日本でSOHOを中心に最も普及していると思われるYAHAMAルータと、World Wide No.1メーカCiscoでのIPSEC拠点間VPN接続の依頼があり構築を行いました。思っていたよりもインターネット上にコンフィグ例が少なかったように感じましたので、メモ代わりに。

異機種間のIPSEC拠点間接続はPhase1及びPhase2のパラメータをそれぞれ正確に合わせる必要があり、苦戦することが多いです。それぞれの機種で隠れているデフォルトの値が異なっているためにPhase1のネゴシエーションが失敗したり。また、どちらがイニシエータになるかでコンフィグの内容も変わってきますので、割と経験を要すかなと。

構成概要図

YAMAHA側コンフィグ / 要所のみ抜粋

ip route 192.168.2.0/24 gateway tunnel 1
tunnel select 1
description tunnel xxxxxx
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike local name 1 yyyyyy fqdn
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text [pre shared key]
ipsec ike remote address 1 [Global IP Address]
ipsec ike remote id 1 192.168.2.0/24
ip tunnel tcp mss limit auto
tunnel enable 1

恐らくハマりポイントは「fqdn」の部分かなと。GUIで設定した場合はデフォルトが「key-id」になっていますので変更が必要です。

Cisco側コンフィグ / 要所のみ抜粋

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 28800
crypto isakmp key [pre shared key] hostname yyyyyy
crypto isakmp keepalive 10
crypto ipsec transform-set myset esp-3des esp-sha-hmac
mode tunnel
crypto map dynamic_map 65535 ipsec-isakmp dynamic dyn-map
crypto dynamic-map dyn-map 10
set transform-set myset
match address 111
access-list 111 permit ip 192.168.2.0 0.0.0.255 192.168.100.0 0.0.0.255

オーソドックスなCiscoのIPSEC定義です。