Cisco ASA5505によるIPSEC-VPN(IKEv2)
20131211

概要
 L2L VPNをIPSECで組みます。
 一般的な接続設定に関してはCisco ASA5505によるPPPoE+NAT(PAT)にて
環境
 確認機種 : Cisco ASA5505
 IOS : 9.1(2)

ネットワーク環境(A側)
 グローバルIPアドレス : 100.100.100.100
 LANアドレス : 192.168.0.0/24
ネットワーク環境(B側)
 グローバルIPアドレス : 200.200.200.200
 LANアドレス : 192.168.100.0/24
〜A側ASAの設定〜
object network VPN_192.168.0.0_24
subnet 192.168.0.0 255.255.255.0
object network VPN_192.168.100.0_24
subnet 192.168.100.0 255.255.255.0
!
access-list outside_cryptomap extended permit ip 192.168.0.0 255.255.255.0 192.168.100.0 255.255.255.0
!
nat (inside,outside) source static VPN_192.168.0.0_24 VPN_192.168.0.0_24 destination static VPN_192.168.100.0_24 VPN_192.168.100.0_24 no-proxy-arp route-lookup
!
crypto ipsec ikev2 ipsec-proposal AES256
protocol esp encryption aes-256
protocol esp integrity sha-1
!
crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set peer 200.200.200.200
crypto map outside_map 1 set ikev2 ipsec-proposal AES256
crypto map outside_map interface outside
!
crypto ikev2 policy 1
encryption aes-256
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outside
!
group-policy GroupPolicy_200.200.200.200 internal
group-policy GroupPolicy_200.200.200.200 attributes
vpn-tunnel-protocol ikev2
!
tunnel-group 200.200.200.200 type ipsec-l2l
tunnel-group 200.200.200.200 general-attributes
default-group-policy GroupPolicy_200.200.200.200
tunnel-group 200.200.200.200 ipsec-attributes
ikev2 remote-authentication pre-shared-key パスワード
ikev2 local-authentication pre-shared-key パスワード
#LANアドレスをオブジェクトで定義
上記の設定
#相手側LANアドレスをオブジェクトで定義
上記の設定
#
#暗号化する通信を定義「outside_cryptomap」
192.168.0.0/24→192.168.100.0の通信をVPNで暗号化する
#
#いわゆるNo-NAT設定


#
#IKEv2でのルールを「AES256」として定義する(IKEフェーズ2)
#espを用い、AES256bitで暗号化
#espを用い、hashにsha-1を使用
#
#「outside_cryptomap」に該当する通信を暗号化する。
#相手側のグローバルIPアドレスを設定
#IPSECで使用するルールを設定
#「outside」interfaceで有効化
#
#IKEv2でのルールを設定する(IKEフェーズ1)
#暗号化タイプをAES256bit
#
#DHグループを5(1536bit)に設定
#
#そのままのライフタイム設定
#「outside」interfaceで有効化
#
#
#
#IKEv2のみ使用
#
#VPNのTypeをLAN to LANに設定
#
#
#
#相手側のPSKを設定
#自分側のPSKを設定

〜B側ASAの設定(逆にするだけ)〜
object network VPN_192.168.100.0_24
subnet 192.168.0.0 255.255.255.0
object network VPN_192.168.0.0_24
subnet 192.168.0.0 255.255.255.0
!
access-list outside_cryptomap extended permit ip 192.168.100.0 255.255.255.0 192.168.0.0 255.255.255.0
!
nat (inside,outside) source static VPN_192.168.100.0_24 VPN_192.168.100.0_24 destination static VPN_192.168.0.0_24 VPN_192.168.0.0_24 no-proxy-arp route-lookup
!
crypto ipsec ikev2 ipsec-proposal AES256
protocol esp encryption aes-256
protocol esp integrity sha-1
!
crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set peer 100.100.100.100
crypto map outside_map 1 set ikev2 ipsec-proposal AES256
crypto map outside_map interface outside
!
crypto ikev2 policy 1
encryption aes-256
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outside
!
group-policy GroupPolicy_100.100.100.100 internal
group-policy GroupPolicy_100.100.100.100 attributes
vpn-tunnel-protocol ikev2
!
management-access inside
!
tunnel-group 100.100.100.100 type ipsec-l2l
tunnel-group 100.100.100.100 general-attributes
default-group-policy GroupPolicy_100.100.100.100
tunnel-group 100.100.100.100 ipsec-attributes
ikev2 remote-authentication pre-shared-key パスワード
ikev2 local-authentication pre-shared-key パスワード
#LANアドレスをオブジェクトで定義
上記の設定
#相手側LANアドレスをオブジェクトで定義
上記の設定
#
#暗号化する通信を定義「outside_cryptomap」
192.168.100.0/24→192.168.0.0の通信をVPNで暗号化する
#
#いわゆるNo-NAT設定


#
#IKEv2でのルールを「AES256」として定義する(IKEフェーズ2)
#espを用い、AES256bitで暗号化
#espを用い、hashにsha-1を使用
#
#「outside_cryptomap」に該当する通信を暗号化する。
#相手側のグローバルIPアドレスを設定
#IPSECで使用するルールを設定
#「outside」interfaceで有効化
#
#IKEv2でのルールを設定する(IKEフェーズ1)
#暗号化タイプをAES256bit
#
#DHグループを5(1536bit)に設定
#
#そのままのライフタイム設定
#「outside」interfaceで有効化
#
#
#
#IKEv2のみ使用
#
#マネージメントインターフェースの指定
#設定しないとASAから相手側ネットワークへの通信が通りません。
#VPNのTypeをLAN to LANに設定
#
#
#
#相手側のPSKを設定
#自分側のPSKを設定

うまく行かない場合は下記コマンドで状態確認
debug crypto ipsec
show crypto ikev2 sa

意図的にVPNを使用する通信を発生させる必要がある点に注意
また、相手側ASAに対してASDMやtelnetする場合は、自ネットワークを inside で許可してください。
以上