So-net無料ブログ作成
前の3件 | -

AndroidでCISCO 841MJにIPSec接続してみる その5 (2017/11/05) [CISCO]

というわけで、MODE_CFGセクションまで無事にクリアした訳ですが、ここまでの設定がちゃんとできていると、AndroidからのIPSec接続が確立成功&安定化するようになります。が、まだ終わりではありません。IPSec接続は安定するのですが、クライアントから一切の通信ができないのです。Androidにping・tracerouteのツールを導入して接続確認をしてみても、応答が全くありません。

その答えはshow ip routeの結果を見れば分かるのですが、ルータにクライアント(poolアドレス)へのルーティング情報がないためです。これに関しては、答えから言ってしまうとReverse Route Injection(RRI)機能を使って、ルーティング情報を追加する必要があります。

ただ、ルータのコンフィグとしては単純で、下記の通りにreverse-routeコンフィグを追加するだけです。
Router#show running-config
crypto dynamic-map D-MAP 1
 set transform-set T-SET
 set isakmp-profile I-PROFILE
 reverse-route

そうすると、クライアントからのIPSec接続時、ルーティングテーブルに下記エントリが追加され、Android上でIPSec経由の通信が通るようになります。
Router#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 192.168.1.1 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 192.168.1.1, GigabitEthernet0/4
...
      192.168.2.0/24 is variably subnetted, 5 subnets, 2 masks
C        192.168.2.0/24 is directly connected, Vlan10
S        192.168.2.241/32 [1/0] via A.B.C.D(=Android Client IP Address)

いかがでしたでしょうか。無事、Androidから通信が通るようになり、基本的に当初やろうとしていたことは実現できました。小規模なオフィス環境であれば、下手にVPN装置などを買わずともCISCO841MJにこれらのコンフィグを投入すれば、外部からリモートアクセスできるようになります。
接続を試してはいませんが、WindowsやMacからも同じように外部からリモートアクセスできるのではないかと思っています。

なお、一連の機器コンフィグについては、非常に複雑なため、別途整理して記事にしたいと思います。

その6へ続く。
nice!(0)  コメント(0) 
共通テーマ:日記・雑感

AndroidでCISCO 841MJにIPSec接続してみる その4 (2017/11/04) [CISCO]

MODE_CFGセクションに到達していることは分かったので、コンフィグを煮詰め直します。このあたりのコンフィグについては、「正」となる情報がないため、本当に手探り状態です。ネット上に、細切れ情報が散らばっていますが、
・AnyConnect接続用のコンフィグ
・CISCO ASA向けコンフィグ
・古いIOS向けのコンフィグ
・その他、ちょっと何か違うコンフィグ
だったりして、私の手元でそれっぽいコンフィグを作ることはできるのですが、正にカットアンドトライ状態です。私が大いに悩んだように、ここからの記述はすごく分かりにくくなっているので、ご注意ください。

現状のisakmpプロファイルはざっと下記の通りなのですが、
Router#show running-config
crypto isakmp profile I-PROFILE
   keyring K-RING
   match identity address 0.0.0.0
   client authentication list AAA-AUTHE
   isakmp authorization list AAA-AUTHO
   client configuration address respond

Router#configure terminal
Router(config)#crypto isakmp profile I-PROFILE
Router(conf-isa-prof)#?
Crypto ISAKMP Profile Commands are:

  accounting        Enable AAA Accounting for IPSec Sessions
  ca                Specify certificate authorities to trust
  client            Specify client configuration settings
  default           Set a command to its defaults
  description       Specify a description of this profile
  exit              Exit from crypto isakmp profile sub mode
  initiate          Initiator property
  isakmp            ISAKMP Authorization command
  keepalive         Set a keepalive interval for use with IOS peers
  keyring           Specify keyring to use
  local-address     Interface to use for local address for this isakmp profile
  match             Match values of peer
  no                Negate a command or set its defaults
  qos-group         Apply a Qos policy class map for this profile
  self-identity     Specify Identity to use
  virtual-template  Specify the virtual-template for dynamic interface
                    creation.
  vrf               Specify the VRF it is related to
このコンフィグ階層の中には、クライアントに払い出すIPアドレスを設定する場所(pool)がないのです。
じゃあどこにあるかと言うと、
Router#configure terminal
Router(config)#crypto isakmp client configuration group C-GROUP
Router(config-isakmp-group)#?
ISAKMP group policy config commands:
  access-restrict               Restrict clients in this group to an interface
  acl                           Specify split tunneling inclusion access-list
                                number
  auto-update                   Configure auto-upgrade
  backup-gateway                Specify backup gateway
  banner                        Specify mode config banner
  browser-proxy                 Configure browser-proxy
  configuration                 Push configuration to the client
  crypto                        Client group crypto aaa attribute list
  dhcp                          Configure DHCP parameters
  dns                           Specify DNS Addresses
  domain                        Set default domain name to send to client
  exit                          Exit from ISAKMP client group policy
                                configuration mode
  firewall                      Enforce group firewall feature
  group-lock                    Enforce group lock feature
  include-local-lan             Enable Local LAN Access with no split tunnel
  key                           pre-shared key/IKE password
  max-logins                    Set maximum simultaneous logins for users in
                                this group
  max-users                     Set maximum number of users for this group
  netmask                       netmask used by the client for local
                                connectivity
  no                            Negate a command or set its defaults
  pfs                           The client should propose PFS
  pool                          Set name of address pool
  save-password                 Allows remote client to save XAUTH password
  smartcard-removal-disconnect  Enables smartcard-removal-disconnect
  split-dns                     DNS name to append for resolution
  wins                          Specify WINS Addresses
というグループプロファイルの中にあるpoolコンフィグがそれに該当します。つまりは独立した両者のコンフィグを結びつける必要があるのです。

