【AWS】Cisco1812JでVPN接続する方法

1
休みの日を1日使ってAWSを触ってみました。
こんな図でCisco1812JとVPCをVPN接続してみました。
正直僕はIPsec構築したことがないのですが、
そんな方でもすぐに接続ができてしまいます。
なぜなら、AWSにて、自動でConfigを作ってくれてtextでダウンロードができてしまうからです。
AWSさまさまですね。
CiscoのVPNできる機種で12.4以降ならそのまま流すだけでOK。
■ハマったこと
・VPC>Route table >Subnet Associationsでsubnetをassociationしてなかった。
 必ずassociationすること。
・出力されるConfigですが、Static routeを追加する行はご自分のVPCセグメントに
 書き換えて、ちゃんと設定すること。
 (先頭行に!マークついてるのでそのまま流すとコメントアウトされてしまいます)
検証目的ならElastic IPを使わず内部セグメントでアクセス可能になるため
ちょっと安くなるかと思ったら、VPN接続自体が課金対象で\(^o^)/オワタ
しかも1812の電気代もあるし。。。
自分が1812Jに設定したConfigを載せておきます。
トンネル(経路)は2本用意して冗長するのが推奨のようですが
1本でも問題ありません。

1812-A#show run
!
track 100 ip sla 100 reachability
!
track 200 ip sla 200 reachability
!
crypto keyring keyring-vpn-4cdf684d-1
  local-address 36.55.61.77
  pre-shared-key address 27.0.1.61 key *********
crypto keyring keyring-vpn-4cdf684d-0
  local-address 36.55.61.77
  pre-shared-key address 27.0.1.189 key *********
!
crypto isakmp policy 200
 encr aes
 authentication pre-share
 group 2
 lifetime 28800
!
crypto isakmp policy 201
 encr aes
 authentication pre-share
 group 2
 lifetime 28800
crypto isakmp keepalive 10 10
crypto isakmp profile isakmp-vpn-4cdf684d-0
   keyring keyring-vpn-4cdf684d-0
   match identity address 27.0.1.189 255.255.255.255
   local-address 36.55.61.77
crypto isakmp profile isakmp-vpn-4cdf684d-1
   keyring keyring-vpn-4cdf684d-1
   match identity address 27.0.1.61 255.255.255.255
   local-address 36.55.61.77
!
crypto ipsec security-association replay window-size 128
!
crypto ipsec transform-set ipsec-prop-vpn-4cdf684d-0 esp-aes esp-sha-hmac
crypto ipsec transform-set ipsec-prop-vpn-4cdf684d-1 esp-aes esp-sha-hmac
crypto ipsec df-bit clear
!
crypto ipsec profile ipsec-vpn-4cdf684d-0
 set transform-set ipsec-prop-vpn-4cdf684d-0
 set pfs group2
!
crypto ipsec profile ipsec-vpn-4cdf684d-1
 set transform-set ipsec-prop-vpn-4cdf684d-1
 set pfs group2
!
!
!
!
!
!
interface Tunnel1
 ip address 169.254.252.30 255.255.255.252
 ip virtual-reassembly in
 ip tcp adjust-mss 1387
 tunnel source 36.55.61.77
 tunnel mode ipsec ipv4
 tunnel destination 27.0.1.189
 tunnel protection ipsec profile ipsec-vpn-4cdf684d-0
!
interface Tunnel2
 ip address 169.254.252.26 255.255.255.252
 ip virtual-reassembly in
 ip tcp adjust-mss 1387
 tunnel source 36.55.61.77
 tunnel mode ipsec ipv4
 tunnel destination 27.0.1.61
 tunnel protection ipsec profile ipsec-vpn-4cdf684d-1
!
!
interface FastEthernet0
 no ip address
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface FastEthernet2
 switchport access vlan 192
 no ip address
!
interface Vlan192
 ip address 192.168.0.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1414
!
interface Dialer1
 ip address negotiated
 ip mtu 1454
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap callin
 ppp chap hostname *********
 ppp chap password 0 *********
!
!
!
ip nat inside source list 101 interface Dialer1 overload
ip route 192.168.100.0 255.255.255.0 Tunnel1 track 100
ip route 192.168.100.0 255.255.255.0 Tunnel2 track 200
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip sla 100
 icmp-echo 169.254.252.29 source-interface Tunnel1
 frequency 5
ip sla schedule 100 life forever start-time now
ip sla 200
 icmp-echo 169.254.252.25 source-interface Tunnel2
 frequency 5
ip sla schedule 200 life forever start-time now
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
!
!
!

コメントを残す