自分が忘れないためと後からやりたくてもわからない人のための備忘録

• １. 前提
• 2. 設定方法
  • 2-1. IKEプロポーサルの設定
  • 2-2. アクセスリストの作成
  • 2-3. ipsecプロポーサルの設定
  • 2-4. VPN認証のためのプロファイルを作成
  • 2-5. トンネルインターフェースの作成
  • 2-6. トンネリング後に使うインターフェースの設定
  • 2-7. ポートの開放

１. 前提

インターネットへの接続がすでにできる状態を想定しています。

2. 設定方法

2-1. IKEプロポーサルの設定

IKEの暗号化設定を作成(赤字は設定名)

ike proposal ike1 encryption aes-256 hash sha group 1024-bit
ike proposal ike2 encryption aes hash sha group 1024-bit
ike proposal ike3 encryption 3des hash sha group 1024-bit
ike proposal ike4 encryption aes-256 hash sha group 2048-bit

ikeの暗号化キーと使用する暗号化設定を指定

ike policy ike-policy peer any key <ipsec secret key> ike1,ike2,ike3,ike4

2-2. アクセスリストの作成

ip access-list sec-list permit ip src any dest any

2-3. ipsecプロポーサルの設定

ipsec autokey-proposalの作成

ipsec autokey-proposal sec1 esp-aes-256 esp-sha
ipsec autokey-proposal sec2 esp-aes esp-sha
ipsec autokey-proposal sec3 esp-3des esp-sha

使用するipsecのプロポーサルの指定

ipsec dynamic-map <map name>  sec-list sec1,sec2,sec3

2-4. VPN認証のためのプロファイルを作成

ppp profile <profile name>
  authentication request chap #chap認証
  authentication password <user ID> <password> #認証ユーザーの作成
  lcp pfc
  lcp acfc
  ipcp ip-compression
  ipcp provide-remote-dns 192.168.1.1 #DNSサーバの設定
  ipcp provide-ip-address range 192.168.1.11 192.168.1.20 #割り当てアドレスレンジ

ipcp provide-remote-dns：VPN接続時のDNS設定

ipcp provide-ip-address range：VPN接続時に割り当てるアドレス範囲を指定

2-5. トンネルインターフェースの作成

同時接続分だけトンネルインターフェースの作成が必要

interface Tunnel100.0
  description RemoteVPN#1
  ppp binding <さっき作ったプロファイル名>
  tunnel mode l2tp-lns ipsec
  ip unnumbered GigaEthernet2.0 #接続後に通信するためのインターフェース
  ip tcp adjust-mss auto
  ipsec policy transport ipsec-map 
  no shutdown

2-6. トンネリング後に使うインターフェースの設定

interface GigaEthernet2.0

  ip proxy-arp

2-7. ポートの開放

NAPTしてる場合の設定

interface GigaEthernet0.0
  ip napt enable
  ip napt static GigaEthernet0.0 50
  ip napt static GigaEthernet0.0 udp 500
  ip napt static GigaEthernet0.0 udp 4500

とりあえずこれだけ入れれば大体動くはず