セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

VPN Client 4.x のアクセスを伴う 2 台の PIX 間の IPSec 設定

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、IPSec を使用してパブリック ネットワークを介して PIX 1 から PIX 2 へ単純な VPN のトンネルを実行している 2 台の Cisco Secure PIX Firewall デバイスを図示しています。 Cisco VPN Client 4.x は PIX 1 に接続します。 設定では事前共有キー(クライアントの IP にはワイルドカード)を使用し、クライアントにはモード設定を使用します。

注:  VPN クライアントは PIX 2 の後ろで PIX 1 の後ろで LAN、ない LAN にアクセスできます。 PIX はトラフィックをリダイレクトしません。

前提条件

要件

はたらく IPSec に関してはこの設定を開始する前にトンネルエンドポイントからのトンネルエンドポイントへの接続を確立したにちがいありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • PIXファイアウォール バージョン 6.3 (1)

    注: show version コマンドは暗号化が有効に なることを示す必要があります。

  • VPN クライアント バージョン 4.0.2 (A)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションは PIX および VPN クライアント 4.x に PIX を設定する方法を説明します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/14092/pixpixvpn-01.gif

PIX の設定

このドキュメントでは、次の設定を使用します。

PIX 1 の設定
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix-1
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names

!--- Except traffic from the Network Address Translation (NAT) process.

access-list 100 permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0
access-list 100 permit ip 10.2.2.0 255.255.255.0 192.168.1.0 255.255.255.0

!--- Include traffic in the encryption process.

access-list 110 permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.154 255.255.255.0
ip address inside 10.2.2.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool test 192.168.1.1-192.168.1.25
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
pdm history enable
arp timeout 14400

!--- Except traffic from the NAT process.

nat (inside) 0 access-list 100
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00timeout conn 1:00:00 
   half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 
h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto dynamic-map dynmap 30 set transform-set myset

!--- Use the crypto-map sequence 10 command for PIX to PIX.

crypto map newmap 10 ipsec-isakmp
crypto map newmap 10 match address 110
crypto map newmap 10 set peer 172.18.124.153
crypto map newmap 10 set transform-set myset

!--- Use the crypto-map sequence 65000 command for PIX to VPN Client.

crypto map newmap 65000 ipsec-isakmp dynamic dynmap
crypto map newmap interface outside
isakmp enable outside
isakmp key ******** address 172.18.124.153 netmask 255.255.255.255 
   no-xauth no-config-mode
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5

!--- Internet Security Association and Key Management Protocol (ISAKMP) policy
!--- for a VPN Client running 3.x code and later needs to be Diffie-Hellman (DH)
!--- group 2 or above (group 1 is default).

isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

!--- IPSec group configuration for VPN Client.

vpngroup vpn3000 address-pool test
vpngroup vpn3000 dns-server 10.2.2.2
vpngroup vpn3000 wins-server 10.2.2.2
vpngroup vpn3000 default-domain cisco.com
vpngroup vpn3000 idle-time 1800
vpngroup vpn3000 password ********
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:0527568558f8f0a4017a2db377a36cc2
: end
[OK]

PIX 2 の設定
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix-2
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names

!--- Except traffic from the NAT process.

access-list 100 permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
pager lines 24
interface ethernet0 10baset
interface ethernet1 10full
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.153 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400

!--- Except traffic from the NAT process.

nat (inside) 0 access-list 100
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 
h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto map newmap 10 ipsec-isakmp

!--- Include traffic in the encryption process.

crypto map newmap 10 match address 100
crypto map newmap 10 set peer 172.18.124.154
crypto map newmap 10 set transform-set myset
crypto map newmap interface outside
isakmp enable outside
isakmp key ******** address 172.18.124.154 netmask 255.255.255.255 
   no-xauth no-config-mode
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:6d2f51a85d4f8a7991b62183fcc2836c
: end
[OK]

VPN クライアントの設定

次の手順を実行して、VPN Client を設定します。

  1. VPN Client を起動し、New をクリックして新しい接続を作成します。

  2. 名前、ホストおよびパスワードのようなエントリのための最初 の 情報を、入力して下さい。

    • Connection Entry フィールドでは、エントリに名前を割り当てて下さい。

    • [Host] フィールドでは、接続のための PIX のパブリックインターフェイスの IP アドレスを入力して下さい。

    • グループ 認証の下で、グループ名およびグループパスワードを入力し、次にそれを確認するためにパスワードを再度入力して下さい。

    完了したら、[Save] をクリックします。

    /image/gif/paws/14092/pixpixvpn-02.gif

  3. 作成した選択し、次に PIX に接続するために『Connect』 をクリック して下さい接続 エントリを。

    /image/gif/paws/14092/pixpixvpn-03.gif

確認

ここでは、設定が正常に動作していることを確認します。

クリプト マップのシーケンス番号の確認

スタティックおよびダイナミックなピアが同じクリプト マップで設定されている場合、クリプト マップのエントリの順序は非常に重要です。 ダイナミック暗証マップのエントリのシーケンス番号は、他のスタティック暗証マップのすべてのエントリよりも大きい必要があります。 スタティック エントリにダイナミック エントリよりも大きな番号付けがされている場合、これらのピアでの接続は失敗します。

これは静的エントリおよび動的エントリが含まれているきちんと番号を付けられたクリプト マップの例です。 ダイナミック エントリのシーケンス番号が最も大きく、また、ある程度の余裕を持たせてスタティック エントリを追加できるようにしています。

crypto dynamic-map dynmap 30 set transform-set myset
crypto map newmap 10 ipsec-isakmp
crypto map newmap 10 match address 110
crypto map newmap 10 set peer 172.18.124.153
crypto map newmap 10 set transform-set myset
crypto map newmap 65000 ipsec-isakmp dynamic dynmap

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

トラブルシューティングのためのコマンド

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

logging monitor debugginglogging console debugging コマンド動作と PIX のこれらのコマンドを使用できます:

  • debug crypto ipsec — IPSec 処理をデバッグします。

  • debug crypto isakmp — ISAKMP 処理をデバッグします。

VPN クライアント、始動 左下 ウィンドウの Log ウィンドウ。

セキュリティ アソシエーション(SA)の消去

PIX のコンフィギュレーションモードでは、これらのコマンドを使用して下さい:

  • clear [crypto] ipsec sa —アクティブIPSec セキュリティ結合を削除します。 crypto キーワードはオプションです。

  • clear [crypto] isakmp sa —アクティブIKE セキュリティ結合を削除します。 crypto キーワードはオプションです。

VPN クライアントで、Log エントリを表示するために Log タブを選択できます。

注: トンネルエンドポイント接続に、トンネルエンドポイントがはたらく IPSec に関してはこの設定を開始する前に必要となります

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 14092