1812jでVPNを構築してみた
ネットワークの勉強のために、前からやろうと思って放置してたVPNの構築をやります。
調べつつ書いてるので、間違いがあればご指摘いただけると嬉しいです。
やること
AAA(認証、許可、アカウンティング)の設定
ローカルで認証するようにします。
userauthとgroupauthの部分は適当に名前を付けてください。
aaa new-modelにする前にはコンフィグを保存したほうがよさそう。
(config)# aaa new-model (config)# aaa authentication login userauth local (config)# aaa authorization network groupauth local
IKEポリシーの設定
ここでVPNの暗号方式や認証方式を設定。
policy 1は優先度が一番高いポリシーです。
Diffie-Hellman鍵共有グループの暗号強度は5(1536bit)がもっとも高いようですが、負荷を考えて2(1024bit)を選択する場合が多いみたいです。
(config)# crypto isakmp policy 1 (config-isakmp)#encr 3des (config-isakmp)#auth pre-share (config-isakmp)#group 2
VPNクライアントグループの設定
ログイングループ名(vpnclient)や事前共有キー(hogehoge)、IPアドレスプールなどはここで指定します。
今回はスプリットトンネリングを使用するのでACLを指定しています。
(config)#crypto isakmp client config group vpnclient (config-isakmp-group)#key hogehoge (config-isakmp-group)#save-password (config-isakmp-group)#acl 100 (config-isakmp-group)#pool ezvpn-pool (config-isakmp-group)#dns 192.168.1.254 192.168.1.1 (config-isakmp-group)#exit (config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any
VPNクライアントグループとAAAの紐づけ
vpnclientとuserauthとgroupauthは設定した内容に変更してください。
(config)#crypto isakmp profile vpnclient-profile (conf-isa-prof)#match identity group vpnclient (conf-isa-prof)#client authentication list userauth (conf-isa-prof)#isakmp authorization list groupauth (conf-isa-prof)#client conf address respond
トランスフォームセットの設定
トランスフォームセット名(vpnset)は適宜変更してください。
(config)#crypto ipsec transform-set vpnset esp-3des esp-sha-hmac
ダイナミックマップの設定
vpnsetとvpnclient-profileは設定に合わせて変更してください。
reverse-routeをしているすると、VPNクライアントへのスタティックルートが自動で登録されるようです。
(config)#crypto dynamic-map dynmap 1 (config-crypto-map)#set transform-set vpnset (config-crypto-map)#set isakmp-profile vpnclient-profile (config-crypto-map)#reverse-route
暗号マップの設定
ezvpnmap、dynmapは適宜変更してください。
(config)#crypto map ezvpnmap 1 ipsec-isakmp dynamic dynmap
暗号マップを外部インターフェースに適用
自分の環境ではDi0でPPPoEを利用しているので、そこに暗号マップを適用します。
Di0をFa0にオーバーロードしてるので、Fa0に適用しても同じはず。
(config)#int di0 (config-if)#crypto map ezvpnmap
VPN Clientからつなぐ
WindowsではCiscoのメンバーページからダウンロードが必要だったと思いますが、macだとVPNクライアントが最初から入っています。
ネットワーク環境設定を開き、インターフェースをVPN、VPNタイプをCisco IPSecでサービスの追加を行います。
あとは、上記で設定したアカウント名やパスワード、サーバアドレスのほかに、認証設定で共有シークレットとグループ名も忘れず入力してください。
まとめ
以上でおしまい。長かった!
設定項目が多いから、全部理解して設定するのは難しそうだ。。。