久々にCiscoネタ
PCから、インターネットを通じてCiscoルータへVPN接続するときの設定メモです
■検証環境
ルータ:c2600-ik9o3s3-mz.122-15.T17.bin
VPN Client:ver4.6
■VPN Clientの設定
Group Authenticationを使用
name:vpn-remote-access
password:myvpnkey
オプションのXAUTHを使ったときに使用する情報
ユーザ名:cisco
パスワード:cisco-pass
■1,Phase1のポリシーの設定
暗号化:3DES
認証:事前鍵
DH:グループ2
(config)# crypto isakmp policy 1
(config-isakmp)# encr 3des
(config-isakmp)# authentication pre-share
(config-isakmp)# group 2
■2,Phase1での事前鍵などの設定
事前鍵:myvpnkey
ユーザに割り振るIPアドレス:ippool(10.5.5.1~10.5.5.254まで)
(config)# ip local pool ippool 10.5.5.1 10.5.5.254
(config)# crypto isakmp client configuration group vpn-remote-access
(config-isakmp-group)# key myvpnkey
(config-isakmp-group)# pool ippool
ここまでで、Phase1でアグレッシブモードを使うための設定
■3,IPsec通信のための暗号化等の設定(トランスフォームセットの設定)
トランスフォームセットの名前:vpntransform
暗号化:3DES
カプセル化:ESP
認証:sha1
(config)# crypto ipsec transform-set vpntransform esp-3des esp-sha-hmac
■4,ダイナミッククリプトマップの設定
ダイナミッククリプトマップの名前:dyn-map
使用するトランスフォームセット:vpntransform
(config)# crypto dynamic-map dyn-map 1
(config-crypto-map)# set transform-set vpntransform
■5,クリプトマップの設定
クリプトマップの名前:dynmap
クリプトマップにダイナミックマップをマッピング
(config)# crypto map dynmap isakmp authorization list default
(config)# crypto map dynmap client configuration address respond
(config)# crypto map dynmap 1 ipsec-isakmp dynamic dyn-map
■6,インタフェースにクリプトマップを割り当て
(config)# int fa0/0
(config-if)# crypto map dynmap
■オプション XAUTHも使いたい場合
ユーザ名:cisco
パスワード:cisco-pass
クリプトマップ:dynmapでXAUTHを使用する
(config)# aaa new-model
(config)# username cisco password cisco-pass
(config)# aaa authentication login vpnusers local
(config)# crypto map dynmap client authentication list vpnusers