So-net無料ブログ作成

YAMAHA RTXとCisco VPN Clientの接続性 ~ 7年目の真実 (2017/10/02) [RTX1100]

IPSecにチャレンジしていることもあって、自分自身の書いた過去記事を見直していました。2010年5月にYAMAHA RTX1100とCisco VPN Clientの接続性について検証しており、当時は「接続不可」という結論を下しました。

概要としては、CISCO VPN Clientはクライアント側の識別子(IKE identification payload)としてID Type 11(KEY ID)を提示しますが、YAMAHA RTX1100はID Type 2(FQDN)としてチェックするので、不一致が発生し、うまく接続できないというものです。
ID Type 11(KEY ID)に何を埋め込むのかと言えば、CISCO VPN Clientに設定するグループ認証のグループ名なんですよね。

RTX1100のコンフィグだと、「ipsec ike remote name ~」に対応しており、~部分をチェック対象とします。

気になってRTXの最新マニュアル(for 後継機種)を見てみたのですが、該当部分の設定項目が増えているではありませんか。
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ipsec/ipsec_ike_remote_name.html

・ipv4-addr : ID_IPV4_ADDR
・fqdn : ID_FQDN
・user-fqdn(もしくはrfc822-addr)  : ID_USER_FQDN(ID_RFC822_ADDR)
・ipv6-addr : ID_IPV6_ADDR
・key-id : ID_KEY_ID
・tel : NGN 網電話番号(ID_IPV6_ADDR)
・tel-key : NGN 網電話番号(ID_KEY_ID)

key-idってあるし。たぶんID Type 11なんでしょうね。これはもしかするともしかすると、RTX1100ではなく後継機種のRTX1200を使用して検証していたら、ちゃんと接続できていたかもしれません。
まぁ、今となってはCISCO VPN Client自体がEnd of Supportでガラクタソフトウェアになっていますが。

なぜこんな形で過去記事を掘り下げたかというと、AndoroidのIPSec接続を試している中で、グループ認証に対応できるようにAndoroid側でオプション設定項目が用意されていることが分かったからです。懐かしい気持ち半分で、当時の記事を読み返した訳です。
なお、CISCO VPN Clientは今となってはゴミ(後継のAnyConnectへの移行が推奨されている)ですが、CISCO機器として「グループ認証」は現役のコンフィグとして活用可能です。
nice!(0)  コメント(0) 
共通テーマ:日記・雑感

RTX1100 ~ Shew Soft VPN Connect接続成功 その4 (2010/09/21) [RTX1100]

