今回は、SAProuterにプライベートIPアドレスを付与し、ルータには仮想IPアドレスを設定せずに、グローバルIPアドレス1つだけでリモート回線を設定してみます。
論理構成はこんな感じです。使用機器は前回と同じです。
前回設定した内容に、変わったところだけを変えて設定しました。赤字部分が変更したところです。具体的には、NATの設定が変更されています。
今回のポイントは、IPsecのベースとなるISAKMP通信だけはNATさせないようにしなければいけないことです。これがNATされてしまうと、ルータ間でやり取りしないといけない情報がルータに届かず、SAProuterまで飛んで行ってしまうので、VPN接続が切断されてしまいます。
ルータの設定(抜粋)
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key [shared_key] address xx.xx.xx.xx
crypto ipsec transform-set SAPesp esp-3des esp-md5-hmac
crypto map SAP 10ipsec-isakmp
set peer xx.xx.xx.xx
set security-association lifetime seconds 7200
set transform-set SAPesp
set pfs group2
match address 100
interface FastEthernet0/0
ip address 200.1.1.1 255.255.255.0
ip nat outside
crypto map SAP
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip nat inside source static udp 200.1.1.1 500 200.1.1.1 500 extendable
ip nat inside source static 192.168.1.1 200.1.1.1
access-list 100 permit ip host 200.1.1.1host 194.117.106.129
3回にわたってSAP社とのリモート回線の構築についてご紹介しました。
リモート回線を構築する際の参考になれば幸いです。
- カテゴリ: クラウド