Easy VPN Remoteの設定 - ゴー！ゴー！けいじ！！

■内部インタフェースに繋がっているデバイスからの通信は、自動でezVPN ServerからもらったアドレスにNATされて送信される。（ezVPN Serverからアドレスを取得すると、Loopbackインタフェースが自動作成されて、そのインタフェースにServerから取得したアドレスが設定される）

■Xauthのユーザ名とかを設定しておけば、ルータが起動したらすぐにVPN接続してくれる。（ルータにログインしてなくても、起動したらすぐに接続してくるので楽ちん）

■もし、Xauthのユーザ名とパスワードを入力するようにしてた場合は、下記のようなメッセージがプロンプトに表示されてユーザ名とパスワードを入力しろと言われる。下記のコマンドを特権モードで入力すると、ユーザ名とパスワードが入力できるようになる。

*Nov  4 09:27:08.803: EZVPN(VPN): Pending XAuth Request, Please enter the following command:
*Nov  4 09:27:08.803: EZVPN: crypto ipsec client ezvpn xauth
#crypto ipsec client ezvpn xauth
すると、ユーザ名とパスワードを入力しろとプロンプトが表示される。

ネットワーク拡張モード

これにすれば、ezVPN Remote側でNATが行われなくなるので、サーバ側のネットワークからもRemote側のデバイスに直接アクセスできるようになる。そのとき、Remote側のネットワークアドレスと、ユーザ側に割り振るアドレスを同じネットワークにする。設定は以下の通り。

crypto ipsec client ezvpn VPN
 mode network-extension			←これでネットワーク拡張モードになる。

以下はezVPNの基本的な設定方法

ezVPN Remote側の設定

crypto ipsec client ezvpn VPN
 connect auto
 group EZVPN key ezvpn		←EZVPNグループのPhase1用のPre-shared key
 mode client
 peer 30.1.1.2		←接続するezVPN Serverのアドレス
 username cisco password cisco123		←Xauthのユーザ名とパスワード
 xauth userid mode local		←Xauthのユーザ名とパスワードは、上記の設定のものを使う
!
interface FastEthernet0/0
 crypto ipsec client ezvpn VPN inside		←内部のインタフェースに設定
!
interface FastEthernet0/1
 crypto ipsec client ezvpn VPN		←外部インタフェースに設定

ezVPN Server側の設定

aaa new-model
!
aaa authentication login default local		←ロックアウトされないように
aaa authorization exec default local 		←ロックアウトされないように
!
aaa authentication login AUTHEN local
aaa authorization network AUTHO local 
!
username cisco password 0 cisco123　←Xauth用のユーザ名とパスワード
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group EZVPN		←EZVPNと言う名のVPNグループを作成
 key ezvpn		←EZVPN用のpre-shared keyの設定
 pool hoge		←EZVPNに割り当てるアドレスプールの指定
 save-password		←VPN RemoteのXauthのパスワードが入力されたとき、記憶できるようにする。
					これが入ってないと、クライアント側で設定したローカルパスワードが自動で入力されない。（要するに自動接続ができない）
 netmask 255.255.255.0		←EZVPN Remoteに割り当てるサブネットマスクの
!
crypto ipsec transform-set MYSET esp-3des esp-sha-hmac		←IPsec用の暗号化やハッシュ
!
crypto dynamic-map DYMAP 10		←ピアのアドレスが決まっていないときは、Dynamic-Mapを使用する
 set transform-set MYSET 
 reverse-route		←クライアントに割り当てたアドレスのスタティックルートを自動作成する
!
crypto map MYMAP client authentication list AUTHEN
crypto map MYMAP isakmp authorization list AUTHO
crypto map MYMAP client configuration address respond
crypto map MYMAP 10 ipsec-isakmp dynamic DYMAP 
!
interface FastEthernet0/0
 crypto map MYMAP
!
ip local pool hoge 192.168.1.1 192.168.1.10