AndroidでCISCO 841MJにIPSec接続してみる その5 (2017/11/05) [ネットワーク機器]
というわけで、MODE_CFGセクションまで無事にクリアした訳ですが、ここまでの設定がちゃんとできていると、AndroidからのIPSec接続が確立成功&安定化するようになります。が、まだ終わりではありません。IPSec接続は安定するのですが、クライアントから一切の通信ができないのです。Androidにping・tracerouteのツールを導入して接続確認をしてみても、応答が全くありません。
その答えはshow ip routeの結果を見れば分かるのですが、ルータにクライアント(poolアドレス)へのルーティング情報がないためです。これに関しては、答えから言ってしまうとReverse Route Injection(RRI)機能を使って、ルーティング情報を追加する必要があります。
ただ、ルータのコンフィグとしては単純で、下記の通りにreverse-routeコンフィグを追加するだけです。
そうすると、クライアントからのIPSec接続時、ルーティングテーブルに下記エントリが追加され、Android上でIPSec経由の通信が通るようになります。
いかがでしたでしょうか。無事、Androidから通信が通るようになり、基本的に当初やろうとしていたことは実現できました。小規模なオフィス環境であれば、下手にVPN装置などを買わずともCISCO841MJにこれらのコンフィグを投入すれば、外部からリモートアクセスできるようになります。
接続を試してはいませんが、WindowsやMacからも同じように外部からリモートアクセスできるのではないかと思っています。
なお、一連の機器コンフィグについては、非常に複雑なため、別途整理して記事にしたいと思います。
その6へ続く。
その答えはshow ip routeの結果を見れば分かるのですが、ルータにクライアント(poolアドレス)へのルーティング情報がないためです。これに関しては、答えから言ってしまうとReverse Route Injection(RRI)機能を使って、ルーティング情報を追加する必要があります。
ただ、ルータのコンフィグとしては単純で、下記の通りにreverse-routeコンフィグを追加するだけです。
Router#show running-config crypto dynamic-map D-MAP 1 set transform-set T-SET set isakmp-profile I-PROFILE reverse-route
そうすると、クライアントからのIPSec接続時、ルーティングテーブルに下記エントリが追加され、Android上でIPSec経由の通信が通るようになります。
Router#show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP a - application route + - replicated route, % - next hop override, p - overrides from PfR Gateway of last resort is 192.168.1.1 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 192.168.1.1, GigabitEthernet0/4 ... 192.168.2.0/24 is variably subnetted, 5 subnets, 2 masks C 192.168.2.0/24 is directly connected, Vlan10 S 192.168.2.241/32 [1/0] via A.B.C.D(=Android Client IP Address)
いかがでしたでしょうか。無事、Androidから通信が通るようになり、基本的に当初やろうとしていたことは実現できました。小規模なオフィス環境であれば、下手にVPN装置などを買わずともCISCO841MJにこれらのコンフィグを投入すれば、外部からリモートアクセスできるようになります。
接続を試してはいませんが、WindowsやMacからも同じように外部からリモートアクセスできるのではないかと思っています。
なお、一連の機器コンフィグについては、非常に複雑なため、別途整理して記事にしたいと思います。
その6へ続く。
コメント 0