人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

解決で3000ポイント差し上げます。RTX1000 Rev.8.01.19 (Wed Apr 20 18:47:31 2005)同士で

tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
ipsec ike encryption 1 3des-cbc
ipsec ike esp-encapsulation 1 off
ipsec ike keepalive use 1 auto
ipsec ike local address 1 192.168.1.3
ipsec ike pre-shared-key 1 *
ipsec ike remote address 1 any
ipsec ike remote name 1 *
ip tunnel mtu 1280
tunnel enable 1

こんな調子でVPNを張っていますが、ip routing process fastに設定するとルータ同士のVPN接続がハングアップします。process normalに戻すと安定してつながります。normalで接続しているため現在非常に遅い(WAN=20Mbps、VPN=2〜3Mbpsくらい?)です。これを解決する方法を教えてください。

●質問者: alteron
●カテゴリ:ビジネス・経営 コンピュータ
✍キーワード:CBC ESP IP IPSec Key
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● m-a-s-a
●20ポイント

http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/#condition

$B%U%!%9%H%Q%9(B

上記の制限事項を見ると、次のように書いてあります。

終点IPアドレスがルータ自身のIPアドレスになっているパケット

ただし、IPsecのESPパケットでルータ自身が管理しているVPNトンネルのパケットはルータ宛でもファストパスでの処理となります

ですので、espによるカプセル化を双方で有効にしてみる、というのはいかがでしょうか?具体的には

ipsec ike esp-encapsulation 1 on

としてみてはいかがでしょうか?

http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/command.html#ipsec.i...

IPsec $B%3%^%s%I%j%U%!%l%s%9(B


2 ● NetVista
●20ポイント

http://www.dummy.net/

search

この設定ではリモート側が非固定アドレスとなっていますが、ローカル側のアドレスが192.168.1.3とプライベートアドレスなんですか?

グローバルアドレスでは?

リモート側は固定IPはないのでしょうか?

ルーティング情報も知りたいですね!


lan1.1?lan1.4は別セグメントとしては使ってないですよね?

◎質問者からの返答

現在はこんな感じになってます。

administrator password *

security class 2 off off

login timer 600

ip routing process normal

ip route default gateway pp 1

ip route 192.168.10.0/24 gateway tunnel 1

ip route 192.168.20.0/24 gateway tunnel 2

ip icmp echo-reply send off

ip lan1 address 192.168.1.3/24

ip lan1 proxyarp on

pp select 1

pp always-on on

pppoe use lan3

pp auth accept pap chap

pp auth myname xxxxx@xxxx.ne.jp *

ppp lcp mru on 1454

ppp ipcp ipaddress on

ppp ccp type none

ip pp mtu 1454

ip pp intrusion detection in on

ip pp nat descriptor 1

pp enable 1

pp select anonymous

pp bind tunnel3

pp auth request mschap

pp auth username xxxxx *

ppp ipcp ipaddress on

ppp ipcp msext on

ppp ccp type mppe-any

ip pp remote address pool 192.168.1.99

ip pp mtu 1280

pptp service type server

pp enable anonymous

tunnel select 1

ipsec tunnel 101

ipsec sa policy 101 1 esp 3des-cbc md5-hmac

ipsec ike encryption 1 3des-cbc

ipsec ike esp-encapsulation 1 off

ipsec ike keepalive use 1 auto

ipsec ike local address 1 192.168.1.3

ipsec ike pre-shared-key 1 *

ipsec ike remote address 1 any

ipsec ike remote name 1 xxxxx

ip tunnel mtu 1280

tunnel enable 1

tunnel select 2

ipsec tunnel 102

ipsec sa policy 102 2 esp aes-cbc md5-hmac

ipsec ike encryption 2 aes-cbc

ipsec ike esp-encapsulation 2 on

ipsec ike local address 2 192.168.1.3

ipsec ike pre-shared-key 2 *

ipsec ike remote address 2 any

ipsec ike remote name 2 xxxxx

tunnel enable 2

nat descriptor type 1 masquerade

nat descriptor masquerade static 1 1 192.168.1.3 udp 500

nat descriptor masquerade static 1 2 192.168.1.3 esp

nat descriptor masquerade static 1 3 192.168.1.3 tcp 1723

nat descriptor masquerade static 1 4 192.168.1.3 gre

ipsec auto refresh on

syslog notice on

dns service recursive

dns server xxx.xxx.xxx.xxx


3 ● NetVista
●20ポイント

http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat.html

IPsec$B$G$N(BNAT$B$N@_Dj$K$D$$$F(B

nat descriptor address outer 1 ipcp

nat descriptor address inner 1 192.168.1.1-192.168.1.254


の設定を追加してみてはどうでしょうか?


あとは

nat descriptor masquerade static 1 2 192.168.1.3 esp * としてみてはどうでしょうか?


ipsec ike remote address 1 anyはどちらか一方は固定グローバルアドレスがひつようだとおもいます。

◎質問者からの返答

ご回答ありがとうございます。ホスト側は固定グローバルとなっています。設定を掲載したのはホスト側です。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