AC-5

某SEの雑記帳

Cisco 841MでVPN(PPTP)経由でインターネット接続をする

      2019/02/25

Cisco StartシリーズのVPNルーターは、中小企業向けのラインナップなのですが、
従来のCisco製品に比べて非常に安価にCisco IOSでの設定が可能ですので、練習用にも最適です。


CISCO C841M-4X-JSEC/K9

Cisco Conguration Professional(CCP) Express 3.2というGUIが使えるというのもウリですが、YAMAHAのRTX等のGUIと比べると、PPPoEの設定等、インターネットに接続するまでの初期設定程度までと思っていただいた方が良いと思います。
メニューを見ると色々できそうですが、結果としてはコマンド操作の方が早いと思います。

初期設定が済んだ状態で、PPTPの設定を入れます。
今回は、既存ユーザの設定を変えずにルーターのYAMAHA RTXからのリプレイスを行う必要があった為、元々利用されていたPPTPにしましたが、
PPTPはmacOS Sierraなど、PPTPがサポートされなくなっているので、新規の際は別のプロトコルを選択した方が良いです。
設定手順は下記のURLを参考にしました。
http://www.cisco.com/cisco/web/support/JP/100/1003/1003714_pptp-ios.html
基本的に上述の通りですが、違う点については補足を入れてあります。
以下の順番でコマンドを打っていけば大丈夫です。
赤字の箇所の命名は各々の好みで付けてください

PPTP VPNの設定手順(WAN接続がPPPoEの場合)

Router#(config)#vpdn enable
Router#(config)#vpdn-group 1
Router#(config-vpdn)#accept-dialin
Router#(config-vpdn-acc-in)#protocol pptp
Router#(config-vpdn-acc-in)#virtual-template 1
Router#(config-vpdn-acc-in)#exit
Router#(config)#ip local pool test 192.168.1.1 192.168.1.250←VPN接続した際のIPアドレス割当範囲
Router#(config)#interface virtual-template 1
Router#(config-if)#encapsulation ppp
Router#(config-if)#peer default ip address pool test
Router#(config-if)#ip unnumbered Dialer 1←WAN側がPPPoE接続の場合はDialer 1にしてください。
Router#(config-if)#no keepalive
Router#(config-if)#ppp encrypt mppe auto
Router#(config-if)#ppp authentication pap chap ms-chap-v2←ms-chapは使われていないので、ms-chap-v2にしてください

以上で設定は完了です。

次にVPN接続用のユーザーを作成します。

Router#(config)#username vpnuser password 0 vpnpass←ユーザー名:vpnuser パスワード:vpnpassを作成します。

Windowsパソコンの接続

コントロールパネル→ネットワークとインターネット→ネットワークと共有センター→新しい接続またはネットワークのセットアップ
へ遷移します。
職場に接続します
[次へ]

インターネット接続(VPN)を使用します

インターネットアドレス:IPアドレスを入力
接続先の名前:任意の名称
[次へ]

先ほど作成した
ユーザー名:vpnuser パスワード:vpnpass このパスワードを記憶するにチェックを付けて、接続をします。

接続完了になったら成功です。

この状態でVPNに接続はされているので、ネットワーク内には参加できています。
ただ、VPNには接続できているのですが、インターネットに出れません。

上記のようにCisco公式の通りに設定した場合は次の設定が必要になります。

VPN経由でインターネット閲覧できるようにする

今回の場合はVirtual-Template1にそのネットワークが内部ネットワークであるという記述が必要です。

Router#(config)#interface Virtual-Template 1←Virtual-Template 1の設定
Router#(config-if)#ip nat inside

以上で設定は完了です。

診断くんなどで、アクセス出来ること、IPアドレスがVPN接続先と同じになっている事を確認してください。

pingは通るようになったのですが、表示できない場合はDNS絡みでうまくいってない可能性があります。
私の場合は、ルーターのDNSをGoogleパブリックDNSに変更したり、

Router#(config)#ip name-server 8.8.8.8
Router#(config)#ip name-server 8.8.4.4

クライアントPC側で、ipconfig /releaseや/renewなどやってたら、いつの間にか繋がるようになっていました。。。

とりあえず、これでVPN経由での踏み台ができました。

 - Network ,