NEC IX2105を使用してngn(IPv6)でSoftEther(IPsec)をつなぐ。

本ページはアフィリエイトプログラムによる収益を得ています。


中古がこなれて ファームウェアの入手に難あるものの

5000円程度で入手できるようになったIX2105、

Softetherの中継器としてIPv6をおいしくmogmogする。

 

 

 

SoftetherのWEBにも設定例はあるもののなんかいい感じにつながらなかったので
いろいろやった結果のメモ

参考ページ
SoftEther VPNとIX2105でポン付けVPN | | 双葉ネットワークサービス 代表のなにか
マニュアル : UNIVERGE IXシリーズ | NEC
PDF
ログイン 設定方法 | IXルータによるGRE
付録 イベントログ取得方法 : 障害切り分けガイドライン : UNIVERGE IXシリーズ | NEC
IPsecの動作 況と設定を見直す

 

 

 

紆余曲折設定のミスか?としていたが

keepaliveだけでは接続して通信までしてくれてなかったようで

1.0(LAN側)にデバイスを接続するとあっさり


コンフィグメモ

hostname ***
timezone +09 00
!
username admin password hash ******************* administrator
!
!
ip ufs-cache enable
!
ipv6 ufs-cache enable
ipv6 access-list sec-list permit ip src any dest any
!
ike proposal ike-prop encryption aes hash sha group 1024-bit lifetime 3600
!
ike policy ike-policy peer [IPv6アドレス] key vpn mode aggressive ike-prop
ike keepalive ike-policy 10 2
ike local-id ike-policy keyid IX
ike nat-traversal policy ike-policy keepalive 10
!
ipsec autokey-proposal ipsec-prop esp-aes esp-sha lifetime time 3600
!
ipsec autokey-map ipsec-map sec-list peer [IPv6アドレス] ipsec-prop
!
!
bridge irb enable
!
telnet-server ip enable
!
http-server username admin
http-server ip enable
!
watch-group keepalive 10
  event 10 ip unreach-host 172.18.20.1 Tunnel0.0 source Tunnel0.0
!
network-monitor keepalive enable
!
!
ipv6 dhcp client-profile dhcpv6_client
  information-request
  option-request dns-servers
!
device GigaEthernet0
!
device GigaEthernet1
!
interface GigaEthernet0.0
  ipv6 enable
  ipv6 address autoconfig receive-default
  ipv6 dhcp client dhcpv6_client
  no shutdown
!
interface GigaEthernet1.0
  no ip address
  bridge-group 1
  no shutdown
!
interface BVI1
  ip address [なんかアドレス]/21
  bridge-group 1
  no shutdown
!
interface Loopback0.0
  no ip address
!
interface Null0.0
  no ip address
!
interface Tunnel0.0
  tunnel mode ether-ip ipsec
  no ip address
  ipsec policy tunnel ipsec-map out
  bridge-group 1
  no shutdown

HWGのポート開放で UDP 500を忘れると接続できない。


おすすめ

2件のフィードバック

  1. panakuma より:

    私のブログを参考して下さり、ありがとうございます。

    この使い方をする上で一つオススメなモノがありまして、i.open.ad.jpというものがあります。

    フレッツ光の東日本エリア or IPoEでのIPv6インターネットアクセス環境がある場合に、NGN内のDNSで解決可能なドメインを無料で発行できるサービスで、筑波大学の登先生の団体が運営しています。

    フレッツのIPv6は半固定であり、NTT側の都合により変わる可能性があるため、こちらのDDNSに登録しておくことで、アドレスの追随が可能になります。

    もしよかったら使ってみて下さい。

    • しおんぐ より:

      コメントありがとうございます

      東日本エリアだとそのテクニックが使えるのですが生憎西日本なんですよねぇ

      それと追記できてないのですがファームが古くてIPsecのSAが更新できないという罠にハマっております

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

コメントは承認待ちです。表示されるまでしばらく時間がかかるかもしれません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください