- PR -

YAMAHA RTX-1000とCisco2811 VPN構築

1
投稿者投稿内容
zKz
会議室デビュー日: 2007/03/23
投稿数: 2
投稿日時: 2007-03-23 15:29
こんにちは。
YAMAHA RTX-1000とCisco2811でVPNを構築しています。
で、Virtual-Template1トンネルはなぜかいつも切れてしまいます。
YAMAHAでdisconnect/connectすれば、またつながります。
最初はタイムアウトかと思いましたが、
切れる経過時間はまちまちで、原因をつかめないんです。

二つルータの設定情報を貼って、申し訳ないんですけど、
経験者からのアドバイスをぜひご教授ください。

よろしくお願いいたします。


Cisco2811のバージョン:
Cisco IOS Software, 2800 Software (C2800NM-ADVSECURITYK9-M), Version 12.3(8)T10, RELEASE SOFTWARE (fc2)


Cisco2811の設定情報です。
version 12.3
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname BBBBB
!
boot-start-marker
boot-end-marker
!
enable secret 5 **********************************
enable password 7 *********************************
!
no network-clock-participate aim 0
no network-clock-participate aim 1
no aaa new-model
ip subnet-zero
!
!
no ip cef
!
!
ip ips po max-events 100
no ip domain lookup
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
no ftp-server write-enable
!
!
!
username AAAAAAAAAA password ************************
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.30.254 255.255.255.0
ip broadcast-address 192.168.30.255
ip access-group 100 in
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface FastEthernet0/1
ip address 210.210.210.1 255.255.255.248
ip access-group 10 in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0
peer default ip address pool POOL
ppp encrypt mppe 40 required
ppp authentication ms-chap
!
ip local pool POOL 192.168.30.252
ip classless
ip route 0.0.0.0 0.0.0.0 210.210.210.9
ip route 10.1.45.0 255.255.255.0 192.168.30.252
ip route 172.16.10.0 255.255.255.0 192.168.30.252
no ip http server
no ip http secure-server
ip nat pool onlyone 210.210.210.1 210.210.210.1 netmask 255.255.255.248
ip nat inside source list 1 pool onlyone overload
!
!
access-list 1 permit 192.168.30.0 0.0.0.255
access-list 100 permit tcp 192.168.30.0 0.0.0.255 any eq telnet
access-list 100 permit tcp 192.168.30.0 0.0.0.255 any eq www
no cdp run
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
access-class 1 in
password 7 ************************************************
login
!
scheduler allocate 20000 1000
!
end






RTX1000の設定情報です。
# RTX1000 Rev.8.01.16 (Wed Oct 27 19:53:38 2004)
# MAC Address : 00:a0:de:28:29:27, 00:a0:de:28:29:28, 00:a0:de:28:29:29,
# Memory 16Mbytes, 3LAN, 1BRI
# main: RTX1000 ver=b0 serial=N0E082794 MAC-Address=00:a0:de:28:29:27 MAC-Addr
ess=00:a0:de:28:29:28 MAC-Address=00:a0:de:28:29:29
login password *
administrator password *
ip route default gateway 172.16.10.100
ip route 192.168.30.0/24 gateway pp 3
ip lan1 address 192.45.1.99/24
ip lan2 address 172.16.10.20/24
pp select 3
pp bind tunnel2
pp keepalive use lcp-echo
pp auth accept mschap
pp auth myname AAAAAAAAAA
ppp ipcp ipaddress on
ppp ccp type mppe-40
ip pp mtu 1440
pptp service type client
pp enable 3
tunnel select 2
tunnel encapsulation pptp
tunnel endpoint address 210.210.210.1
tunnel enable 2
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 172.16.10.20 tcp 1723
nat descriptor masquerade static 1 2 172.16.10.20 gre
nat descriptor masquerade static 1 3 172.16.10.20 tcp ftpdata-21
tftp host none
pptp service on
mail-notify status use on
mail-notify status server 192.45.1.51
mail-notify status from temp@xxx.ne.jp
mail-notify status to 1 temp@YYY.co.jp
mail-notify status subject RTX1000-PPTPからの通知メール
mail-notify status timeout 15
mail-notify status type all
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-03-23 16:05
こんにちは。

困っている状況はわかりますが、config丸投げで何とかしてという態度は
如何なものかと思います。

ざっと見た範囲で気になった点が1つあります。

VPNに何故PPTPを使用しているのでしょうか?
RAS環境ならともかく、拠点間のVPNはIPsecを用いるのが普通だと思うのですが・・・。
zKz
会議室デビュー日: 2007/03/23
投稿数: 2
投稿日時: 2007-03-23 16:37
BackDoorさん、こんにちは。
ご回答ありがとうございます。

Configに必要がない部分を切り取って、投稿するつもりでしたが、
もしかすると切った部分が問題に関係していると思うと、
敏感な部分を書換えて、YAMAHAのPP2などを削除するなどを
最小限な編集をして、見ていただきかかったのです。
丸投げの気がなかったのですが、丸投げという形にしてしまって、
申し訳なく思います。

何故PPTPを使用しているについては。
YAMAHAルータ(拠点)の中、すでにいくつかのPPTPの設定があり、
私の管理下にあるCiscoもそれに合わせるよう設定を行っています。
それにIPSecについては私もこれから勉強している身です。
今後ぜひIPSecを考えてみたいものです。

よろしくお願いいたします。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-03-23 17:01
補足説明ありがとうございます。

引用:
zKzさんの書き込み (2007-03-23 16:37) より:

何故PPTPを使用しているについては。
YAMAHAルータ(拠点)の中、すでにいくつかのPPTPの設定があり、
私の管理下にあるCiscoもそれに合わせるよう設定を行っています。

YAMAHAルータ同士のVPNならPPTPも有りでしょうね。
# PPTPサーバー機能とPPTPクライアント機能を使えますから。
# 但し相手がCISCOの場合、この機能が安定動作できるか疑問です。

その点IPsecは通信手順が型通りなので、異メーカの機種間でも結構
安定しています。
# 他の識者からのアドバイスで安定させることができなかったら
# 機器を変えるか通信方式を変えるかの意思決定が必要になるかも
# 知れません。

ご存知かもしれませんが、参考までにYAMAHAルータ資料関係のlinkを
置いておきます。
RTシリーズの資料庫/文書庫
1

スキルアップ/キャリアアップ(JOB@IT)