ここで私を大いに悩ませました。Webにあるの参考コンフィグ(http://www.infraexpert.com/study/ipsec18.html)には、下記のように
Cisco(config)#show running-config
crypto isakmp profile VPN-PROFILE
  match identity group VPNCLIENT
  client authentication list VPNAUTHE
  isakmp authorization list VPNAUTHO
 Cisco(config-isa-prof)# client configuration address respond
match identity group~コンフィグによって、isakmpプロファイルとグループプロファイルをうまく結びつけているのですが、これを設定してしまうと、グループ認証が有効になってしまうため、汎用性が失われてしまいます。私はmatch identity group~コンフィグを設定したくないのです。(だからmatch identity address 0.0.0.0を設定している)

いろいろ試していると、isakmpプロファイル内のclient configuration group~コンフィグによって、グループプロファイルを紐けることができました。ざっとまとめると、
・グループ認証使用有無にかかわらず、クライアントに払い出すIPアドレスはグループプロファイルで設定する
・isakmpプロファイルに、グループプロファイルを紐付ける方法は下記2つのうちのいずれか
 (1)match identity group~コンフィグによって、グループ認証を有効にする
 (2)グループ認証を行いたくない場合は、client configuration group~コンフィグによって、グループプロファイルを紐付ける
ということでした。

ちなみに最初に取得したデバッグログと睨めっこすると、ISAKMP-AAA-ERROR: (0):group does not existというメッセージが表示されており、グループプロファイルが正常に読み出せてないことが暗に示されていましたね。

その5へ続く。
nice!(0)  コメント(0) 
共通テーマ:日記・雑感

真・女神転生 SYNCHRONICITY PROLOGUEをやってみた (2017/10/22) [ヴァルキリーの辞書]

メガテンアクションゲーム「真・女神転生 SYNCHRONICITY PROLOGUE」がGIGAZINEの記事に載っていたので、プレーしてみました。無料配布なので、相応のクオリティーかと思っていたのですが、良い意味で期待は裏切られ、すっかりのめり込んでしまいました。
https://www.atlus.co.jp/news/5854/

ファミコンによくある、昔ながらの横スクロール系アクションゲームかと思っていたら、
・キャラクター交代あり
・入手アイテムや、キャラクター特性によるパズル要素あり
・HP/MP制
・経験値による成長要素あり
とまぁ、私の大好きな要素が盛りだくさん。

はっきり言いましょう。悪魔城ドラキュラX 月下の夜想曲へのオマージュと言っても良いほど、ゲームシステムがよく似ています。マップが区画に分かれていて、新たな区画に入った時に表示される「区画名」の表示され方や、経験値による成長、体力回復用の石版&セーブ、ボスラッシュなどなど。月下の夜想曲をプレーしたことがある人なら、きっと分かってくれるはずです。
ちなみに月下の夜想曲は好きなゲームなので、個人的には大歓迎です。

難易度は3種類から選べ、私はノーマルでプレイしました。私はアクションゲームが得意ではありませんが、なんとかクリアできる程度のほどよい難易度でした。
主人公の氷属性のジャックフロストと、火属性ジャックランタンを切り替えながら操作します。それぞれに属性の相性があり、ボスの攻略は相性(ダメージを受けない無敵属性)を考えて、立ち振る舞うことが必要です。(ジョイパッド推奨)

SnapCrab_シンクロ_2017-10-22_21-42-59_No-00_r.jpg
主人公の一人ジャックフロストはつらら?で攻撃

SnapCrab_シンクロ_2017-10-22_12-19-55_No-00_r.jpg
月下の夜想曲っぽいマップ。さらに遡ればガリウスの迷宮まで

SnapCrab_シンクロ_2017-10-22_0-58-46_No-00_r.jpg
月下の夜想曲でこんな石版あったよね(回復&セーブポイント)

SnapCrab_シンクロ_2017-10-22_1-31-47_No-00_r.jpg
ちょっと頭を使います

SnapCrab_シンクロ_2017-10-22_0-53-13_No-00_r.jpg
SnapCrab_シンクロ_2017-10-22_0-54-11_No-00_r.jpg
SnapCrab_シンクロ_2017-10-22_0-54-15_No-00_r.jpg
緊迫感溢れる中ボス戦

SnapCrab_シンクロ_2017-10-22_12-20-49_No-00_r.jpg
ラストボス?

SnapCrab_シンクロ_2017-10-22_12-45-45_No-00_r.jpg
Trueエンディング目指して頑張れ!


nice!(0)  コメント(0) 
共通テーマ:日記・雑感
前の3件 | -