キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
7943
閲覧回数
5
いいね!
4
返信

リモートアクセスVPNに接続できるが、社内の機器と通信できない

aki shiro
Level 1
Level 1
841Mにて、
リモートアクセスVPNを有効にし、インターネット経由で接続できるところまではできたのですが、
社内の機器との通信ができません。
何時間か調べたのですが、うまくいきません。
申し訳ないのですが、同じ事象となった方、クリアできた方などいらっしゃいましたら
ご教示いただけないでしょうか。
設定はGUIで行いました。
VPNクライアントはCiscoルータとの通信はできます。
社内機器はCiscoルータとの通信およびインターネットに接続ができます。

クライアントのIPConfigは下記になります。
============================
PPP アダプター home:
   接続固有の DNS サフィックス . . . . .:
   説明. . . . . . . . . . . . . . . . .: home
   物理アドレス. . . . . . . . . . . . .:
   DHCP 有効 . . . . . . . . . . . . . .: いいえ
   自動構成有効. . . . . . . . . . . . .: はい
   IPv4 アドレス . . . . . . . . . . . .: 10.0.1.205(優先)
   サブネット マスク . . . . . . . . . .: 255.255.255.255
   デフォルト ゲートウェイ . . . . . . .: 0.0.0.0
   DNS サーバー. . . . . . . . . . . . .: 8.8.8.8
   NetBIOS over TCP/IP . . . . . . . . .: 有効
============================
社内機器は
10.0.1.0/24ネットワーク内に設置しております。

