- - PR -
YAMAHA RTX-1000とCisco2811 VPN構築
1
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2007-03-23 15:29
こんにちは。
YAMAHA RTX-1000とCisco2811でVPNを構築しています。 で、Virtual-Template1トンネルはなぜかいつも切れてしまいます。 YAMAHAでdisconnect/connectすれば、またつながります。 最初はタイムアウトかと思いましたが、 切れる経過時間はまちまちで、原因をつかめないんです。 二つルータの設定情報を貼って、申し訳ないんですけど、 経験者からのアドバイスをぜひご教授ください。 よろしくお願いいたします。 Cisco2811のバージョン: Cisco IOS Software, 2800 Software (C2800NM-ADVSECURITYK9-M), Version 12.3(8)T10, RELEASE SOFTWARE (fc2) Cisco2811の設定情報です。 version 12.3 service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption ! hostname BBBBB ! boot-start-marker boot-end-marker ! enable secret 5 ********************************** enable password 7 ********************************* ! no network-clock-participate aim 0 no network-clock-participate aim 1 no aaa new-model ip subnet-zero ! ! no ip cef ! ! ip ips po max-events 100 no ip domain lookup vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! no ftp-server write-enable ! ! ! username AAAAAAAAAA password ************************ ! ! ! ! ! interface FastEthernet0/0 ip address 192.168.30.254 255.255.255.0 ip broadcast-address 192.168.30.255 ip access-group 100 in ip nat inside ip virtual-reassembly duplex auto speed auto no cdp enable no mop enabled ! interface FastEthernet0/1 ip address 210.210.210.1 255.255.255.248 ip access-group 10 in ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable no mop enabled ! interface Virtual-Template1 ip unnumbered FastEthernet0/0 peer default ip address pool POOL ppp encrypt mppe 40 required ppp authentication ms-chap ! ip local pool POOL 192.168.30.252 ip classless ip route 0.0.0.0 0.0.0.0 210.210.210.9 ip route 10.1.45.0 255.255.255.0 192.168.30.252 ip route 172.16.10.0 255.255.255.0 192.168.30.252 no ip http server no ip http secure-server ip nat pool onlyone 210.210.210.1 210.210.210.1 netmask 255.255.255.248 ip nat inside source list 1 pool onlyone overload ! ! access-list 1 permit 192.168.30.0 0.0.0.255 access-list 100 permit tcp 192.168.30.0 0.0.0.255 any eq telnet access-list 100 permit tcp 192.168.30.0 0.0.0.255 any eq www no cdp run ! ! control-plane ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 access-class 1 in password 7 ************************************************ login ! scheduler allocate 20000 1000 ! end RTX1000の設定情報です。 # RTX1000 Rev.8.01.16 (Wed Oct 27 19:53:38 2004) # MAC Address : 00:a0:de:28:29:27, 00:a0:de:28:29:28, 00:a0:de:28:29:29, # Memory 16Mbytes, 3LAN, 1BRI # main: RTX1000 ver=b0 serial=N0E082794 MAC-Address=00:a0:de:28:29:27 MAC-Addr ess=00:a0:de:28:29:28 MAC-Address=00:a0:de:28:29:29 login password * administrator password * ip route default gateway 172.16.10.100 ip route 192.168.30.0/24 gateway pp 3 ip lan1 address 192.45.1.99/24 ip lan2 address 172.16.10.20/24 pp select 3 pp bind tunnel2 pp keepalive use lcp-echo pp auth accept mschap pp auth myname AAAAAAAAAA ppp ipcp ipaddress on ppp ccp type mppe-40 ip pp mtu 1440 pptp service type client pp enable 3 tunnel select 2 tunnel encapsulation pptp tunnel endpoint address 210.210.210.1 tunnel enable 2 nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 172.16.10.20 tcp 1723 nat descriptor masquerade static 1 2 172.16.10.20 gre nat descriptor masquerade static 1 3 172.16.10.20 tcp ftpdata-21 tftp host none pptp service on mail-notify status use on mail-notify status server 192.45.1.51 mail-notify status from temp@xxx.ne.jp mail-notify status to 1 temp@YYY.co.jp mail-notify status subject RTX1000-PPTPからの通知メール mail-notify status timeout 15 mail-notify status type all | ||||
|
投稿日時: 2007-03-23 16:05
こんにちは。
困っている状況はわかりますが、config丸投げで何とかしてという態度は 如何なものかと思います。 ざっと見た範囲で気になった点が1つあります。 VPNに何故PPTPを使用しているのでしょうか? RAS環境ならともかく、拠点間のVPNはIPsecを用いるのが普通だと思うのですが・・・。 | ||||
|
投稿日時: 2007-03-23 16:37
BackDoorさん、こんにちは。
ご回答ありがとうございます。 Configに必要がない部分を切り取って、投稿するつもりでしたが、 もしかすると切った部分が問題に関係していると思うと、 敏感な部分を書換えて、YAMAHAのPP2などを削除するなどを 最小限な編集をして、見ていただきかかったのです。 丸投げの気がなかったのですが、丸投げという形にしてしまって、 申し訳なく思います。 何故PPTPを使用しているについては。 YAMAHAルータ(拠点)の中、すでにいくつかのPPTPの設定があり、 私の管理下にあるCiscoもそれに合わせるよう設定を行っています。 それにIPSecについては私もこれから勉強している身です。 今後ぜひIPSecを考えてみたいものです。 よろしくお願いいたします。 | ||||
|
投稿日時: 2007-03-23 17:01
補足説明ありがとうございます。
YAMAHAルータ同士のVPNならPPTPも有りでしょうね。 # PPTPサーバー機能とPPTPクライアント機能を使えますから。 # 但し相手がCISCOの場合、この機能が安定動作できるか疑問です。 その点IPsecは通信手順が型通りなので、異メーカの機種間でも結構 安定しています。 # 他の識者からのアドバイスで安定させることができなかったら # 機器を変えるか通信方式を変えるかの意思決定が必要になるかも # 知れません。 ご存知かもしれませんが、参考までにYAMAHAルータ資料関係のlinkを 置いておきます。 RTシリーズの資料庫/文書庫 |
1