2台の Cisco 841M J 間で IPSec VPN

更新日:2018年11月23日

はじめに

Cisco製ルータ(C841M-4X-JSEC/K9/START)を使用して、2拠点間でIPSec VPN接続を設定する事を目的する。
今回は、各拠点のWANIPアドレスが動的に変化することを考慮し、DDNSサービス(MyDNS)を利用する。

使用機器

項目 内容
機器 Cisco C841M-4X-JSEC/K9/START × 2
サービス DDNSMyDNS

Cisco 841M J シリーズ

https://www.cisco.com/c/m/ja_jp/solutions/cisco-start/product_841mj.html

設定情報

拠点A

項目
ドメイン example-1.mydns.jp
ホスト名 C841M-1
WAN側インターフェース GigabitEthernet0/4
LAN側インターフェース Vlan1
LANIPアドレス範囲 10.0.1.0/24
トンネルインターフェース Tunnel0
トンネルIPアドレス 172.16.0.1/30

拠点B

項目
ドメイン example-2.mydns.jp
ホスト名 C841M-2
WAN側インターフェース GigabitEthernet0/4
LAN側インターフェース Vlan1
LANIPアドレス範囲 10.0.2.0/24
トンネルインターフェース Tunnel0
トンネルIPアドレス 172.16.0.2/30

共通

項目
キー交換方式 IKEv2
事前共有キー example

IPSec VPNに関するConfig

拠点A

〜〜〜 省略 〜〜〜
!
hostname C841M-1
!
!
!
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login local_access local
aaa authorization network local-group-author-list local 
!
〜〜〜 省略 〜〜〜
!
crypto ikev2 authorization policy authpolicy1 
 route set interface Vlan1
!
crypto ikev2 proposal default
 encryption aes-cbc-128 aes-cbc-192 aes-cbc-256
 integrity md5 sha1 sha256 sha384 sha512
 group 2 5
!
crypto ikev2 policy default
 match fvrf any
 proposal default
!
crypto ikev2 keyring key
 peer SITE-KEY-0
  hostname example-2.mydns.jp
  identity fqdn example-2.mydns.jp
  pre-shared-key example
 !
!
!
crypto ikev2 profile prof
 match identity remote fqdn example-2.mydns.jp
 authentication local pre-share
 authentication remote pre-share
 keyring local key
 aaa authorization group psk list local-group-author-list authpolicy1
!
crypto ikev2 dpd 10 2 periodic
!
〜〜〜 省略 〜〜〜
!
crypto isakmp policy 1
!
!
crypto ipsec transform-set example_trans esp-aes esp-sha-hmac 
 mode tunnel
!
!
crypto ipsec profile example_profile
 set transform-set example_trans 
 set ikev2-profile prof
!
〜〜〜 省略 〜〜〜
!
interface Tunnel0
 ip address 172.16.0.1 255.255.255.252
 tunnel source GigabitEthernet0/4
 tunnel mode ipsec ipv4
 tunnel destination dynamic
 tunnel protection ipsec profile example_profile
!
〜〜〜 省略 〜〜〜
!
ip route 10.0.2.0 255.255.255.0 Tunnel0
!
〜〜〜 省略 〜〜〜
!
end

拠点B

〜〜〜 省略 〜〜〜
!
hostname C841M-2
!
!
!
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login local_access local
aaa authorization network local-group-author-list local 
!
〜〜〜 省略 〜〜〜
!
crypto ikev2 authorization policy authpolicy1 
 route set interface Vlan1
!
crypto ikev2 proposal default
 encryption aes-cbc-128 aes-cbc-192 aes-cbc-256
 integrity md5 sha1 sha256 sha384 sha512
 group 2 5
!
crypto ikev2 policy default
 match fvrf any
 proposal default
!
crypto ikev2 keyring key
 peer SITE-KEY-0
  hostname example-1.mydns.jp
  identity fqdn example-1.mydns.jp
  pre-shared-key example
 !
!
!
crypto ikev2 profile prof
 match identity remote fqdn example-1.mydns.jp
 authentication local pre-share
 authentication remote pre-share
 keyring local key
 aaa authorization group psk list local-group-author-list authpolicy1
!
crypto ikev2 dpd 10 2 periodic
!
〜〜〜 省略 〜〜〜
!
crypto isakmp policy 1
!
!
crypto ipsec transform-set example_trans esp-aes esp-sha-hmac 
 mode tunnel
!
!
crypto ipsec profile example_profile
 set transform-set example_trans 
 set ikev2-profile prof
!
〜〜〜 省略 〜〜〜
!
interface Tunnel0
 ip address 172.16.0.2 255.255.255.252
 tunnel source GigabitEthernet0/4
 tunnel mode ipsec ipv4
 tunnel destination dynamic
 tunnel protection ipsec profile example_profile
!
〜〜〜 省略 〜〜〜
!
ip route 10.0.1.0 255.255.255.0 Tunnel0
!
〜〜〜 省略 〜〜〜
!
end