サーバ - ユニファイド コンピューティング : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PPTP、MPPE、および IPSec を使用した PIX Firewall と VPN Client の設定

2002 年 4 月 1 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 10 月 13 日) | フィードバック

概要

この設定例では、Cisco Secure PIX Firewall をトンネル エンドポイントとして、次の 4 種類のクライアントが接続とトラフィックの暗号化を行っています。

  • Microsoft Windows 95/98/NT 上で Cisco Secure VPN Client 1.1 を実行しているユーザ

  • Windows 95/98/NT 上で Cisco Secure VPN 3000 Client 2.5.x を実行しているユーザ

  • Windows 2000/98 に付属のPoint-to-Point Tunneling Protocol(PPTP)を実行しているユーザ

  • Windows 95/98/NT/2000 上で Cisco VPN Client 3.0.x を実行しているユーザ

この例では、IP Security(IPSec)と PPTP 用に 1 つのプールを設定しましたが、プールは別々に設定することもできます。

ハードウェアとソフトウェアのバージョン

この文書の情報は、次のバージョンのソフトウェアとハードウェアに基づいて作成されています。

  • PIX ソフトウェア リリース 6.1.1
  • CiscoSecure VPN Client 1.1
  • Cisco VPN 3000 Client バージョン 2.5
  • Cisco VPN Client 3.X
  • Microsoft Windows 2000 および Windows 98 クライアント

注:これは PIX ソフトウェア リリース 6.1.1 上でテストしましたが、リリース 5.2.X および 5.3.1 でも動作します。Cisco VPN Client 3.X には PIX ソフトウェア リリース 6.X が必要です。(PIX Software リリース 5.2.X には Cisco VPN 3000 Client 2.5 のサポートも追加されました。この設定は、VPN 3000 クライアントの部分以外は PIX Software リリース 5.1.x でも動作します。)IPSec と PPTP/Microsoft Point-to-Point Encryption(MPPE)は、最初に個別に動作するよう準備する必要があります。個別に動作しない場合、連動もしません。

ネットワーク ダイアグラム

ネットワーク ダイアグラム

設定例

Cisco PIX Firewall
PIX Version 5.2(3)

