RTX1100 ~ Shew Soft VPN Connect接続成功 その2 (2010/09/19) [ネットワーク機器]
RTX1100とShew Soft VPN Connect(2.1.6)との接続、なかなか手強かったです。基本的にデバッグログとの睨めっこでした。細かくパラメータをチューニングしながら、100~200回ぐらい接続し直したと思います。
ポイントは、RTX1100の自由度のなさですかねぇ? 普通Phase1では、AES128bit、AES192bit、AES256bitといろいろ選べたりしますが、RTX1100はAESの場合128bit決め打ちでしか接続できないようで、RTX1100的にちょっとでも気に食わないとRTX1100のログに“wrong message format~”とだけ残して接続できない、といった感じです。最終的にはPSK + XAUTHの組み合わせで繋がっています。
コンフィグはブラッシュアップできていませんが、とりあえず接続できた生のコンフィグは以下のようになります。(一部、アドレスやIDはブログ用に後から変更しています。整合性がずれていたらすみません) この中でいくつか、ここは絶対こうでないといけないといった部分があり、その部分は赤く着色しています。(とは言っても、これも完全に精査できているわけではありません。該当の設定がなくても繋がる可能性はあります)
ポイントは、RTX1100の自由度のなさですかねぇ? 普通Phase1では、AES128bit、AES192bit、AES256bitといろいろ選べたりしますが、RTX1100はAESの場合128bit決め打ちでしか接続できないようで、RTX1100的にちょっとでも気に食わないとRTX1100のログに“wrong message format~”とだけ残して接続できない、といった感じです。最終的にはPSK + XAUTHの組み合わせで繋がっています。
コンフィグはブラッシュアップできていませんが、とりあえず接続できた生のコンフィグは以下のようになります。(一部、アドレスやIDはブログ用に後から変更しています。整合性がずれていたらすみません) この中でいくつか、ここは絶対こうでないといけないといった部分があり、その部分は赤く着色しています。(とは言っても、これも完全に精査できているわけではありません。該当の設定がなくても繋がる可能性はあります)
tunnel select 1 tunnel encapsulation ipsec ipsec tunnel 1 ipsec sa policy 1 11 esp aes-cbc sha-hmac ipsec ike encryption 11 aes-cbc ipsec ike group 11 modp1024(=DHグループ2) ipsec ike hash 11 sha ipsec ike local address 11 192.168.0.1 ipsec ike log 11 key-info message-info payload-info ipsec ike nat-traversal 11 on ipsec ike payload type 11 3(最重要。初期ベクトル (IV) の生成方法を一部の実装に合わせる) ipsec ike pfs 11 on ipsec ike pre-shared-key 11 text ********(共有鍵) ipsec ike remote address 11 any(任意のIPアドレスから受け付け) ipsec ike remote name 11 acer(最重要。Shrew側に設定が必要) ipsec ike xauth request 11 on 50(xAuth用、以下赤字部分は同じ。ユーザ名とかアドレスは適当に) ipsec ike mode-cfg address 11 10 tunnel enable 1 ipsec use on ipsec ike mode-cfg address pool 10 10.0.0.0/8 auth user 51 test test auth user group 50 51 auth user group attribute 50 xauth=on
