 20000 nbar-classify ! license udi pid C841M-4X-JSEC/K9 sn FGL210824CM ! ! object-group network Others_dst_net any ! object-group network Others_src_net any ! object-group service Others_svc ip ! object-group network Web_dst_net any ! object-group network Web_src_net any ! object-group service Web_svc ip ! object-group network local_cws_net ! object-group network local_lan_subnets 192.168.44.0 255.255.255.0 ! object-group network vpn_remote_subnets any ! username [login-name] privilege 15 secret 5 [login-password] ! redundancy ! ! ! ! no cdp run ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 lifetime 28800 crypto isakmp key [事前共有鍵] address [YamahaのWANIP(固定)] crypto isakmp keepalive 10 crypto isakmp aggressive-mode disable ! ! crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac mode tunnel ! crypto ipsec profile VTI set transform-set IPSEC ! ! ! crypto map TEST local-address GigabitEthernet0/4 crypto map TEST 1 ipsec-isakmp set peer [YamahaのWANIP(固定)] set transform-set IPSEC match address 100 ! ! ! ! ! interface Loopback0 no ip address ! interface Tunnel0 no ip address ip unnumbered Loopback0 tunnel source Dialer1 tunnel mode ipsec ipv4 tunnel destination [YamahaのWANIP(固定)] tunnel protection ipsec profile VTI ! interface GigabitEthernet0/0 no ip address ! ~~~interface省略~~~ interface GigabitEthernet0/4 description PrimaryWANDesc_ no ip address ip nbar protocol-discovery ip tcp adjust-mss 1412 duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 crypto map TEST ! interface GigabitEthernet0/5 no ip address shutdown duplex auto speed auto ! interface Vlan1 description $ETH_LAN$ ip address 192.168.44.1 255.255.255.0 ip nbar protocol-discovery ip flow monitor application-mon input ip flow ingress ip flow egress ip nat inside ip virtual-reassembly in zone-member security LAN ip tcp adjust-mss 1412 load-interval 30 ! interface Dialer1 description PrimaryWANDesc__GigabitEthernet0/4 mtu 1454 ip address negotiated ip mtu 1452 ip nbar protocol-discovery ip nat outside ip virtual-reassembly in zone-member security WAN encapsulation ppp dialer pool 1 dialer-group 1 ppp mtu adaptive ppp authentication chap callin ppp chap hostname [MYNAME2] ppp chap password 7 [PASSWORD2] ppp ipcp dns request no cdp enable ! ip forward-protocol nd ip http server ip http access-class 23 ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ! ! ip dns server ip nat inside source list nat-list interface Dialer1 overload ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 192.168.95.0 255.255.255.0 Dialer1 ! ! dialer-list 1 protocol ip permit ! ! access-list 23 permit 192.168.44.0 0.0.0.255 access-list 100 permit ip 192.168.44.0 0.0.0.255 192.168.95.0 0.0.0.255 access-list 100 permit ip any any ! ! ~~~省略~~~ ! scheduler allocate 20000 1000 ! end

状態確認

yamaha

pp1# show ipsec sa Total: isakmp:1 send:1 recv:1 sa sgw isakmp connection dir life[s] remote-id ---------------------------------------------------------------------------- 2 1 - isakmp - 28766 [CiscoのWANIP] 3 1 2 tun[0001]esp send 3568 [CiscoのWANIP] 4 1 2 tun[0001]esp recv 3568 [CiscoのWANIP]

cisco

C841M# show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status [CiscoのWANIP] [YamahaのWANIP] QM_IDLE 2051 ACTIVE [CiscoのWANIP] [YamahaのWANIP] QM_IDLE 2050 ACTIVE [CiscoのWANIP] [YamahaのWANIP] QM_IDLE 3066 ACTIVE [CiscoのWANIP] [YamahaのWANIP] QM_IDLE 2846 ACTIVE IPv6 Crypto ISAKMP SA

cisco

C841M#show crypto ipsec sa interface: Tunnel0 Crypto map tag: Tunnel0-head-0, local addr [CiscoのWANIP] protected vrf: (none) local ident (addr/mask/prot/port): (192.168.44.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.95.0/255.255.255.0/0/0) current_peer [YamahaのWANIP] port 500 PERMIT, flags={} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: [CiscoのWANIP], remote crypto endpt.: [YamahaのWANIP] plaintext mtu 1398, path mtu 1452, ip mtu 1452, ip mtu idb Dialer1 current outbound spi: 0xD003E551(3489916241) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0x52EAC8CB(1391118539) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } ~~~省略~~~ outbound esp sas: spi: 0xD003E551(3489916241) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } ~~~省略~~~ interface: GigabitEthernet0/4 Crypto map tag: TEST, local addr 0.0.0.0 protected vrf: (none) ~~~省略~~~ protected vrf: (none) ~~~省略~~~

試したこと

公式のサンプルやトラブルシューティング、ネットに落ちている情報を頼りに、
IPsecの設定を行いました。

PPPoEやインターフェースの設定などは、主にGUIの初期設定を流用していますが、
それ以降はCLIのみで操作を行っています。

個人的にYamahaに問題はなさそうな気がしていて、
Cisco側が問題なのかなと考えています。

crypto map TESTの位置が、G0/4に設定するのが間違えているのかと思いましたが、VlanやDialerに設定すると、ネットが使えない状態になった為、G0/4に設定しています。

NATとIPsecの共存が難しいとの記事を見て、それに対応する設定を入れました(はず)が、いまだにつなげない状態です。

さいごに

問題の切り分けが出来ず、情報が多くて大変申し訳ないです。
どれだけ小さなヒントでも構いませんので、お気づきの点があれば教えていただけると嬉しいです。
なにとぞ、よろしくお願いします。

補足情報(FW/ツールのバージョンなど)

RTX1210
C841M
プロバイダ2本使用
コンソールケーブルで操作

以下のような質問にはリアクションをつけましょう

  • 質問内容が明確
  • 自分も答えを知りたい
  • 質問者以外のユーザにも役立つ

リアクションが多い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

下記のような質問は推奨されていません。

  • 間違っている
  • 質問になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

適切な質問に修正を依頼しましょう。

まだ回答がついていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
86.12%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

VPN

VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。

IPv4

IPv4(Internet Protocol version 4)は、インターネットプロトコルの一つ。インターネットに繋がったコンピューターや機器を識別するためのIPアドレスを32ビット表記で表わします。しかしIPv4は、限界があるため、IPv6が次世代プロトコルとして注目されています。

PPPoE

PPPoE(PPP over Ethernet)は、PPPの認証機能などをLANなどで用いられるイーサネット上でも利用できるようにした通信プロトコル。RFC2516で定義されており、インターネット接続サービスにおいてブリッジ接続のために利用されています。