NEC IXでリモートアクセスVPNをする
自分が忘れないためと後からやりたくてもわからない人のための備忘録
1. 前提
インターネットへの接続がすでにできる状態を想定しています。
2. 設定方法
2-1. IKEプロポーサルの設定
IKEの暗号化設定を作成(赤字は設定名)
ike proposal ike1 encryption aes-256 hash sha group 1024-bit
ike proposal ike2 encryption aes hash sha group 1024-bit
ike proposal ike3 encryption 3des hash sha group 1024-bit
ike proposal ike4 encryption aes-256 hash sha group 2048-bit
ikeの暗号化キーと使用する暗号化設定を指定
ike policy ike-policy peer any key <ipsec secret key> ike1,ike2,ike3,ike4
2-2. アクセスリストの作成
ip access-list sec-list permit ip src any dest any
2-3. ipsecプロポーサルの設定
ipsec autokey-proposalの作成
ipsec autokey-proposal sec1 esp-aes-256 esp-sha
ipsec autokey-proposal sec2 esp-aes esp-sha
ipsec autokey-proposal sec3 esp-3des esp-sha
使用するipsecのプロポーサルの指定
ipsec dynamic-map <map name> sec-list sec1,sec2,sec3
2-4. VPN認証のためのプロファイルを作成
ppp profile <profile name>
authentication request chap #chap認証
authentication password <user ID> <password> #認証ユーザーの作成
lcp pfc
lcp acfc
ipcp ip-compression
ipcp provide-remote-dns 192.168.1.1 #DNSサーバの設定
ipcp provide-ip-address range 192.168.1.11 192.168.1.20 #割り当てアドレスレンジ
ipcp provide-remote-dns:VPN接続時のDNS設定
ipcp provide-ip-address range:VPN接続時に割り当てるアドレス範囲を指定
2-5. トンネルインターフェースの作成
同時接続分だけトンネルインターフェースの作成が必要
interface Tunnel100.0
description RemoteVPN#1
ppp binding <さっき作ったプロファイル名>
tunnel mode l2tp-lns ipsec
ip unnumbered GigaEthernet2.0 #接続後に通信するためのインターフェース
ip tcp adjust-mss auto
ipsec policy transport ipsec-map
no shutdown
2-6. トンネリング後に使うインターフェースの設定
interface GigaEthernet2.0
ip proxy-arp
2-7. ポートの開放
NAPTしてる場合の設定
interface GigaEthernet0.0
ip napt enable
ip napt static GigaEthernet0.0 50
ip napt static GigaEthernet0.0 udp 500
ip napt static GigaEthernet0.0 udp 4500
とりあえずこれだけ入れれば大体動くはず