エクスポートしたConfigは下記になります。
=================
Building configuration...
Current configuration : 9716 bytes
!
! Last configuration change at 21:25:04 GMT Sat Jun 10 2017 by admin
! NVRAM config last updated at 20:34:03 GMT Sat Jun 10 2017 by admin
!
version 15.5
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname rt01
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login local_access local
aaa authentication ppp default local
aaa authentication ppp VPDN_AUTH local
!
!
!
!
!
aaa session-id common
ethernet lmi ce
clock timezone GMT 9 0
!
crypto pki trustpoint TP-self-signed-4108791233
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-4108791233
 revocation-check none
 rsakeypair TP-self-signed-4108791233
!
!
crypto pki certificate chain TP-self-signed-4108791233
 certificate self-signed 01
  ***削除***
   quit
!
!
!
ip nbar http-services
!
!
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool ccp-pool
 import all
 network 10.10.10.0 255.255.255.128
 default-router 10.10.10.1
 dns-server 8.8.8.8
 lease 0 2
!
!
!
ip domain name ***削除***
ip name-server 8.8.8.8
ip cef
no ipv6 cef
!
!
flow record nbar-appmon
 match ipv4 source address
 match ipv4 destination address
 match application name
 collect interface output
 collect counter bytes
 collect counter packets
 collect timestamp absolute first
 collect timestamp absolute last
!
!
flow monitor application-mon
 cache timeout active 60
 record nbar-appmon
!
parameter-map type inspect global
 max-incomplete low 18000
 max-incomplete high 20000
 nbar-classify
!
vpdn enable
!
vpdn-group L2TP
 ! Default L2TP VPDN group
 accept-dialin
  protocol l2tp
  virtual-template 1
 no l2tp tunnel authentication
!
license udi pid C841M-4X-JSEC/K9 sn ***削除***
!
!
object-group service INTERNAL_UTM_SERVICE
!
object-group network Others_dst_net
 any
!
object-group network Others_src_net
 any
!
object-group service Others_svc
 ip
!
object-group network Web_dst_net
 any
!
object-group network Web_src_net
 any
!
object-group service Web_svc
 ip
!
object-group network local_cws_net
!
object-group network local_lan_subnets
 10.10.10.0 255.255.255.128
 10.0.1.0 255.255.255.0
!
object-group network vpn_remote_subnets
 any
!
username admin privilege 15 secret 5 $1$***削除***
username vpnuser privilege 0 password 7 ***削除***
!
redundancy
!
!
!
!
no cdp run
!
!
class-map type inspect match-any INTERNAL_DOMAIN_FILTER
 match protocol msnmsgr
 match protocol ymsgr
class-map type inspect match-any Others_app
 match protocol https
 match protocol smtp
 match protocol pop3
 match protocol imap
 match protocol sip
 match protocol ftp
 match protocol dns
 match protocol icmp
class-map type inspect match-any Web_app
 match protocol http
class-map type inspect match-all Others
 match class-map Others_app
 match access-group name Others_acl
class-map type inspect match-all Web
 match class-map Web_app
 match access-group name Web_acl
!
policy-map type inspect LAN-WAN-POLICY
 class type inspect Web
  inspect
 class type inspect Others
  inspect
 class class-default
  drop log
!
zone security LAN
zone security WAN
zone security VPN
zone security DMZ
zone-pair security LAN-WAN source LAN destination WAN
 service-policy type inspect LAN-WAN-POLICY
!
crypto keyring L2TP 
  pre-shared-key address 0.0.0.0 0.0.0.0 key ***削除***
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
 lifetime 28800
crypto isakmp keepalive 3600
!
!
crypto ipsec transform-set TS1 esp-aes esp-sha-hmac
 mode transport
!
!
!
crypto dynamic-map DYN_MAP 10
 set nat demux
 set transform-set TS1
!
!
crypto map CRYP_MAP 6000 ipsec-isakmp dynamic DYN_MAP
!
!
!
!
!
interface GigabitEthernet0/0
 no ip address
!
interface GigabitEthernet0/1
 switchport access vlan 10
 no ip address
!
interface GigabitEthernet0/2
 switchport access vlan 10
 no ip address
!
interface GigabitEthernet0/3
 switchport access vlan 10
 no ip address
!
interface GigabitEthernet0/4
 description PrimaryWANDesc_
 no ip address
 ip nbar protocol-discovery
 ip tcp adjust-mss 1414
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0/5
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Virtual-Template1
 ip unnumbered Dialer1
 ip nbar protocol-discovery
 ip flow monitor application-mon input
 ip flow ingress
 ip flow egress
 zone-member security LAN
 load-interval 30
 peer default ip address pool vpnpool
 ppp mtu adaptive
 ppp authentication ms-chap-v2 VPDN_AUTH
!
interface Vlan1
 description $ETH_LAN$
 ip address 10.10.10.1 255.255.255.128
 ip nbar protocol-discovery
 ip flow monitor application-mon input
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly in
 zone-member security LAN
 ip tcp adjust-mss 1414
 load-interval 30
!
interface Vlan10
 ip address 10.0.1.1 255.255.255.0
 ip nbar protocol-discovery
 ip flow monitor application-mon input
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly in
 zone-member security LAN
 load-interval 30
!
interface Dialer1
 description PrimaryWANDesc__GigabitEthernet0/4
 mtu 1454
 ip address negotiated
 ip nbar protocol-discovery
 ip nat outside
 ip virtual-reassembly in
 zone-member security WAN
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp mtu adaptive
 ppp authentication chap callin
 ppp chap hostname ***削除***
 ppp chap password 7 ***削除***
 no cdp enable
 crypto map CRYP_MAP
!
ip local pool vpnpool 10.0.1.200 10.0.1.220
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source list nat-list interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip access-list extended Others_acl
 permit object-group Others_svc object-group Others_src_net object-group Others_dst_net
ip access-list extended Web_acl
 permit object-group Web_svc object-group Web_src_net object-group Web_dst_net
ip access-list extended nat-list
 permit ip object-group local_lan_subnets any
 deny   ip any any
 deny   ip object-group local_lan_subnets object-group vpn_remote_subnets
!
dialer-list 1 protocol ip permit
!
!
access-list 23 permit 10.10.10.0 0.0.0.127
!
!
!
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------
 
Cisco Configuration Professional (Cisco CP) is installed on this device
and it provides the default username "cisco" for  one-time use. If you have
already used the username "cisco" to login to the router and your IOS image
supports the "one-time" user option, then this username has already expired.
You will not be able to login to the router with this username after you exit
this session.
 
It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.
 
username <myuser> privilege 15 secret 0 <mypassword>
 
Replace <myuser> and <mypassword> with the username and password you
want to use.
 
-----------------------------------------------------------------------
^C
banner login ^C
-----------------------------------------------------------------------
Cisco Configuration Professional (Cisco CP) is installed on this device.
This feature requires the one-time use of the username "cisco" with the
password "cisco". These default credentials have a privilege level of 15.
 