参考までに、接続時のDEBUGログを載せておきます。ちゃんと繋がればそれなりに綺麗なログが表示されるものですね。ちなみに16進表記の長い部分は省略しています。
接続時
Sep 20 23:51:03 rtx1100 [IKE] receive IKE message
Sep 20 23:51:03 rtx1100 [IKE]   16 d0 ab ~省略
Sep 20 23:51:03 rtx1100 [IKE] process ISAKMP header
Sep 20 23:51:03 rtx1100 [IKE] respond ISAKMP phase to 192.168.0.20
Sep 20 23:51:03 rtx1100 [IKE] add ISAKMP context [122] 16d0ab177fcc8a05 00000000
Sep 20 23:51:03 rtx1100 [IKE] aggressive mode responder 1
Sep 20 23:51:03 rtx1100 [IKE] process id payload
Sep 20 23:51:03 rtx1100 [IKE] ID payload : type 2, protocol 0, port 0
Sep 20 23:51:03 rtx1100 [IKE]   61 63 65 ~省略
Sep 20 23:51:03 rtx1100 [IKE] process sa payload
Sep 20 23:51:03 rtx1100 [IKE] process proposal payload
Sep 20 23:51:03 rtx1100 [IKE] process transform payload
Sep 20 23:51:03 rtx1100 [IKE] encryption algorithm : AES-CBC
Sep 20 23:51:03 rtx1100 [IKE] hash algorithm : SHA-1
Sep 20 23:51:03 rtx1100 [IKE] group : MODP 1024bit
Sep 20 23:51:03 rtx1100 [IKE] authentication : XAUTHInitPreShared
Sep 20 23:51:03 rtx1100 [IKE] process ke payload
Sep 20 23:51:03 rtx1100 [IKE] process nonce payload
Sep 20 23:51:03 rtx1100 [IKE] process vid payload
Sep 20 23:51:03 rtx1100 [IKE] process vid payload
Sep 20 23:51:03 rtx1100 [IKE] process vid payload
Sep 20 23:51:03 rtx1100 [IKE] process vid payload
Sep 20 23:51:03 rtx1100 [IKE] process vid payload
Sep 20 23:51:03 rtx1100 [IKE] process vid payload
Sep 20 23:51:03 rtx1100 [IKE] process vid payload
Sep 20 23:51:03 rtx1100 [IKE] process vid payload
Sep 20 23:51:03 rtx1100 [IKE] process vid payload
Sep 20 23:51:03 rtx1100 [IKE] process vid payload
Sep 20 23:51:03 rtx1100 [IKE] process vid payload
Sep 20 23:51:03 rtx1100 [IKE] generate SA payload
Sep 20 23:51:03 rtx1100 [IKE] generate proposal payload
Sep 20 23:51:03 rtx1100 [IKE] generate transform payload
Sep 20 23:51:03 rtx1100 [IKE] generate ke payload
Sep 20 23:51:03 rtx1100 [IKE] generate nonce payload
Sep 20 23:51:03 rtx1100 [IKE] generate id payload
Sep 20 23:51:04 rtx1100 [IKE] calculate Diffie-Hellman value
Sep 20 23:51:04 rtx1100 [IKE]   61 cd 89 ~省略
Sep 20 23:51:04 rtx1100 [IKE] generate ISAKMP key material
Sep 20 23:51:04 rtx1100 [IKE] pre-shared key
Sep 20 23:51:04 rtx1100 [IKE]   31 31 31 ~省略
Sep 20 23:51:04 rtx1100 [IKE] iNonce
Sep 20 23:51:04 rtx1100 [IKE]   9a 14 53 ~省略
Sep 20 23:51:04 rtx1100 [IKE] rNonce
Sep 20 23:51:04 rtx1100 [IKE]   76 06 1f ~省略
Sep 20 23:51:04 rtx1100 [IKE] SKEYID
Sep 20 23:51:04 rtx1100 [IKE]   99 96 78 ~省略
Sep 20 23:51:04 rtx1100 [IKE] Diffie-Hellman value
Sep 20 23:51:04 rtx1100 [IKE]   61 cd 89 ~省略
Sep 20 23:51:04 rtx1100 [IKE] CKY-I
Sep 20 23:51:04 rtx1100 [IKE]   16 d0 ab ~省略
Sep 20 23:51:04 rtx1100 [IKE] CKY-R
Sep 20 23:51:04 rtx1100 [IKE]   a9 eb a5 ~省略
Sep 20 23:51:04 rtx1100 [IKE] SKEYID_d
Sep 20 23:51:04 rtx1100 [IKE]   27 3a 35 ~省略
Sep 20 23:51:04 rtx1100 [IKE] SKEYID_a
Sep 20 23:51:04 rtx1100 [IKE]   f0 40 50 ~省略
Sep 20 23:51:04 rtx1100 [IKE] SKEYID_e
Sep 20 23:51:04 rtx1100 [IKE]   2d 7d fe ~省略
Sep 20 23:51:04 rtx1100 [IKE] set main mode IV
Sep 20 23:51:04 rtx1100 [IKE]   1f 28 88 ~省略
Sep 20 23:51:04 rtx1100 [IKE] generate vendor id payload
Sep 20 23:51:04 rtx1100 [IKE] generate vendor id payload
Sep 20 23:51:04 rtx1100 [IKE] generate NAT-D payload
Sep 20 23:51:04 rtx1100 [IKE] generate NAT-D payload
Sep 20 23:51:04 rtx1100 [IKE] generate hash payload
Sep 20 23:51:04 rtx1100 [IKE] generate ISAKMP header
Sep 20 23:51:04 rtx1100 [IKE] send IKE message
Sep 20 23:51:04 rtx1100 [IKE]   16 d0 ab ~省略
Sep 20 23:51:04 rtx1100 [IKE] receive IKE message
Sep 20 23:51:04 rtx1100 [IKE]   16 d0 ab ~省略
Sep 20 23:51:04 rtx1100 [IKE] process ISAKMP header
Sep 20 23:51:04 rtx1100 [IKE] decrypted payload
Sep 20 23:51:04 rtx1100 [IKE]   14 00 00 ~省略
Sep 20 23:51:04 rtx1100 [IKE] aggressive mode responder 2
Sep 20 23:51:04 rtx1100 [IKE] process hash payload
Sep 20 23:51:04 rtx1100 [IKE] process NAT-D payload
Sep 20 23:51:04 rtx1100 [IKE] process NAT-D payload
Sep 20 23:51:04 rtx1100 [IKE] NAT Traversal: no NAT box detected
Sep 20 23:51:04 rtx1100 [IKE] add ISAKMP SA[1] (gateway[2])
Sep 20 23:51:04 rtx1100 [IKE] activate ISAKMP socket[2]
Sep 20 23:51:04 rtx1100 [IKE] receive IKE message
Sep 20 23:51:04 rtx1100 [IKE]   16 d0 ab ~省略
Sep 20 23:51:04 rtx1100 [IKE] process ISAKMP header
Sep 20 23:51:04 rtx1100 [IKE] set quick/info mode IV
Sep 20 23:51:04 rtx1100 [IKE]   91 7d 3d ~省略
Sep 20 23:51:04 rtx1100 [IKE] decrypted payload
Sep 20 23:51:04 rtx1100 [IKE]   0b 00 00 ~省略
Sep 20 23:51:04 rtx1100 [IKE] info mode responder 1
Sep 20 23:51:04 rtx1100 [IKE] process hash payload
Sep 20 23:51:04 rtx1100 [IKE] process notification payload
Sep 20 23:51:04 rtx1100 [IKE] receive notification from 192.168.0.20
Sep 20 23:51:04 rtx1100 [IKE] SPI 16d0ab177fcc8a05a9eba512521051be
Sep 20 23:51:04 rtx1100 [IKE] initial contact : no message
Sep 20 23:51:04 rtx1100 [IKE] initiate XAUTH transaction to 192.168.0.20
Sep 20 23:51:04 rtx1100 [IKE] add XAUTH context [124] 16d0ab177fcc8a05 f79a2745
Sep 20 23:51:05 rtx1100 [IKE] XAUTH initiator 0 (REQUEST)
