YAMAHA RTXとCisco VPN Clientの接続性 ~ 7年目の真実 (2017/10/02) [ネットワーク機器]
IPSecにチャレンジしていることもあって、自分自身の書いた過去記事を見直していました。2010年5月にYAMAHA RTX1100とCisco VPN Clientの接続性について検証しており、当時は「接続不可」という結論を下しました。
概要としては、CISCO VPN Clientはクライアント側の識別子(IKE identification payload)としてID Type 11(KEY ID)を提示しますが、YAMAHA RTX1100はID Type 2(FQDN)としてチェックするので、不一致が発生し、うまく接続できないというものです。
ID Type 11(KEY ID)に何を埋め込むのかと言えば、CISCO VPN Clientに設定するグループ認証のグループ名なんですよね。
RTX1100のコンフィグだと、「ipsec ike remote name ~」に対応しており、~部分をチェック対象とします。
気になってRTXの最新マニュアル(for 後継機種)を見てみたのですが、該当部分の設定項目が増えているではありませんか。
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ipsec/ipsec_ike_remote_name.html
・ipv4-addr : ID_IPV4_ADDR
・fqdn : ID_FQDN
・user-fqdn(もしくはrfc822-addr) : ID_USER_FQDN(ID_RFC822_ADDR)
・ipv6-addr : ID_IPV6_ADDR
・key-id : ID_KEY_ID
・tel : NGN 網電話番号(ID_IPV6_ADDR)
・tel-key : NGN 網電話番号(ID_KEY_ID)
key-idってあるし。たぶんID Type 11なんでしょうね。これはもしかするともしかすると、RTX1100ではなく後継機種のRTX1200を使用して検証していたら、ちゃんと接続できていたかもしれません。
まぁ、今となってはCISCO VPN Client自体がEnd of Supportでガラクタソフトウェアになっていますが。
なぜこんな形で過去記事を掘り下げたかというと、AndoroidのIPSec接続を試している中で、グループ認証に対応できるようにAndoroid側でオプション設定項目が用意されていることが分かったからです。懐かしい気持ち半分で、当時の記事を読み返した訳です。
なお、CISCO VPN Clientは今となってはゴミ(後継のAnyConnectへの移行が推奨されている)ですが、CISCO機器として「グループ認証」は現役のコンフィグとして活用可能です。
概要としては、CISCO VPN Clientはクライアント側の識別子(IKE identification payload)としてID Type 11(KEY ID)を提示しますが、YAMAHA RTX1100はID Type 2(FQDN)としてチェックするので、不一致が発生し、うまく接続できないというものです。
ID Type 11(KEY ID)に何を埋め込むのかと言えば、CISCO VPN Clientに設定するグループ認証のグループ名なんですよね。
RTX1100のコンフィグだと、「ipsec ike remote name ~」に対応しており、~部分をチェック対象とします。
気になってRTXの最新マニュアル(for 後継機種)を見てみたのですが、該当部分の設定項目が増えているではありませんか。
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ipsec/ipsec_ike_remote_name.html
・ipv4-addr : ID_IPV4_ADDR
・fqdn : ID_FQDN
・user-fqdn(もしくはrfc822-addr) : ID_USER_FQDN(ID_RFC822_ADDR)
・ipv6-addr : ID_IPV6_ADDR
・key-id : ID_KEY_ID
・tel : NGN 網電話番号(ID_IPV6_ADDR)
・tel-key : NGN 網電話番号(ID_KEY_ID)
key-idってあるし。たぶんID Type 11なんでしょうね。これはもしかするともしかすると、RTX1100ではなく後継機種のRTX1200を使用して検証していたら、ちゃんと接続できていたかもしれません。
まぁ、今となってはCISCO VPN Client自体がEnd of Supportでガラクタソフトウェアになっていますが。
なぜこんな形で過去記事を掘り下げたかというと、AndoroidのIPSec接続を試している中で、グループ認証に対応できるようにAndoroid側でオプション設定項目が用意されていることが分かったからです。懐かしい気持ち半分で、当時の記事を読み返した訳です。
なお、CISCO VPN Clientは今となってはゴミ(後継のAnyConnectへの移行が推奨されている)ですが、CISCO機器として「グループ認証」は現役のコンフィグとして活用可能です。
こんにちは。情報を探しててこちらのblogにたどり着きました。
このときのRTX1100のconfigとか、もう残ってないんでしょうか。
現在、cisco vpn clientの互換ソフト?(組み込み型のシステムに埋め込まれてるイメージです)とRTXを繋げようと四苦八苦してる最中でして…
乱文失礼しました。
by フルスタックワンオペ (2018-06-12 17:35)