いろいろバックエンドな人の備忘録

といいつつレイヤーのネタ書いてます。C/C++, Ruby(Rails)、自宅サーバー,PCパーツ,ネットワーク、あとピアノも。

<メモブログ>SoftEther で IPSec サーバを構築した時の Cisco IOS の設定

Ciscoルータをもっているなら、Anyconnect を使ってみてもいいのだけれども、OS標準(Android/Apple iOS含む)でVPNを張れる環境にしたいのでSoftEtherで構築した。

! WAN側は CBAC を使う
ip inspect name CBAC-WAN-OUT tcp
ip inspect name CBAC-WAN-OUT udp router-traffic
ip inspect name CBAC-WAN-OUT icmp router-traffic


! PPPoE を喋るインターフェイス
interface GigabitEthernet0/5
 description to ONU
 no ip address
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
!

! 内側のネットワーク
interface Vlan100
 description Inner Network
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1414

! PPPoE (Dialer)
interface Dialer1
 mtu 1454
 ip address negotiated
 ip access-group WAN-IN in
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1414
 dialer pool 1
 dialer-group 1
 ppp authentication chap callin
 ppp chap hostname <ほげほげ>
 ppp chap password 7 <ふがふが>
 no cdp enable

! NAT 
ip dns server
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static udp 192.168.0.3 4500 interface Dialer1 4500
ip nat inside source static esp 192.168.0.3 interface Dialer1
ip nat inside source static udp 192.168.0.3 500 interface Dialer1 500
ip route 0.0.0.0 0.0.0.0 Dialer1

! WANインターフェイスのアクセスリスト
ip access-list extended WAN-IN
 permit udp any eq domain any
 permit icmp any any echo-reply
 permit udp any any eq isakmp
 permit udp any any eq non500-isakmp
 permit esp any any
 deny   ip any any log
!

! Dialer と NAPTの設定
dialer-list 1 protocol ip permit
access-list 1 permit 192.168.0.0 0.0.255.255