Sep 20 23:51:05 rtx1100 [IKE] set quick/info mode IV
Sep 20 23:51:05 rtx1100 [IKE]   f9 1e fa ~省略
Sep 20 23:51:05 rtx1100 [IKE] generate attribute payload type: 1, id: 3
Sep 20 23:51:05 rtx1100 [IKE] generate phase2 hash
Sep 20 23:51:05 rtx1100 [IKE] SKEYID_a
Sep 20 23:51:05 rtx1100 [IKE]   f0 40 50 ~省略
Sep 20 23:51:05 rtx1100 [IKE] message
Sep 20 23:51:05 rtx1100 [IKE]   f7 9a 27 ~省略
Sep 20 23:51:05 rtx1100 [IKE] hash
Sep 20 23:51:05 rtx1100 [IKE]   bb 63 a1 ~省略
Sep 20 23:51:05 rtx1100 [IKE] generate hash payload
Sep 20 23:51:05 rtx1100 [IKE] generate ISAKMP header
Sep 20 23:51:05 rtx1100 [IKE] change IV
Sep 20 23:51:05 rtx1100 [IKE]   72 67 6a ~省略
Sep 20 23:51:05 rtx1100 [IKE] send IKE message
Sep 20 23:51:05 rtx1100 [IKE]   16 d0 ab ~省略
Sep 20 23:51:05 rtx1100 [IKE] receive IKE message
Sep 20 23:51:05 rtx1100 [IKE]   16 d0 ab ~省略
Sep 20 23:51:05 rtx1100 [IKE] process ISAKMP header
Sep 20 23:51:05 rtx1100 [IKE] decrypted payload
Sep 20 23:51:05 rtx1100 [IKE]   0e 00 00 ~省略
Sep 20 23:51:05 rtx1100 [IKE] XAUTH initiator 1 (REPLY)
Sep 20 23:51:05 rtx1100 [IKE] process hash payload
Sep 20 23:51:05 rtx1100 [IKE] process attribute payload
Sep 20 23:51:05 rtx1100 [IKE] attribute payload: type: 2, id: 3
Sep 20 23:51:05 rtx1100 [IKE] XAUTH: TYPE: 0
Sep 20 23:51:05 rtx1100 [IKE] XAUTH: USER_NAME:
Sep 20 23:51:05 rtx1100 [IKE]   74 65 73 ~省略
Sep 20 23:51:05 rtx1100 [IKE] XAUTH: USER_PASSWORD:
Sep 20 23:51:05 rtx1100 [IKE]   31 31 31 ~省略
Sep 20 23:51:05 rtx1100 [IKE] XAUTH: user test was retrieved from internal database
Sep 20 23:51:05 rtx1100 [IKE] XAUTH: internal address from address pool
Sep 20 23:51:05 rtx1100 [IKE] XAUTH: authentication result: OK
Sep 20 23:51:06 rtx1100 [IKE] initiate XAUTH transaction to 192.168.0.20
Sep 20 23:51:06 rtx1100 [IKE] add XAUTH context [125] 16d0ab177fcc8a05 c4639486
Sep 20 23:51:07 rtx1100 [IKE] XAUTH initiator 0 (SET_CFG)
Sep 20 23:51:07 rtx1100 [IKE] XAUTH: establish REQUEST, set INTERNAL_ADDRESS attr
Sep 20 23:51:07 rtx1100 [IKE] XAUTH: v4 10.0.0.0/8
Sep 20 23:51:07 rtx1100 [IKE] set quick/info mode IV
Sep 20 23:51:07 rtx1100 [IKE]   d8 9e 77 ~省略
Sep 20 23:51:07 rtx1100 [IKE] generate attribute payload type: 3, id: 3
Sep 20 23:51:07 rtx1100 [IKE] generate phase2 hash
Sep 20 23:51:07 rtx1100 [IKE] SKEYID_a
Sep 20 23:51:07 rtx1100 [IKE]   f0 40 50 ~省略
Sep 20 23:51:07 rtx1100 [IKE] message
Sep 20 23:51:07 rtx1100 [IKE]   c4 63 94 ~省略
Sep 20 23:51:07 rtx1100 [IKE] hash
Sep 20 23:51:07 rtx1100 [IKE]   bb c2 ff ~省略
Sep 20 23:51:07 rtx1100 [IKE] generate hash payload
Sep 20 23:51:07 rtx1100 [IKE] generate ISAKMP header
Sep 20 23:51:07 rtx1100 [IKE] change IV
Sep 20 23:51:07 rtx1100 [IKE]   b0 04 e1 ~省略
Sep 20 23:51:07 rtx1100 [IKE] send IKE message
Sep 20 23:51:07 rtx1100 [IKE]   16 d0 ab ~省略
Sep 20 23:51:07 rtx1100 [IKE] receive IKE message
Sep 20 23:51:07 rtx1100 [IKE]   16 d0 ab ~省略
Sep 20 23:51:07 rtx1100 [IKE] process ISAKMP header
Sep 20 23:51:07 rtx1100 [IKE] decrypted payload
Sep 20 23:51:07 rtx1100 [IKE]   0e 00 00 ~省略
Sep 20 23:51:07 rtx1100 [IKE] XAUTH initiator 1 (ACK_CFG)
Sep 20 23:51:07 rtx1100 [IKE] process hash payload
Sep 20 23:51:07 rtx1100 [IKE] process attribute payload
Sep 20 23:51:07 rtx1100 [IKE] attribute payload: type: 4, id: 3
Sep 20 23:51:07 rtx1100 [IKE] XAUTH: INTERNAL_IP4_ADDRESS:
Sep 20 23:51:07 rtx1100 [IKE] XAUTH: unknown attribute (5) discarded
Sep 20 23:51:07 rtx1100 [IKE] XAUTH: INTERNAL_IP4_NETMASK:
Sep 20 23:51:07 rtx1100 [IKE] XAUTH: unknown attribute (13) discarded
Sep 20 23:51:08 rtx1100 [IKE] initiate XAUTH transaction to 192.168.0.20
Sep 20 23:51:08 rtx1100 [IKE] add XAUTH context [126] 16d0ab177fcc8a05 8683b080
Sep 20 23:51:09 rtx1100 [IKE] XAUTH initiator 0 (SET)
Sep 20 23:51:09 rtx1100 [IKE] XAUTH: establish REQUEST(SET), set STATUS attr
Sep 20 23:51:09 rtx1100 [IKE] set quick/info mode IV
Sep 20 23:51:09 rtx1100 [IKE]   ca 46 5e ~省略
Sep 20 23:51:09 rtx1100 [IKE] generate attribute payload type: 3, id: 3
Sep 20 23:51:09 rtx1100 [IKE] generate phase2 hash
Sep 20 23:51:09 rtx1100 [IKE] SKEYID_a
Sep 20 23:51:09 rtx1100 [IKE]   f0 40 50 ~省略
Sep 20 23:51:09 rtx1100 [IKE] message
Sep 20 23:51:09 rtx1100 [IKE]   86 83 b0 ~省略
Sep 20 23:51:09 rtx1100 [IKE] hash
Sep 20 23:51:09 rtx1100 [IKE]   30 69 f6 ~省略
Sep 20 23:51:09 rtx1100 [IKE] generate hash payload
Sep 20 23:51:09 rtx1100 [IKE] generate ISAKMP header
Sep 20 23:51:09 rtx1100 [IKE] change IV
Sep 20 23:51:09 rtx1100 [IKE]   d9 41 b1 ~省略
Sep 20 23:51:09 rtx1100 [IKE] send IKE message
Sep 20 23:51:09 rtx1100 [IKE]   16 d0 ab ~省略
Sep 20 23:51:09 rtx1100 [IKE] receive IKE message
Sep 20 23:51:09 rtx1100 [IKE]   16 d0 ab ~省略
Sep 20 23:51:09 rtx1100 [IKE] process ISAKMP header
Sep 20 23:51:09 rtx1100 [IKE] decrypted payload
Sep 20 23:51:09 rtx1100 [IKE]   0e 00 00 ~省略
Sep 20 23:51:09 rtx1100 [IKE] XAUTH initiator 1 (ACK)
Sep 20 23:51:09 rtx1100 [IKE] process hash payload
Sep 20 23:51:09 rtx1100 [IKE] process attribute payload
Sep 20 23:51:09 rtx1100 [IKE] attribute payload: type: 4, id: 3
Sep 20 23:51:09 rtx1100 [IKE] XAUTH: established
Sep 20 23:51:18 rtx1100 [IKE] receive IKE message
Sep 20 23:51:18 rtx1100 [IKE]   16 d0 ab ~省略
Sep 20 23:51:18 rtx1100 [IKE] process ISAKMP header
Sep 20 23:51:18 rtx1100 [IKE] respond IPsec phase to 192.168.0.20
Sep 20 23:51:18 rtx1100 [IKE] add IPsec context [127] 16d0ab177fcc8a05 306a8a72
Sep 20 23:51:18 rtx1100 [IKE] set quick/info mode IV
Sep 20 23:51:18 rtx1100 [IKE]   8a cc cd ab 7a b9 df 88  72 a9 d3 1f 0a 8c f6 65
Sep 20 23:51:18 rtx1100 [IKE] decrypted payload
Sep 20 23:51:18 rtx1100 [IKE]   01 00 00 ~省略
Sep 20 23:51:18 rtx1100 [IKE] quick mode responder 1
Sep 20 23:51:18 rtx1100 [IKE] process hash payload
Sep 20 23:51:18 rtx1100 [IKE] process sa payload
Sep 20 23:51:18 rtx1100 [IKE] process proposal payload
Sep 20 23:51:18 rtx1100 [IKE] process transform payload
Sep 20 23:51:18 rtx1100 [IKE] encapsulation : tunnel
Sep 20 23:51:18 rtx1100 [IKE] authentication : HMAC-SHA-1
Sep 20 23:51:18 rtx1100 [IKE] life type : seconds
Sep 20 23:51:18 rtx1100 [IKE] life duration
Sep 20 23:51:18 rtx1100 [IKE] process nonce payload
Sep 20 23:51:18 rtx1100 [IKE] process id payload
Sep 20 23:51:18 rtx1100 [IKE] ID payload : type 1, protocol 0, port 0
Sep 20 23:51:18 rtx1100 [IKE]   0a 00 00 ~省略
Sep 20 23:51:18 rtx1100 [IKE] process id payload
Sep 20 23:51:18 rtx1100 [IKE] ID payload : type 4, protocol 0, port 0
Sep 20 23:51:18 rtx1100 [IKE]   00 00 00 ~省略
Sep 20 23:51:18 rtx1100 [IKE] change IV
Sep 20 23:51:18 rtx1100 [IKE]   2b ac bd ~省略
Sep 20 23:51:18 rtx1100 [IKE] generate SA payload
Sep 20 23:51:18 rtx1100 [IKE] generate proposal payload
Sep 20 23:51:18 rtx1100 [IKE] generate transform payload
Sep 20 23:51:18 rtx1100 [IKE] generate nonce payload
Sep 20 23:51:18 rtx1100 [IKE] generate id payload
Sep 20 23:51:18 rtx1100 [IKE] iID
Sep 20 23:51:18 rtx1100 [IKE]   05 00 00 ~省略
Sep 20 23:51:18 rtx1100 [IKE] generate id payload
Sep 20 23:51:18 rtx1100 [IKE] rID
Sep 20 23:51:18 rtx1100 [IKE]   00 00 00 ~省略
Sep 20 23:51:18 rtx1100 [IKE] generate phase2 hash
Sep 20 23:51:18 rtx1100 [IKE] SKEYID_a
Sep 20 23:51:18 rtx1100 [IKE]   f0 40 50 ~省略
Sep 20 23:51:18 rtx1100 [IKE] message
Sep 20 23:51:18 rtx1100 [IKE]   30 6a 8a ~省略
Sep 20 23:51:18 rtx1100 [IKE] hash
Sep 20 23:51:18 rtx1100 [IKE]   24 d3 29 ~省略
Sep 20 23:51:18 rtx1100 [IKE] generate hash payload
Sep 20 23:51:18 rtx1100 [IKE] generate ISAKMP header
Sep 20 23:51:18 rtx1100 [IKE] change IV
Sep 20 23:51:18 rtx1100 [IKE]   28 0a 69 ~省略
Sep 20 23:51:18 rtx1100 [IKE] generate IPsec key material
Sep 20 23:51:18 rtx1100 [IKE] SKEYID_d
Sep 20 23:51:18 rtx1100 [IKE]   27 3a 35 ~省略
Sep 20 23:51:18 rtx1100 [IKE] protocol = 3
Sep 20 23:51:18 rtx1100 [IKE] SPI
Sep 20 23:51:18 rtx1100 [IKE]   e5 48 b1 ~省略
Sep 20 23:51:18 rtx1100 [IKE] Ni_b
Sep 20 23:51:18 rtx1100 [IKE]   7e 10 45 ~省略
Sep 20 23:51:18 rtx1100 [IKE] Nr_b
Sep 20 23:51:18 rtx1100 [IKE]   16 b4 2b~省略
Sep 20 23:51:18 rtx1100 [IKE] key material (first 16byte)
Sep 20 23:51:18 rtx1100 [IKE]   d3 ea 26 ~省略
Sep 20 23:51:18 rtx1100 [IKE] generate IPsec key material
Sep 20 23:51:18 rtx1100 [IKE] SKEYID_d
Sep 20 23:51:18 rtx1100 [IKE]   27 3a 35 ~省略
Sep 20 23:51:18 rtx1100 [IKE] protocol = 3
Sep 20 23:51:18 rtx1100 [IKE] SPI
Sep 20 23:51:18 rtx1100 [IKE]   e6 da 12 ~省略
Sep 20 23:51:18 rtx1100 [IKE] Ni_b
Sep 20 23:51:18 rtx1100 [IKE]   7e 10 45 ~省略
Sep 20 23:51:18 rtx1100 [IKE] Nr_b
Sep 20 23:51:18 rtx1100 [IKE]   16 b4 2b ~省略
Sep 20 23:51:18 rtx1100 [IKE] key material (first 16byte)
Sep 20 23:51:18 rtx1100 [IKE]   14 24 68 ~省略
Sep 20 23:51:18 rtx1100 [IKE] send IKE message
Sep 20 23:51:18 rtx1100 [IKE]   16 d0 ab ~省略
Sep 20 23:51:18 rtx1100 [IKE] receive IKE message
Sep 20 23:51:18 rtx1100 [IKE]   16 d0 ab ~省略
Sep 20 23:51:18 rtx1100 [IKE] process ISAKMP header
Sep 20 23:51:19 rtx1100 [IKE] decrypted payload
Sep 20 23:51:19 rtx1100 [IKE]   00 00 00 ~省略
Sep 20 23:51:19 rtx1100 [IKE] quick mode responder 2
Sep 20 23:51:19 rtx1100 [IKE] process hash payload
Sep 20 23:51:19 rtx1100 [IKE] change IV
Sep 20 23:51:19 rtx1100 [IKE]   54 22 68 ~省略
Sep 20 23:51:19 rtx1100 [IKE] setup IPsec SAs (gateway[2], ISAKMP SA[1])
Sep 20 23:51:19 rtx1100 [IKE] key for encryption (first 8byte)
Sep 20 23:51:19 rtx1100 [IKE]   d3 ea 26 ~省略
Sep 20 23:51:19 rtx1100 [IKE] key for authentication (first 8byte)
Sep 20 23:51:19 rtx1100 [IKE]   3f 71 c7 ~省略
Sep 20 23:51:19 rtx1100 [IKE] add IPsec SA[2]
Sep 20 23:51:19 rtx1100 [IKE] key for encryption (first 8byte)
Sep 20 23:51:19 rtx1100 [IKE]   14 24 68 ~省略
Sep 20 23:51:19 rtx1100 [IKE] key for authentication (first 8byte)
Sep 20 23:51:19 rtx1100 [IKE]   b6 bb 43 ~省略
Sep 20 23:51:19 rtx1100 [IKE] add IPsec SA[3]
Sep 20 23:51:19 rtx1100 [IKE] activate IPsec socket[tunnel:2](inbound)
Sep 20 23:51:19 rtx1100 [IKE] activate IPsec socket[tunnel:2](outbound)
Sep 20 23:51:19 rtx1100 IP Tunnel[2] Up
Sep 20 23:51:19 rtx1100 Add IP route 10.0.0.0/8 via TUNNEL[2] by Static
Sep 20 23:51:19 rtx1100 [IKE] IPsec socket[tunnel:2] is refered

切断時
Sep 20 23:51:33 rtx1100 [IKE] inactivate context [127] 16d0ab177fcc8a05 306a8a72
Sep 20 23:51:34 rtx1100 [IKE] delete IPsec context [127] 16d0ab177fcc8a05 306a8a72
Sep 20 23:51:37 rtx1100 [IKE] receive IKE message
Sep 20 23:51:37 rtx1100 [IKE]   16 d0 ab ~省略
Sep 20 23:51:37 rtx1100 [IKE] process ISAKMP header
Sep 20 23:51:37 rtx1100 [IKE] set quick/info mode IV
Sep 20 23:51:37 rtx1100 [IKE]   57 31 8a ~省略
Sep 20 23:51:37 rtx1100 [IKE] decrypted payload
Sep 20 23:51:37 rtx1100 [IKE]   0c 00 00 ~省略
Sep 20 23:51:37 rtx1100 [IKE] info mode responder 1
Sep 20 23:51:37 rtx1100 [IKE] process hash payload
Sep 20 23:51:37 rtx1100 [IKE] delete request from 192.168.0.20 (SPI: e548b114)
Sep 20 23:51:37 rtx1100 [IKE] receive IKE message
Sep 20 23:51:37 rtx1100 [IKE]   16 d0 ab ~省略
Sep 20 23:51:37 rtx1100 [IKE] process ISAKMP header
Sep 20 23:51:37 rtx1100 [IKE] set quick/info mode IV
Sep 20 23:51:37 rtx1100 [IKE]   ed 86 fc ~省略
Sep 20 23:51:37 rtx1100 [IKE] decrypted payload
Sep 20 23:51:37 rtx1100 [IKE]   0c 00 00 ~省略
Sep 20 23:51:37 rtx1100 [IKE] info mode responder 1
Sep 20 23:51:37 rtx1100 [IKE] process hash payload
Sep 20 23:51:37 rtx1100 [IKE] delete request from 192.168.0.20 (SPI: 16d0ab177fcc8a05a9eba512521051be)
Sep 20 23:51:38 rtx1100 [IKE] SA[2] change state to DEAD
Sep 20 23:51:38 rtx1100 [IKE] inactivate IPsec socket[tunnel:2](outbound)
Sep 20 23:51:38 rtx1100 [IKE] delete SA[2]
Sep 20 23:51:38 rtx1100 IP Tunnel[2] Down
Sep 20 23:51:38 rtx1100 Delete IP route 10.0.0.0/8
Sep 20 23:51:42 rtx1100 [IKE] SA[1] change state to DEAD
Sep 20 23:51:42 rtx1100 [IKE] delete XAUTH context [124] 16d0ab177fcc8a05 f79a2745
Sep 20 23:51:42 rtx1100 [IKE] delete XAUTH context [125] 16d0ab177fcc8a05 c4639486
Sep 20 23:51:42 rtx1100 [IKE] delete XAUTH context [126] 16d0ab177fcc8a05 8683b080
Sep 20 23:51:42 rtx1100 [IKE] inactivate ISAKMP socket[2]
Sep 20 23:51:42 rtx1100 [IKE] delete ISAKMP context [122] 16d0ab177fcc8a05 00000000
Sep 20 23:51:42 rtx1100 [IKE] delete SA[1]

タグ:RTX1100 IPsec

共通テーマ:日記・雑感

RTX1100 ~ Shew Soft VPN Connect接続成功 その3 (2010/09/20) [RTX1100]

Shew Soft VPN Connect側の設定一覧です。お役に立てば。
(1)Auto Configurationはpushで。また、IPアドレスはxAuthで払い出されるのでObtain Automaticallyにします。
20100920_Shrew1.png


(2)ここは特になにもありません。が、NAT-Tは動かしておいた方がいろいろ都合がよいと思います。
20100920_Shrew2.png


(3)この辺の設定は煮詰めてません。ネットワーク構成に応じて手動・自動適宜設定して下さい。
20100920_Shrew3.png


(4)PSK + xAuthは必須です。ここのFQDN StringとRTX1100コンフィグ“ipsec ike remote name xx FQDN_String”が対応します。
20100920_Shrew4.png


(5)ここはAnyで。
20100920_Shrew5.png


(6)共有鍵はここに設定します。
20100920_Shrew6.png


(7)ここはシビアです。AESなら128ビットにする必要があります。Aggresiveモード、DH group2はこの通りで。Lifetimeは自由に。
20100920_Shrew7.png


(8)AESなら128ビットで。他は煮詰めてません。
20100920_Shrew8.png


(9)ここも煮詰めてません。
20100920_Shrew9.png


以上です。
タグ:RTX1100 IPsec

共通テーマ:日記・雑感

RTX1100 ~ Shew Soft VPN Connect接続成功 その2 (2010/09/19) [RTX1100]

RTX1100とShew Soft VPN Connect(2.1.6)との接続、なかなか手強かったです。基本的にデバッグログとの睨めっこでした。細かくパラメータをチューニングしながら、100~200回ぐらい接続し直したと思います。
ポイントは、RTX1100の自由度のなさですかねぇ? 普通Phase1では、AES128bit、AES192bit、AES256bitといろいろ選べたりしますが、RTX1100はAESの場合128bit決め打ちでしか接続できないようで、RTX1100的にちょっとでも気に食わないとRTX1100のログに“wrong message format~”とだけ残して接続できない、といった感じです。最終的にはPSK + XAUTHの組み合わせで繋がっています。
コンフィグはブラッシュアップできていませんが、とりあえず接続できた生のコンフィグは以下のようになります。(一部、アドレスやIDはブログ用に後から変更しています。整合性がずれていたらすみません) この中でいくつか、ここは絶対こうでないといけないといった部分があり、その部分は赤く着色しています。(とは言っても、これも完全に精査できているわけではありません。該当の設定がなくても繋がる可能性はあります)
tunnel select 1
 tunnel encapsulation ipsec
 ipsec tunnel 1
  ipsec sa policy 1 11  esp aes-cbc sha-hmac
  ipsec ike encryption 11 aes-cbc
  ipsec ike group 11 modp1024(=DHグループ2)
  ipsec ike hash 11 sha
  ipsec ike local address 11 192.168.0.1
  ipsec ike log 11 key-info message-info payload-info
  ipsec ike nat-traversal 11 on
  ipsec ike payload type 11 3(最重要。初期ベクトル (IV) の生成方法を一部の実装に合わせる)
  ipsec ike pfs 11 on
  ipsec ike pre-shared-key 11 text ********(共有鍵)
  ipsec ike remote address 11 any(任意のIPアドレスから受け付け)
  ipsec ike remote name 11 acer(最重要。Shrew側に設定が必要)
  ipsec ike xauth request 11 on 50(xAuth用、以下赤字部分は同じ。ユーザ名とかアドレスは適当に)
  ipsec ike mode-cfg address 11 10
 tunnel enable 1
ipsec use on
ipsec ike mode-cfg address pool 10 10.0.0.0/8
auth user 51 test test
auth user group 50 51
auth user group attribute 50 xauth=on



タグ:RTX1100 IPsec

共通テーマ:日記・雑感

RTX1100 ~ Shew Soft VPN Connect接続成功 その1 (2010/09/19) [RTX1100]

RTX1100とShew Soft VPNの接続で、以前うまくいかず挫折してしまいましたが、その後いろいろあれやこれや試してみたら接続することに成功しました。
具体的な設定ポイントはまたの機会に記述します。とりあえず今回は接続ログだけ。
RTX1100tunnel# show ipsec sa

sa   sgw connection   dir  life[s] remote-id
--------------------------------------------------------------------------
1    2   isakmp       -    3560    192.168.0.20
2    2   tun[002]esp  send 3572    192.168.0.20
3    2   tun[002]esp  recv 3572    192.168.0.20

SA[1] Duration: 3560s
Local ID: 192.168.0.1
Remote ID: 192.168.0.20 (acer)
Protocol: IKE
NAT Traversal: Off
XAUTH: user="test" (local, userid=1) 10.0.0.0 255.0.0.0
SPI: 99 83 9f bd a5 c5 2d fb 1f d5 e1 6f 99 8a ab c2
Key: ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------
SA[2] Duration: 3572s
Local ID: 192.168.0.1
Remote ID: 192.168.0.20 (acer)
Direction: send
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
XAUTH: user="test" (route: 10.0.0.0 255.0.0.0)
SPI: 9a 5a c5 33
Key: ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------
SA[3] Duration: 3572s
Local ID: 192.168.0.1
Remote ID: 192.168.0.20 (acer)
Direction: receive
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: 4d b6 c2 f2
Key: ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------

タグ:RTX1100 IPsec

共通テーマ:日記・雑感

YAMAHA RTXとCisco VPN Clientの接続性 (2010/05/08) [RTX1100]

YAMAHA RTX1100とCisco VPN Client(Version 5.0.03.0560)の接続性について試してみました。繋がればいいなぁという感じで試してみたのですが、“仕様の違いにより不可”という結論に至りました。残念。
今回試したのは、外出先からRAS接続としてアクセスするような場合の設定を想定(トンネルモード)しており、設定を変えればもしかしたら繋がるかもしれませんが…。一応、解析した結果を載せておきます。ご参考までに。

RTX1100には「ipsec ike remote name ~」という設定があり、ここに設定した名前とIPSecクライアントが申告してきた名前をチェックするようです。
YAMAHAの公式VPNクライアントであるYMS-VPN1では、“クライアントの名前”の設定値をIKE identification payloadの、ID Type 2(FQDN)として埋め込んできているようで、RTX1100側もその部分をチェックしているようです。
一方、Cisco VPN Clientは“クライアントの名前”に該当する設定項目がなく、IKE identification payloadにはID Type 11(KEY ID)としてグループ認証のグループ名を埋め込んできています。その結果、Cisco VPN Clientで接続するとRTX1100がチェックするID Type 2が存在しませんから、unknown gatewayとして接続が失敗してしまうようです。

RTX1100で走らせたデバッグログは以下のようになりました。
rtx1100 [IKE] respond ISAKMP phase to 1.2.3.4
rtx1100 [IKE] add ISAKMP context [248] afec7fa21600dcd7 00000000
rtx1100 [IKE] receive message from unknown gateway 1.2.3.4
rtx1100 [IKE] inactivate context [248] afec7fa21600dcd7 00000000
rtx1100 [IKE] inactivate ISAKMP socket[1]
rtx1100 [IKE] delete ISAKMP context [248] afec7fa21600dcd7 00000000


その後、フリーのIPSecクライアントであるshrew VPN Clientや各種シェアウェア等をいろいろ試してみましたが、いずれも接続不可でした。IKE identification payloadのID Type2で適切な値を埋め込んでも、その他の部分でエラーがが発生し怒られてしまいます。
rtx1100 [IKE] wrong message format 64 64 27886
rtx1100 [IKE] wrong message format 48 48 49995

rtx1100 [IKE] XAUTH: Authentication Method is not valid(1)

rtx1100 [IKE] invalid ISAKMP proposal
rtx1100 [IKE] ISAKMP SA attribute (authentication method) 65001
rtx1100 [IKE] no proposal chosen []

これが世に言う、IPSec相性問題なんでしょうね。
タグ:RTX1100 IPsec

共通テーマ:日記・雑感

RTX1100 リビジョンアップ (2010/05/03) [RTX1100]

今まで伝統(?)のtftpを使ってバージョンアップをやっていましたが、意外と面倒なんです。TFTPD32を使ったりするのは。
少し前のリビジョンからhttpによるバージョンアップに対応しているようでしたが、やり方がいまいち分からず敬遠していたんですよね。と、Webでたまたまhttpによるリビジョンアップを解説しているページを発見し、そのあまりの手軽さにやってみました。
RTX1100# 
RTX1100#http revision-up ?
? go permit proxy schedule timeout url 
RTX1100# http revision-up go ?
   Command Format: http revision-up go [no-confirm [prompt]]
                   no-confirm = No confirmaiton for Revision Up
                   prompt = Display prompt immediately after command execution
      Description: Execute Revision check and Revision up using by HTTP
RTX1100# http revision-up go 
Found New Revision Firmware
Now Revision: Rev.8.03.87
New Revision: Rev.8.03.88
Update to this Firmware ? (Y/N)Y
Downloading...: 40% ( 1122304/ 2805436bytes)
Revison updating...Finish
Restarting ...

こんな感じ。あっさりすぎて何も書くことがないぐらい。
タグ:RTX1100

共通テーマ:日記・雑感

UPnP on RTX1100 [RTX1100]

RTX1100を含め、最近のルータはUPnPに対応しているからすごく便利ですね。DHCPなどは当たり前の技術として、なんと言ってもLAN向けの動的ポート解放が便利です。

通常、ルータがファイアウォール的な動きをする場合、中から外への通信は自由にさせても、外から中へ向かう通信は基本的に全て破棄します。中から外への通信に対する戻りパケットは例外として、外から中へ向かう通信をポリシとして静的に許可するのは、恐らく家庭内サーバを立てている時ぐらいでしょうね。
まぁ、今まではこれで問題なかったのです。今までは。

近年、SkypeのようにP2Pの通信形態を採用するアプリケーションが出てきました。そうするとほら、Skypeを利用している双方がNATルータの内側に存在する場合、うまく通信できません。なぜなら通信において、必ずどちらかは外から中への通信を許可しなければならないためです。
ところがUPnPを有効にし、パソコンからルータにちょいとあるUPnPメッセージを送ることによって、一時的に外から中へ通信を許可するポリシが自動生成されます。イメージとしてはルータに生成されるNATセッションテーブルのエントリみたいな感じです。基本的に全てアプリケーションがバックグラウンドで面倒を見てくれますので、ユーザは何も意識する必要はありません。

で、本題。こんなに便利なUPnPですが、RTX1100でちょっと問題が発生しました。
RTX1100のデフォルト設定ではARP解決可能な限り、つまりPCが起動している間、UPnPのエントリが残りキープアライブのような通信が流れ続けます。たくさんUPnPエントリを作成すると、裏で延々と膨大なキープアライブのパケットが流れ続けます。
これがパソコンとルータ間であればまだ良いのですが、なんとグローバルIPアドレスを送信元IPアドレスとするパケットが大量に自分のパソコンへ…非常に気持ち悪いですよね。(パケットキャプチャしてびっくりしました)
さらにキープアライブのせいでRTX1100のメモリ消費量は跳ね上がるわ、普段は5%しかないCPU負荷が20%付近で推移するわ、そのせいで通信のレスポンスが悪くなったりと。もう。

結局、RTX1100のUPnPに時限を設けました。600秒ぐらいだったかな。これで用済みのUPnPエントリは自動消滅していき、平穏な日々が帰ってきました。
うちでは上記のような症状が出たのですが、これって本当に正しい症状なのかな? UPnPの仕様については勉強不足なので、もしかしたら我が家だけの特別事例だったり? バグ?
タグ:RTX1100

共通テーマ:日記・雑感

回線速度測定 [RTX1100]

一時期、プロバイダの回線速度測定が流行りましたよね。ウチはひかりone(旧テプコひかり)の回線占有型なのですが、思ったほど速度が出ず少しがっかりしていた思い出があります。
しかし、ちょっとしたきっかけでウチのWANルータであるRTX1100の設定を見直すことになりまして、その際にどうやら怪しいコンフィグを発見したわけです。
まぁ簡単に言いますと、シェーピング設定の間違いで、本来シェーピング対象でははないデフォルトキューに1%程度のシェーピング設定値が設定されていました。(デフォルトキューの取り扱いの間違い)
このミスもあまり気にしていなかったのですが、先ほど回線速度測定サイトで計測してみたところ、32Mbps → 52Mbpsという劇的な向上を果たしました。

ちなみにこの話には続きがあります。一般的な回線速度測定はWeb上で実施されるのですが、HTTP経由で測定するものがほとんどですよね。ということはProxyの影響を受けるわけで、Proxyを外してみたところ72Mbpsというさらに劇的な向上を果たしました。
これは言い換えると、うちのProxyのスループットが52Mbpsということになります。Celeron 1.1GHz + 512MB + Squidでも結構がんばるものなんですね。
タグ:auひかり

共通テーマ:日記・雑感

RTX1100 ファームウェア バージョンアップ [RTX1100]

うちはDynamic DNSで外部からの接続性を確保しているのですが、固定IPアドレスではないのでWAN口にいるRTX1100が再起動すると非常に面倒なことになります。(IPアドレスが変更される)
そのため、RTX1100のファームウェアが更新されていても、そう簡単には上げることができないのです。

ですが、数日前、落雷によって自宅が停電になってしまいました。真っ先に考えたことは、RTX1100のバージョンアップをしよう!ということでした。 確かにRTX1100は再起動なしにバージョンアップをすることが可能なのですが、やはりそこは安全性を考え念のために再起動はしておきたいものです。

停電の時にこんなことを考えるのは私だけでしょうか。ちなみにバージョンアップは無事終了しました。
タグ:RTX1100

共通テーマ:日記・雑感