AndroidでCISCO 841MJにIPSec接続してみる その5 （2017/11/05）

というわけで、MODE_CFGセクションまで無事にクリアした訳ですが、ここまでの設定がちゃんとできていると、AndroidからのIPSec接続が確立成功＆安定化するようになります。が、まだ終わりではありません。IPSec接続は安定するのですが、クライアントから一切の通信ができないのです。Androidにping・tracerouteのツールを導入して接続確認をしてみても、応答が全くありません。

その答えはshow ip routeの結果を見れば分かるのですが、ルータにクライアント（poolアドレス）へのルーティング情報がないためです。これに関しては、答えから言ってしまうとReverse Route Injection（RRI）機能を使って、ルーティング情報を追加する必要があります。

ただ、ルータのコンフィグとしては単純で、下記の通りにreverse-routeコンフィグを追加するだけです。

Router#show running-config
crypto dynamic-map D-MAP 1
 set transform-set T-SET
 set isakmp-profile I-PROFILE
 reverse-route

そうすると、クライアントからのIPSec接続時、ルーティングテーブルに下記エントリが追加され、Android上でIPSec経由の通信が通るようになります。

Router#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 192.168.1.1 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 192.168.1.1, GigabitEthernet0/4
...
      192.168.2.0/24 is variably subnetted, 5 subnets, 2 masks
C        192.168.2.0/24 is directly connected, Vlan10
S        192.168.2.241/32 [1/0] via A.B.C.D(=Android Client IP Address)

いかがでしたでしょうか。無事、Androidから通信が通るようになり、基本的に当初やろうとしていたことは実現できました。小規模なオフィス環境であれば、下手にVPN装置などを買わずともCISCO841MJにこれらのコンフィグを投入すれば、外部からリモートアクセスできるようになります。
接続を試してはいませんが、WindowsやMacからも同じように外部からリモートアクセスできるのではないかと思っています。

なお、一連の機器コンフィグについては、非常に複雑なため、別途整理して記事にしたいと思います。

その6へ続く。

タグ：cisco IPsec