tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
ipsec ike encryption 1 3des-cbc
ipsec ike esp-encapsulation 1 off
ipsec ike keepalive use 1 auto
ipsec ike local address 1 192.168.1.3
ipsec ike pre-shared-key 1 *
ipsec ike remote address 1 any
ipsec ike remote name 1 *
ip tunnel mtu 1280
tunnel enable 1
こんな調子でVPNを張っていますが、ip routing process fastに設定するとルータ同士のVPN接続がハングアップします。process normalに戻すと安定してつながります。normalで接続しているため現在非常に遅い(WAN=20Mbps、VPN=2〜3Mbpsくらい?)です。これを解決する方法を教えてください。
http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/#condition
$B%U%!%9%H%Q%9(B
上記の制限事項を見ると、次のように書いてあります。
終点IPアドレスがルータ自身のIPアドレスになっているパケット
ただし、IPsecのESPパケットでルータ自身が管理しているVPNトンネルのパケットはルータ宛でもファストパスでの処理となります
ですので、espによるカプセル化を双方で有効にしてみる、というのはいかがでしょうか?具体的には
ipsec ike esp-encapsulation 1 on
としてみてはいかがでしょうか?
http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/command.html#ipsec.i...
IPsec $B%3%^%s%I%j%U%!%l%s%9(B
search
この設定ではリモート側が非固定アドレスとなっていますが、ローカル側のアドレスが192.168.1.3とプライベートアドレスなんですか?
グローバルアドレスでは?
リモート側は固定IPはないのでしょうか?
ルーティング情報も知りたいですね!
lan1.1~lan1.4は別セグメントとしては使ってないですよね?
http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat.html
IPsec$B$G$N(BNAT$B$N@_Dj$K$D$$$F(B
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 192.168.1.1-192.168.1.254
の設定を追加してみてはどうでしょうか?
あとは
nat descriptor masquerade static 1 2 192.168.1.3 esp * としてみてはどうでしょうか?
ipsec ike remote address 1 anyはどちらか一方は固定グローバルアドレスがひつようだとおもいます。
ご回答ありがとうございます。ホスト側は固定グローバルとなっています。設定を掲載したのはホスト側です。
現在はこんな感じになってます。
administrator password *
security class 2 off off
login timer 600
ip routing process normal
ip route default gateway pp 1
ip route 192.168.10.0/24 gateway tunnel 1
ip route 192.168.20.0/24 gateway tunnel 2
ip icmp echo-reply send off
ip lan1 address 192.168.1.3/24
ip lan1 proxyarp on
pp select 1
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname xxxxx@xxxx.ne.jp *
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ccp type none
ip pp mtu 1454
ip pp intrusion detection in on
ip pp nat descriptor 1
pp enable 1
pp select anonymous
pp bind tunnel3
pp auth request mschap
pp auth username xxxxx *
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool 192.168.1.99
ip pp mtu 1280
pptp service type server
pp enable anonymous
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
ipsec ike encryption 1 3des-cbc
ipsec ike esp-encapsulation 1 off
ipsec ike keepalive use 1 auto
ipsec ike local address 1 192.168.1.3
ipsec ike pre-shared-key 1 *
ipsec ike remote address 1 any
ipsec ike remote name 1 xxxxx
ip tunnel mtu 1280
tunnel enable 1
tunnel select 2
ipsec tunnel 102
ipsec sa policy 102 2 esp aes-cbc md5-hmac
ipsec ike encryption 2 aes-cbc
ipsec ike esp-encapsulation 2 on
ipsec ike local address 2 192.168.1.3
ipsec ike pre-shared-key 2 *
ipsec ike remote address 2 any
ipsec ike remote name 2 xxxxx
tunnel enable 2
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.1.3 udp 500
nat descriptor masquerade static 1 2 192.168.1.3 esp
nat descriptor masquerade static 1 3 192.168.1.3 tcp 1723
nat descriptor masquerade static 1 4 192.168.1.3 gre
ipsec auto refresh on
syslog notice on
dns service recursive
dns server xxx.xxx.xxx.xxx