 nameif ethernet0 outside security0

 nameif ethernet1 inside security100

 enable password 8Ry2YjIyt7RRXU24 encrypted

 passwd 2KFQnbNIdI.2KYOU encrypted

 hostname goss-515A

 fixup protocol ftp 21

 fixup protocol http 80

 fixup protocol h323 1720

 fixup protocol rsh 514

 fixup protocol smtp 25

 fixup protocol sqlnet 1521

 fixup protocol sip 5060

 names

 access-list 101 permit ip 10.99.99.0 255.255.255.0 192.168.1.0 255.255.255.0

 pager lines 24

 logging on

 no logging timestamp

 no logging standby

 no logging console

 no logging monitor

 no logging buffered

 no logging trap

 no logging history

 logging facility 20

 logging queue 512

 interface ethernet0 auto

 interface ethernet1 auto

 mtu outside 1500

 mtu inside 1500

 ip address outside 172.18.124.152 255.255.255.0

 ip address inside 10.99.99.1 255.255.255.0

 ip audit info action alarm

 ip audit attack action alarm

 ip local pool bigpool 192.168.1.1-192.168.1.254

 no failover

 failover timeout 0:00:00

 failover poll 15

 failover ip address outside 0.0.0.0

 failover ip address inside 0.0.0.0

 arp timeout 14400

 nat (inside) 0 access-list 101

 route outside 0.0.0.0 0.0.0.0 172.18.124.1 1

 timeout xlate 3:00:00

 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00

 h323 0:05:00 sip 0:30:00

  sip_media 0:02:00

 timeout uauth 0:05:00 absolute

 aaa-server TACACS+ protocol tacacs+

 aaa-server RADIUS protocol radius

 no snmp-server location

 no snmp-server contact

 snmp-server community public

 no snmp-server enable traps

 floodguard enable

 sysopt connection permit-ipsec

 sysopt connection permit-pptp

 no sysopt route dnat

 crypto ipsec transform-set myset esp-des esp-md5-hmac

 crypto dynamic-map dynmap 10 set transform-set myset

 crypto map mymap 10 ipsec-isakmp dynamic dynmap

 crypto map mymap client configuration address initiate

 crypto map mymap client configuration address respond

 crypto map mymap interface outside

 isakmp enable outside

 !--- Cisco Secure VPN Client のキー

 isakmp key ******** address 0.0.0.0 netmask 0.0.0.0

 isakmp identity address

 isakmp client configuration address-pool local bigpool outside

 !--- Cisco VPN 2.5 クライアントまたは CiscoSecure VPN Client 1.1
!--- 用の ISAKMP ポリシー
isakmp policy 10 authentication pre-share isakmp policy 10 encryption des isakmp policy 10 hash md5 !--- 1.1 および 2.5 クライアントは Diffie-Hellman(D-H)
!--- グループ 1 ポリシーを使用します(PIX のデフォルト)。
isakmp policy 10 group 1 isakmp policy 10 lifetime 86400 ! !--- VPN Client 3.0 用の ISAKMP ポリシー isakmp policy 20 authentication pre-share isakmp policy 20 encryption des isakmp policy 20 hash md5 !--- 3.0 クライアントは D-H グループ 2 ポリシー
!--- と PIX 6.0 コードを使用します。
isakmp policy 20 group 2 isakmp policy 20 lifetime 86400 vpngroup vpn3000-all address-pool bigpool vpngroup vpn3000-all dns-server 10.99.99.99 vpngroup vpn3000-all wins-server 10.99.99.99 vpngroup vpn3000-all default-domain password vpngroup vpn3000-all idle-time 1800 !--- VPN 3000 の group_name と group_password vpngroup vpn3000-all password ********
telnet timeout 5 ssh timeout 5 vpdn group 1 accept dialin pptp vpdn group 1 ppp authentication pap vpdn group 1 ppp authentication chap vpdn group 1 ppp authentication mschap vpdn group 1 ppp encryption mppe auto vpdn group 1 client configuration address local bigpool vpdn group 1 client authentication local !--- PPTP のユーザ名とパスワード vpdn username cisco password cisco vpdn enable outside terminal width 80

CiscoSecure VPN Client 1.1
1- TACconn

       My Identity

            Connection security: Secure

            Remote Party Identity and addressing

            ID Type: IP subnet

            10.99.99.0

             255.255.255.0

            Port all Protocol all

 

       Connect using secure tunnel

            ID Type: IP address

            172.18.124.152

 

       Pre-shared Key=CiscoSecure_VPNClient_key

 

       Authentication (Phase 1)

       Proposal 1

           Authentication method: pre-shared key

           Encryp Alg: DES

           Hash Alg: MD5

           SA life: Unspecified

           Key Group: DH 1

 

       Key exchange (Phase 2)

       Proposal 1

           Encapsulation ESP

           Encrypt Alg: DES

           Hash Alg: MD5

           Encap: tunnel

           SA life: Unspecified

           no AH

 

   2- Other Connections

          Connection security: Non-secure

          Local Network Interface

            Name: Any

            IP Addr: Any

            Port: All

 

Cisco VPN 3000 Client 2.5.x または Cisco VPN Client 3.0

Options > Properties > Authentication の順に選択します。次のように、group_name および group_password が PIX 上の group_name および group_password と照合されます。

vpngroup vpn3000-all password ********

 Host-name = 172.18.124.152 

Windows 2000 または Win 98 PPTP クライアントのセットアップ

PPTP クライアントを開発したベンダーに問い合せてください。このセットアップの詳細については、「PPTP を使用するための Cisco Secure PIX Firewall の設定方法」を参照してください。

debug および show コマンド

debug コマンドを発行する前に、「デバッグ コマンドの重要な情報」を参照してください。

PIX IPSec のデバッグ

  • debug crypto ipsec - フェーズ 2 の IPSec ネゴシエーションを表示します。

  • debug crypto isakmp - フェーズ 1 の Internet Security Association and Key Management Protocol(ISAKMP)ネゴシエーションを表示します。

  • debug crypto engine - 暗号化されたトラフィックを表示します。

PIX PPTP のデバッグ

  • debug ppp io - PPTP PPP 仮想インターフェイスのパケット情報を表示します。

  • debug ppp error - PPTP PPP 仮想インターフェイスのエラー メッセージを表示します。

  • debug vpdn error - PPTP プロトコル エラー メッセージを表示します。

  • debug vpdn packets - PPTP トラフィックに関する PPTP パケット情報を表示します。

  • debug vpdn events - PPTP トンネル イベント情報を表示します。

  • debug ppp uauth - PPTP PPP 仮想インターフェイスの AAA ユーザ認証デバッグ メッセージを表示します。

ツール情報

詳細については、シスコの「TAC Tools for Security Technologies」および「TAC Tools for VPN Technologies」を参照してください。


関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 14095