SSブログ

YAMAHA RTXとCisco VPN Clientの接続性 (2010/05/08) [ネットワーク機器]

YAMAHA RTX1100とCisco VPN Client(Version 5.0.03.0560)の接続性について試してみました。繋がればいいなぁという感じで試してみたのですが、“仕様の違いにより不可”という結論に至りました。残念。
今回試したのは、外出先からRAS接続としてアクセスするような場合の設定を想定(トンネルモード)しており、設定を変えればもしかしたら繋がるかもしれませんが…。一応、解析した結果を載せておきます。ご参考までに。

RTX1100には「ipsec ike remote name ~」という設定があり、ここに設定した名前とIPSecクライアントが申告してきた名前をチェックするようです。
YAMAHAの公式VPNクライアントであるYMS-VPN1では、“クライアントの名前”の設定値をIKE identification payloadの、ID Type 2(FQDN)として埋め込んできているようで、RTX1100側もその部分をチェックしているようです。
一方、Cisco VPN Clientは“クライアントの名前”に該当する設定項目がなく、IKE identification payloadにはID Type 11(KEY ID)としてグループ認証のグループ名を埋め込んできています。その結果、Cisco VPN Clientで接続するとRTX1100がチェックするID Type 2が存在しませんから、unknown gatewayとして接続が失敗してしまうようです。

RTX1100で走らせたデバッグログは以下のようになりました。
rtx1100 [IKE] respond ISAKMP phase to 1.2.3.4
rtx1100 [IKE] add ISAKMP context [248] afec7fa21600dcd7 00000000
rtx1100 [IKE] receive message from unknown gateway 1.2.3.4
rtx1100 [IKE] inactivate context [248] afec7fa21600dcd7 00000000
rtx1100 [IKE] inactivate ISAKMP socket[1]
rtx1100 [IKE] delete ISAKMP context [248] afec7fa21600dcd7 00000000


その後、フリーのIPSecクライアントであるshrew VPN Clientや各種シェアウェア等をいろいろ試してみましたが、いずれも接続不可でした。IKE identification payloadのID Type2で適切な値を埋め込んでも、その他の部分でエラーがが発生し怒られてしまいます。
rtx1100 [IKE] wrong message format 64 64 27886
rtx1100 [IKE] wrong message format 48 48 49995

rtx1100 [IKE] XAUTH: Authentication Method is not valid(1)

rtx1100 [IKE] invalid ISAKMP proposal
rtx1100 [IKE] ISAKMP SA attribute (authentication method) 65001
rtx1100 [IKE] no proposal chosen []

これが世に言う、IPSec相性問題なんでしょうね。
タグ:cisco RTX IPsec VPN

共通テーマ:日記・雑感

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。