- - PR -
PPPoE環境でのVPN
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2005-07-23 20:33
初めて投稿させていただきます。
本社側Ciscoルータ(Cisco1710)にてPPPoEのマルチセッションを作成し、一方はIPSecで拠点との通信をし、一方はインターネットに出て行くという構成を作っております。また拠点側は本社を通ってインターネットに出て行くような構成にしようとしております。 現在作りましたコンフィグは下記のとおりです。 (対象部分のみ) ------------------------------------------------------ (本社側) vpdn enable vpdn ip udp ignore checksum ! vpdn-group 1 request-dialin protocol pppoe ! crypto isakmp policy 10 hash md5 authentication pre-share group 2 lifetime 28800 crypto isakmp key password address 202.228.180.1 ! ! crypto ipsec transform-set IPSEC esp-des esp-md5-hmac ! crypto map ENCRYPT 1 ipsec-isakmp set peer 202.228.180.1 set transform-set IPSEC set pfs group1 match address 101 ! ! ! interface Ethernet0 ip address 192.168.2.254 255.255.255.0 ip nat inside half-duplex ! interface FastEthernet0 no ip address speed auto pppoe enable pppoe-client dial-pool-number 2 pppoe-client dial-pool-number 1 ! interface Dialer1 ip address negotiated ip verify unicast source reachable-via any ip mtu 1454 ip nat outside encapsulation ppp ip tcp adjust-mss 1414 dialer pool 1 dialer-group 1 ppp authentication chap callin ppp chap hostname aaa@aaa.com ppp chap password 0 aaa crypto map ENCRYPT ! interface Dialer2 ip address negotiated ip verify unicast source reachable-via any ip mtu 1454 ip nat outside encapsulation ppp ip tcp adjust-mss 1414 dialer pool 2 dialer-group 2 ppp authentication chap callin ppp chap hostname bbb@bbb.com ppp chap password 0 bbb ! ip nat inside source route-map GLOBAL interface Dialer2 overload ip nat inside source route-map LOCAL interface Dialer1 overload ip classless ip route 0.0.0.0 0.0.0.0 Dialer2 ip route 202.228.180.0 255.255.255.0 Dialer1 no ip http server no ip http secure-server ! ! access-list 1 permit any access-list 101 permit ip any 192.168.1.0 0.0.0.255 access-list 102 deny ip any 192.168.1.0 0.0.0.255 access-list 102 permit ip any any access-list 103 permit ip 192.168.1.0 0.0.0.255 any access-list 103 permit ip 192.168.2.0 0.0.0.255 any dialer-list 1 protocol ip permit dialer-list 2 protocol ip permit ! route-map GLOBAL permit 10 match ip address 103 match interface Dialer2 ! route-map LOCAL permit 10 match ip address 102 match interface Dialer1 ! ------------------------------------------------------ debug ip nat detailの結果によりますと、route-mapでNATの定義をしているつもりなのですが、全てのパケットがDialer2からNATされてでているようなのです。色々試行錯誤してみたのですが、どうもうまくいきません。申し訳ありませんが、お力添えよろしくお願いいたします。 |
|
投稿日時: 2005-07-26 07:58
おはようございます。
拠点側のネットワークアドレスの192.168.1.0/24へのルーティングがないため デフォルトルートになっているDialer2を通ります。 この場合、192.168.1.0/24のルートをDialer1で設定する必要があります。 また、IPSecの対向先へのルーティングを24ビットで設定されていますが、32ビットで 問題ないと思います。 |
|
投稿日時: 2005-07-26 10:58
ご返答ありがとうございます。
実のところを申しますと、192.168.1.0宛て通信を明示的に示してあげても、同様にdialer2からNATして出て行こうといたします。Ciscoルータの場合、ルーティング→NAT→暗号化で処理するはずなので、192.168.1.0宛ての通信である時点で、dialelr1を通るはずなのですが、、、未だお手上げです。。。TT |
|
投稿日時: 2005-07-28 00:12
こんばんは
拠点側のコンフィグがないのと通信用件の詳細にもよってくるので的外れなことかもしれませんが、拠点側で ip nat inside source xxxxx overload の定義が、拠点→本社向けのパケットにマッチするように定義されていないでしょうか? また、本社側でもIPSec はトンネルモードなので ip nat inside source route-map LOCAL interface Dialer1 overload は、不要ではないですか? (Dialer1は拠点向けのIPSec通信専用に使用していると思いましたので...) それにこのままでは本社発の通信しか行えません。 ACL 103の設定の仕方からすると、拠点側からも一旦本社まできてインターネットへ抜けていくように見えますが、このままではDialer1から受け取ったパケットはDialer2へ出て行く際、NAT変換はされません。 (ip nat insideからip nat outsideのインタフェースにはけっとが抜けていないため) 以上のようなことも見直してみてはいかがでしょうか? [ メッセージ編集済み 編集者: いっそう 編集日時 2005-07-28 00:14 ] |
1