解決で3000ポイント差し上げます。RTX1000 Rev.8.01.19 (Wed Apr 20 18:47:31 2005)同士で


tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
ipsec ike encryption 1 3des-cbc
ipsec ike esp-encapsulation 1 off
ipsec ike keepalive use 1 auto
ipsec ike local address 1 192.168.1.3
ipsec ike pre-shared-key 1 *
ipsec ike remote address 1 any
ipsec ike remote name 1 *
ip tunnel mtu 1280
tunnel enable 1

こんな調子でVPNを張っていますが、ip routing process fastに設定するとルータ同士のVPN接続がハングアップします。process normalに戻すと安定してつながります。normalで接続しているため現在非常に遅い(WAN=20Mbps、VPN=2〜3Mbpsくらい?)です。これを解決する方法を教えてください。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2005/08/27 16:18:42
  • 終了:--

回答(3件)

id:m-a-s-a No.1

m-a-s-a回答回数88ベストアンサー獲得回数02005/08/27 16:51:44

ポイント20pt

上記の制限事項を見ると、次のように書いてあります。

終点IPアドレスがルータ自身のIPアドレスになっているパケット

ただし、IPsecのESPパケットでルータ自身が管理しているVPNトンネルのパケットはルータ宛でもファストパスでの処理となります

ですので、espによるカプセル化を双方で有効にしてみる、というのはいかがでしょうか?具体的には

ipsec ike esp-encapsulation 1 on

としてみてはいかがでしょうか?

id:NetVista No.2

NetVista回答回数843ベストアンサー獲得回数02005/08/27 17:30:24

ポイント20pt

この設定ではリモート側が非固定アドレスとなっていますが、ローカル側のアドレスが192.168.1.3とプライベートアドレスなんですか?

グローバルアドレスでは?

リモート側は固定IPはないのでしょうか?

ルーティング情報も知りたいですね!


lan1.1~lan1.4は別セグメントとしては使ってないですよね?

id:alteron

現在はこんな感じになってます。

administrator password *

security class 2 off off

login timer 600

ip routing process normal

ip route default gateway pp 1

ip route 192.168.10.0/24 gateway tunnel 1

ip route 192.168.20.0/24 gateway tunnel 2

ip icmp echo-reply send off

ip lan1 address 192.168.1.3/24

ip lan1 proxyarp on

pp select 1

pp always-on on

pppoe use lan3

pp auth accept pap chap

pp auth myname xxxxx@xxxx.ne.jp *

ppp lcp mru on 1454

ppp ipcp ipaddress on

ppp ccp type none

ip pp mtu 1454

ip pp intrusion detection in on

ip pp nat descriptor 1

pp enable 1

pp select anonymous

pp bind tunnel3

pp auth request mschap

pp auth username xxxxx *

ppp ipcp ipaddress on

ppp ipcp msext on

ppp ccp type mppe-any

ip pp remote address pool 192.168.1.99

ip pp mtu 1280

pptp service type server

pp enable anonymous

tunnel select 1

ipsec tunnel 101

ipsec sa policy 101 1 esp 3des-cbc md5-hmac

ipsec ike encryption 1 3des-cbc

ipsec ike esp-encapsulation 1 off

ipsec ike keepalive use 1 auto

ipsec ike local address 1 192.168.1.3

ipsec ike pre-shared-key 1 *

ipsec ike remote address 1 any

ipsec ike remote name 1 xxxxx

ip tunnel mtu 1280

tunnel enable 1

tunnel select 2

ipsec tunnel 102

ipsec sa policy 102 2 esp aes-cbc md5-hmac

ipsec ike encryption 2 aes-cbc

ipsec ike esp-encapsulation 2 on

ipsec ike local address 2 192.168.1.3

ipsec ike pre-shared-key 2 *

ipsec ike remote address 2 any

ipsec ike remote name 2 xxxxx

tunnel enable 2

nat descriptor type 1 masquerade

nat descriptor masquerade static 1 1 192.168.1.3 udp 500

nat descriptor masquerade static 1 2 192.168.1.3 esp

nat descriptor masquerade static 1 3 192.168.1.3 tcp 1723

nat descriptor masquerade static 1 4 192.168.1.3 gre

ipsec auto refresh on

syslog notice on

dns service recursive

dns server xxx.xxx.xxx.xxx

2005/08/28 01:45:16
id:NetVista No.3

NetVista回答回数843ベストアンサー獲得回数02005/08/28 07:49:38

ポイント20pt

http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat.html

IPsec$B$G$N(BNAT$B$N@_Dj$K$D$$$F(B

nat descriptor address outer 1 ipcp

nat descriptor address inner 1 192.168.1.1-192.168.1.254


の設定を追加してみてはどうでしょうか?


あとは

nat descriptor masquerade static 1 2 192.168.1.3 esp * としてみてはどうでしょうか?


ipsec ike remote address 1 anyはどちらか一方は固定グローバルアドレスがひつようだとおもいます。

id:alteron

ご回答ありがとうございます。ホスト側は固定グローバルとなっています。設定を掲載したのはホスト側です。

2005/08/28 14:13:21

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません