Easy VPN Remoteの設定
■内部インタフェースに繋がっているデバイスからの通信は、自動でezVPN ServerからもらったアドレスにNATされて送信される。(ezVPN Serverからアドレスを取得すると、Loopbackインタフェースが自動作成されて、そのインタフェースにServerから取得したアドレスが設定される)
■Xauthのユーザ名とかを設定しておけば、ルータが起動したらすぐにVPN接続してくれる。(ルータにログインしてなくても、起動したらすぐに接続してくるので楽ちん)
■もし、Xauthのユーザ名とパスワードを入力するようにしてた場合は、下記のようなメッセージがプロンプトに表示されてユーザ名とパスワードを入力しろと言われる。下記のコマンドを特権モードで入力すると、ユーザ名とパスワードが入力できるようになる。
*Nov 4 09:27:08.803: EZVPN(VPN): Pending XAuth Request, Please enter the following command: *Nov 4 09:27:08.803: EZVPN: crypto ipsec client ezvpn xauth #crypto ipsec client ezvpn xauth すると、ユーザ名とパスワードを入力しろとプロンプトが表示される。
ネットワーク拡張モード
これにすれば、ezVPN Remote側でNATが行われなくなるので、サーバ側のネットワークからもRemote側のデバイスに直接アクセスできるようになる。そのとき、Remote側のネットワークアドレスと、ユーザ側に割り振るアドレスを同じネットワークにする。設定は以下の通り。
crypto ipsec client ezvpn VPN mode network-extension ←これでネットワーク拡張モードになる。
以下はezVPNの基本的な設定方法
ezVPN Remote側の設定
crypto ipsec client ezvpn VPN connect auto group EZVPN key ezvpn ←EZVPNグループのPhase1用のPre-shared key mode client peer 30.1.1.2 ←接続するezVPN Serverのアドレス username cisco password cisco123 ←Xauthのユーザ名とパスワード xauth userid mode local ←Xauthのユーザ名とパスワードは、上記の設定のものを使う ! interface FastEthernet0/0 crypto ipsec client ezvpn VPN inside ←内部のインタフェースに設定 ! interface FastEthernet0/1 crypto ipsec client ezvpn VPN ←外部インタフェースに設定
ezVPN Server側の設定
aaa new-model ! aaa authentication login default local ←ロックアウトされないように aaa authorization exec default local ←ロックアウトされないように ! aaa authentication login AUTHEN local aaa authorization network AUTHO local ! username cisco password 0 cisco123 ←Xauth用のユーザ名とパスワード ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group EZVPN ←EZVPNと言う名のVPNグループを作成 key ezvpn ←EZVPN用のpre-shared keyの設定 pool hoge ←EZVPNに割り当てるアドレスプールの指定 save-password ←VPN RemoteのXauthのパスワードが入力されたとき、記憶できるようにする。 これが入ってないと、クライアント側で設定したローカルパスワードが自動で入力されない。(要するに自動接続ができない) netmask 255.255.255.0 ←EZVPN Remoteに割り当てるサブネットマスクの ! crypto ipsec transform-set MYSET esp-3des esp-sha-hmac ←IPsec用の暗号化やハッシュ ! crypto dynamic-map DYMAP 10 ←ピアのアドレスが決まっていないときは、Dynamic-Mapを使用する set transform-set MYSET reverse-route ←クライアントに割り当てたアドレスのスタティックルートを自動作成する ! crypto map MYMAP client authentication list AUTHEN crypto map MYMAP isakmp authorization list AUTHO crypto map MYMAP client configuration address respond crypto map MYMAP 10 ipsec-isakmp dynamic DYMAP ! interface FastEthernet0/0 crypto map MYMAP ! ip local pool hoge 192.168.1.1 192.168.1.10