AndroidでCISCO 841MJにIPSec接続してみる その1 (2017/10/01) [ネットワーク機器]
Androidの設定画面の中にVPNという項目があり、前々から気にはなっていたんですよね。そう思って開いてみると、予想通りIPSecの文字列が。がんばればCISCOルータと接続できるんじゃないかと。
本当はAnyConnectをやってみたかったのですが、CISCO 841MJで使えるのか使えないのかよく分からず、まぁIPSecでもいいかって感じです。(AnyConnectはおそらく対応しているんだろうけど、ライセンスを別で買うとかサポート窓口にバイナリファイルを提供してもらうなど、いろいろ面倒そうな感じだったので)
ただ、IPSecってかなりくせ者で、RFCで仕様が公開されているとは言え、実装の部分で各社ばらつきがあり、他ベンダ間の相互接続はかなり骨の折れる作業だったりします。最終的に接続状態にはなりましたが、私のブラウザのタブにはこれだけの参考資料が開いていました。(不要になったページは適宜閉じているので、ピークはこの数倍です)
http://www.infraexpert.com/study/ipsec16.html
http://www.infraexpert.com/study/ipsec18.html
http://asaq8.hatenablog.com/entry/2014/08/03/000000
http://bisonicr.ldblog.jp/archives/54147837.html
http://blog.bluedeer.net/archives/48
https://www.cisco.com/c/ja_jp/support/docs/network-management/remote-access/117257-config-ios-vpn-strongswan-00.html
https://www.cisco.com/c/ja_jp/support/docs/security-vpn/ipsec-negotiation-ike-protocols/46242-lan-to-lan-vpn-client.html
https://www.cisco.com/c/ja_jp/support/docs/security-vpn/ipsec-negotiation-ike-protocols/117259-trouble-ios-ike-00.html
https://supportforums.cisco.com/t5/vpn/how-can-i-use-vpn-on-android/td-p/1951553
最初はまるまる参考ページもあったので、L2TP/IPSec PSKにチャレンジしました。コンフィグはサクッと入ったのですが、私がブロードバンドルータのポート転送をUDP/4500(IPSec NAT-T)だけしか設定しておらず、当然何も反応しない訳で、ルータを再起動してゼロからやり直すことにしました。(再起動してから、ポート転送が不足していると気付いた)
なんとなくの感覚は掴めたので、いきなりIPSec Xauth PSKにチャレンジです。おそらく正常通信をさせるのはかなり難しい作業になると思われるので、最初の目標は「接続完了状態」 とさせることです。
私はIPSecの専門家ではありませんが、CISCOルータ間で接続するトンネルモードのIPSecコンフィグは何度か作成したことがあるので、少しの知識はあります。とりあえず今回のポイントは、
・MainモードではなくAggressiveモードでの接続となること
・Xauthを実装する必要があること
・…
・…
・…
ってあれ? それ以上思いつきません。大したことない知識ですね。
とりあえずUDP/500(ISAKMP)、UDP/4500(IPSec NAT-T)をポート転送するようにしたら、CISCOルータが反応するようになったので、ログと睨めっこすることにします。
その2へ続く。
本当はAnyConnectをやってみたかったのですが、CISCO 841MJで使えるのか使えないのかよく分からず、まぁIPSecでもいいかって感じです。(AnyConnectはおそらく対応しているんだろうけど、ライセンスを別で買うとかサポート窓口にバイナリファイルを提供してもらうなど、いろいろ面倒そうな感じだったので)
ただ、IPSecってかなりくせ者で、RFCで仕様が公開されているとは言え、実装の部分で各社ばらつきがあり、他ベンダ間の相互接続はかなり骨の折れる作業だったりします。最終的に接続状態にはなりましたが、私のブラウザのタブにはこれだけの参考資料が開いていました。(不要になったページは適宜閉じているので、ピークはこの数倍です)
http://www.infraexpert.com/study/ipsec16.html
http://www.infraexpert.com/study/ipsec18.html
http://asaq8.hatenablog.com/entry/2014/08/03/000000
http://bisonicr.ldblog.jp/archives/54147837.html
http://blog.bluedeer.net/archives/48
https://www.cisco.com/c/ja_jp/support/docs/network-management/remote-access/117257-config-ios-vpn-strongswan-00.html
https://www.cisco.com/c/ja_jp/support/docs/security-vpn/ipsec-negotiation-ike-protocols/46242-lan-to-lan-vpn-client.html
https://www.cisco.com/c/ja_jp/support/docs/security-vpn/ipsec-negotiation-ike-protocols/117259-trouble-ios-ike-00.html
https://supportforums.cisco.com/t5/vpn/how-can-i-use-vpn-on-android/td-p/1951553
最初はまるまる参考ページもあったので、L2TP/IPSec PSKにチャレンジしました。コンフィグはサクッと入ったのですが、私がブロードバンドルータのポート転送をUDP/4500(IPSec NAT-T)だけしか設定しておらず、当然何も反応しない訳で、ルータを再起動してゼロからやり直すことにしました。(再起動してから、ポート転送が不足していると気付いた)
なんとなくの感覚は掴めたので、いきなりIPSec Xauth PSKにチャレンジです。おそらく正常通信をさせるのはかなり難しい作業になると思われるので、最初の目標は「接続完了状態」 とさせることです。
私はIPSecの専門家ではありませんが、CISCOルータ間で接続するトンネルモードのIPSecコンフィグは何度か作成したことがあるので、少しの知識はあります。とりあえず今回のポイントは、
・MainモードではなくAggressiveモードでの接続となること
・Xauthを実装する必要があること
・…
・…
・…
ってあれ? それ以上思いつきません。大したことない知識ですね。
とりあえずUDP/500(ISAKMP)、UDP/4500(IPSec NAT-T)をポート転送するようにしたら、CISCOルータが反応するようになったので、ログと睨めっこすることにします。
その2へ続く。
コメント 0