AndroidでCISCO 841MJにIPSec接続してみる その2 (2017/10/01) [ネットワーク機器]
「このコンフィグじゃないと絶対に動作しない」といったような、正解が1つしかない場合は逆に楽だったりします。最初からそこだけを目指していけばいいのです。しかし、そんな単純ならエンジニアなんて不要ですから、そうでないことは明かです。
CISCOルータとCISCO ASA(ファイアウォール)で微妙にコンフィグ表現が異なるため、似たような設定サンプルがあっても使えなかったり、ルータ同士であってものIOSバージョンや機種によってコンフィグ構造や概念が変更されており、参考ページが役に立たなかったりします。
一番悩むのは、馴染みのない機能を使う場合、コンフィグ1行1行が、どういった意味を持ち、どういった動きと連動しているのかよく分からず、うまく動作しないときに、そのパラメータを変更すべきか、据え置くべきか考えなければならない時です。初期値を変更すると、後続の動作がガラッと変わってしまうあたりは、まさにカオス理論のカオス状態と言えます。(そのパラメータが、動作に何の影響も与えていなかったというオチもザラです)
まぁ、どん底からどのように這い上がってくるかが、エンジニアの腕といったところでしょうか。
今回もいろいろとWebページのサンプルを参照していますが、本当に自分がやりたいことをピンポイントで説明しているWebページはなく、いろいろなサンプルから必要と思われる部分をピックアップしてコンフィグを入れてみました。
当然うまく繋がりませんので、ログと睨めっこをします。ログといっても大したログは残りませんから、ここはもう最初からデバッグモード全開です。CISCOはデバッグ情報をそれなりに吐き出してくれるので、問題発生時も対処しやすく、CISCOがCISCOたる所以なのではないかと思います。
まず分かったのは、ISAKMPの処理で、設定が不足しておりデフォルトのポリシが使用されているということです。普段は設定している下記のようなISAKMPコンフィグですが、今回は不要なのかと思って入れていませんでした。さっそくコンフィグを投入します。
次に表示されたデバッグは下記の通り。ISAKMPのポリシは設定した内容が参照されるようになりましたが、Android側と不一致を起こしているようです。デバッグを見れば一目瞭然ですが、意外とこの辺の情報ってインターネット上には転がっていなかったりしますね。ここは相手の要求値をサクッと追加して乗り越えます。
その3へ続く。
CISCOルータとCISCO ASA(ファイアウォール)で微妙にコンフィグ表現が異なるため、似たような設定サンプルがあっても使えなかったり、ルータ同士であってものIOSバージョンや機種によってコンフィグ構造や概念が変更されており、参考ページが役に立たなかったりします。
一番悩むのは、馴染みのない機能を使う場合、コンフィグ1行1行が、どういった意味を持ち、どういった動きと連動しているのかよく分からず、うまく動作しないときに、そのパラメータを変更すべきか、据え置くべきか考えなければならない時です。初期値を変更すると、後続の動作がガラッと変わってしまうあたりは、まさにカオス理論のカオス状態と言えます。(そのパラメータが、動作に何の影響も与えていなかったというオチもザラです)
まぁ、どん底からどのように這い上がってくるかが、エンジニアの腕といったところでしょうか。
今回もいろいろとWebページのサンプルを参照していますが、本当に自分がやりたいことをピンポイントで説明しているWebページはなく、いろいろなサンプルから必要と思われる部分をピックアップしてコンフィグを入れてみました。
当然うまく繋がりませんので、ログと睨めっこをします。ログといっても大したログは残りませんから、ここはもう最初からデバッグモード全開です。CISCOはデバッグ情報をそれなりに吐き出してくれるので、問題発生時も対処しやすく、CISCOがCISCOたる所以なのではないかと思います。
まず分かったのは、ISAKMPの処理で、設定が不足しておりデフォルトのポリシが使用されているということです。普段は設定している下記のようなISAKMPコンフィグですが、今回は不要なのかと思って入れていませんでした。さっそくコンフィグを投入します。
Router# show running-config crypto isakmp policy 1 encr aes hash sha256 authentication pre-share group 14
次に表示されたデバッグは下記の通り。ISAKMPのポリシは設定した内容が参照されるようになりましたが、Android側と不一致を起こしているようです。デバッグを見れば一目瞭然ですが、意外とこの辺の情報ってインターネット上には転がっていなかったりしますね。ここは相手の要求値をサクッと追加して乗り越えます。
ISAKMP: (0):Checking ISAKMP transform 1 against priority 1 policy ISAKMP: (0): life type in seconds ISAKMP: (0): life duration (basic) of 28800 ISAKMP: (0): encryption AES-CBC ISAKMP: (0): keylength of 256 ISAKMP: (0): auth XAUTHInitPreShared ISAKMP: (0): hash SHA256 ISAKMP: (0): default group 5 ISAKMP-ERROR: (0):Hash algorithm offered does not match policy! ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3 ISAKMP: (0):Checking ISAKMP transform 2 against priority 1 policy ISAKMP: (0): life type in seconds ISAKMP: (0): life duration (basic) of 28800 ISAKMP: (0): encryption AES-CBC ISAKMP: (0): keylength of 256 ISAKMP: (0): auth XAUTHInitPreShared ISAKMP: (0): hash SHA ISAKMP: (0): default group 5 ISAKMP-ERROR: (0):Proposed key length does not match policy ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3 ISAKMP: (0):Checking ISAKMP transform 3 against priority 1 policy ISAKMP: (0): life type in seconds ISAKMP: (0): life duration (basic) of 28800 ISAKMP: (0): encryption AES-CBC ISAKMP: (0): keylength of 256 ISAKMP: (0): auth XAUTHInitPreShared ISAKMP: (0): hash MD5 ISAKMP: (0): default group 5 ISAKMP-ERROR: (0):Hash algorithm offered does not match policy! ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3 ISAKMP: (0):Checking ISAKMP transform 4 against priority 1 policy ISAKMP: (0): life type in seconds ISAKMP: (0): life duration (basic) of 28800 ISAKMP: (0): encryption AES-CBC ISAKMP: (0): keylength of 256 ISAKMP: (0): auth XAUTHInitPreShared ISAKMP: (0): hash SHA256 ISAKMP: (0): default group 2 ISAKMP-ERROR: (0):Hash algorithm offered does not match policy! ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3 ... ... ...
その3へ続く。
コメント 0