YOU MUST USE CISCO CP or the CISCO IOS CLI TO CHANGE THESE
PUBLICLY-KNOWN CREDENTIALS
Here are the Cisco IOS commands.
username <myuser>  privilege 15 secret 0 <mypassword>
no username cisco
Replace <myuser> and <mypassword> with the username and password you want
to use.
IF YOU DO NOT CHANGE THE PUBLICLY-KNOWN CREDENTIALS, YOU WILL
NOT BE ABLE TO LOG INTO THE DEVICE AGAIN AFTER YOU HAVE LOGGED OFF.
 
For more information about Cisco CP please follow the instructions in the
QUICK START GUIDE for your router or go to http://www.cisco.com/go/ciscocp
-----------------------------------------------------------------------
^C
!
line con 0
 login authentication local_access
 no modem enable
line vty 0 4
 access-class 23 in
 privilege level 15
 login authentication local_access
 transport input telnet ssh
line vty 5 15
 access-class 23 in
 privilege level 15
 transport input telnet ssh
!
scheduler allocate 20000 1000
ntp server ntp.nict.jp
!
end
==================
4件の返信4

Akira Muranaka
Level 8
Level 8

shiroさん こんにちわ。

お役にたつか解りませんが、以下ドキュメントなどを確認頂くのは如何でしょうか。

C841-Q : Windows、MAC、iPhoneと841MをIPSec VPNで接続したい。
https://supportforums.cisco.com/ja/document/13281246
   ---> GUIでの設定マニュアルのURLが記載れてます

IOS VPN(ルータ): 既存の L2L VPN への新しい L2L のトンネルまたはリモート アクセスの追加
http://www.cisco.com/c/ja_jp/support/docs/routers/3800-series-integrated-services-routers/107553-iosrouter-l2ltunnel.html#add
   ---> 「設定へのリモート アクセス VPN の追加」を確認してください

L2TP over IPsec on Cisco IOS Router Using Windows 8
https://supportforums.cisco.com/document/9878401/l2tp-over-ipsec-cisco-ios-router-using-windows-8
    ---> 英語記事が IOSルータの設定例が参考になると思います


また、Shrew Soft VPN Clientという 無料の VPNクライアントソフトウェアを利用するのも手かもしれません。専用のアプリケーションを利用したほうが安定し、設定や運用は楽かと思います。

Shrew Soft VPN Clientを使用したリモートアクセスVPN
https://supportforums.cisco.com/ja/document/12417051

kojima.kenji
Level 1
Level 1

同じ問題にあたり、解決しましたのでメモとして残します。

VPN端末からIPSEC/L2TPでVPN接続を行い、RouterのVLAN1のGatewayにはPINGは通るのですが、社内サーバ(VLAN1と同一セグメント)には、通信できない事象が発生していました。

原因は、LAN-WANのセキュリティのポリシーが設定されていない為でした。

 

セキュリティ > ポリシー

・追加

  ポリシー名 VPN(任意)

  送信元ゾーン LAN

  宛先ゾーン WAN

  送信元ネットワーク ANY

  宛先ネットワーク ANY

・保存

 

上記のポリシーを追加することで、VPNの端末から社内の端末への通信がOKとなりました。

 

<追記>
interface Virtual-Template1 に「 zone-member security LAN」があることも確認してください。

<その他>
VPN接続後、端末からインターネットにアクセスしたい場合は、2つあり、1つがVPNルータ経由、もう一つが端末からVPNを経由せず直接出る方法です。
1つ目は、Interface Virtual-Template1に「ip nat inside」を入れると、通信できるはずですが、現状確認できていません。(インターネットにはパケットはVPNルータ経由で出て行っていて、NAT処理も正しく行われているが、戻りが来ていない?)
2つ目ですが、Windows10の場合は、アダプターの設定でVPNのプロパティを開いて、ネットワーク  > インターネットプロトコル バージョン4(TCP/IPv4)のプロパティ > 詳細設定 > リモートネットワークでデフォルトゲートウェイを使う(U)のチェックを外す。
もし、VPNルータの先に接続先のネットワークがあるのならば、ルーティングの追加が必要。

Andoroidは詳細設定で転送ルートにVPN接続先のネットワークを記載する。
IPHONEは全ての信号をオフにする。※VPNルータの先に、接続先のネットワークがある場合は使えない。

私の場合、interface Virtual-Template1 に

 

zone-member security VPN

 

を追加すると通信できるようになりました。

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします: