YAMAHA RTXとCisco VPN Clientの接続性 (2010/05/08) [ネットワーク機器]
YAMAHA RTX1100とCisco VPN Client(Version 5.0.03.0560)の接続性について試してみました。繋がればいいなぁという感じで試してみたのですが、“仕様の違いにより不可”という結論に至りました。残念。
今回試したのは、外出先からRAS接続としてアクセスするような場合の設定を想定(トンネルモード)しており、設定を変えればもしかしたら繋がるかもしれませんが…。一応、解析した結果を載せておきます。ご参考までに。
RTX1100には「ipsec ike remote name ~」という設定があり、ここに設定した名前とIPSecクライアントが申告してきた名前をチェックするようです。
YAMAHAの公式VPNクライアントであるYMS-VPN1では、“クライアントの名前”の設定値をIKE identification payloadの、ID Type 2(FQDN)として埋め込んできているようで、RTX1100側もその部分をチェックしているようです。
一方、Cisco VPN Clientは“クライアントの名前”に該当する設定項目がなく、IKE identification payloadにはID Type 11(KEY ID)としてグループ認証のグループ名を埋め込んできています。その結果、Cisco VPN Clientで接続するとRTX1100がチェックするID Type 2が存在しませんから、unknown gatewayとして接続が失敗してしまうようです。
RTX1100で走らせたデバッグログは以下のようになりました。
その後、フリーのIPSecクライアントであるshrew VPN Clientや各種シェアウェア等をいろいろ試してみましたが、いずれも接続不可でした。IKE identification payloadのID Type2で適切な値を埋め込んでも、その他の部分でエラーがが発生し怒られてしまいます。
これが世に言う、IPSec相性問題なんでしょうね。
今回試したのは、外出先からRAS接続としてアクセスするような場合の設定を想定(トンネルモード)しており、設定を変えればもしかしたら繋がるかもしれませんが…。一応、解析した結果を載せておきます。ご参考までに。
RTX1100には「ipsec ike remote name ~」という設定があり、ここに設定した名前とIPSecクライアントが申告してきた名前をチェックするようです。
YAMAHAの公式VPNクライアントであるYMS-VPN1では、“クライアントの名前”の設定値をIKE identification payloadの、ID Type 2(FQDN)として埋め込んできているようで、RTX1100側もその部分をチェックしているようです。
一方、Cisco VPN Clientは“クライアントの名前”に該当する設定項目がなく、IKE identification payloadにはID Type 11(KEY ID)としてグループ認証のグループ名を埋め込んできています。その結果、Cisco VPN Clientで接続するとRTX1100がチェックするID Type 2が存在しませんから、unknown gatewayとして接続が失敗してしまうようです。
RTX1100で走らせたデバッグログは以下のようになりました。
rtx1100 [IKE] respond ISAKMP phase to 1.2.3.4 rtx1100 [IKE] add ISAKMP context [248] afec7fa21600dcd7 00000000 rtx1100 [IKE] receive message from unknown gateway 1.2.3.4 rtx1100 [IKE] inactivate context [248] afec7fa21600dcd7 00000000 rtx1100 [IKE] inactivate ISAKMP socket[1] rtx1100 [IKE] delete ISAKMP context [248] afec7fa21600dcd7 00000000
その後、フリーのIPSecクライアントであるshrew VPN Clientや各種シェアウェア等をいろいろ試してみましたが、いずれも接続不可でした。IKE identification payloadのID Type2で適切な値を埋め込んでも、その他の部分でエラーがが発生し怒られてしまいます。
rtx1100 [IKE] wrong message format 64 64 27886 rtx1100 [IKE] wrong message format 48 48 49995
rtx1100 [IKE] XAUTH: Authentication Method is not valid(1)
rtx1100 [IKE] invalid ISAKMP proposal rtx1100 [IKE] ISAKMP SA attribute (authentication method) 65001 rtx1100 [IKE] no proposal chosen []
これが世に言う、IPSec相性問題なんでしょうね。