NETWORK ENGINEER BLOG

Tips and Reviews for Engineers

GALAXY S III で Cisco1812J に SSL-VPN フルトンネルアクセス

GALAXY S III(SP モード経由)で、自宅の BUFFALO(WZR-HP-G301NH)へ PPTP アクセスができない事が判明*1したため、Cisco1812J を思い切って購入しました。Cisco では、WebVPN(SSL-VPN)機能がサポートされており、Android(Galaxy)向けの AnyConnect Client も用意されています。以下、設定例になります。

ソフトウェアバージョン
  • GALAXY S III Android 4.0
  • c181x-advipservicesk9-mz.150-1.M8.bin
  • anyconnect-dart-win-2.5.6005-k9.pkg
Dynamic DNS の設定

動的に割り当てられたグローバル IP アドレスを、変更の都度、動的に DNS サーバーに登録し、一定のドメイン名で、アクセスを可能にするため、Dynamic DNS を設定します。※本例では、DynDNS を使用しています。

DDNS update method を定義します。
※注意点として、"?" の設定があります。普通に設定しようとするとヘルプが起動し入力できません。
"?"を入力する前に「CTRL-V」を実行する必要があります。

ip ddns update method dyndns
 HTTP
  add http://"USERNAME":"PASSWORD"@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
 interval maximum 15 0 0 0

インターネットへ接続するインターフェースにおいて、IP アドレスとホスト名を関連付けます。
また、上記で定義した DDNS update method を紐づけます。

interface Dialer1
 ip ddns update hostname example.dyndns.org
 ip ddns update dyndns
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 ppp authentication chap callin
 ppp chap hostname xxxxxxxx
 ppp chap password xxxxxxxx
 ppp ipcp dns request
 ppp ipcp route default

"debug ip ddns update"コマンドで確認します。

Translating "members.dyndns.org"...domain server (yyy.yyy.yyy.yyy) [OK]

DYNDNSUPD: Adding DNS mapping for example.dyndns.org <=> xxx.xxx.xxx.xxx
HTTPDNS: Update add called for example.dyndns.org <=> xxx.xxx.xxx.xxx
HTTPDNSUPD: Session ID = 0x5
HTTPDNSUPD: URL = 'http://USERNAME:PASSWORD@members.dyndns.org/nic/update?system=dyndns&hostname=example.dyndns.org&myip=xxx.xxx.xxx.xxx'
HTTPDNSUPD: Sending request
HTTPDNSUPD: Response for update example.dyndns.org <=> xxx.xxx.xxx.xxx

HTTPDNSUPD: DATA START
nochg xxx.xxx.xxx.xxx
HTTPDNSUPD: DATA END, Status is Response data recieved, successfully
HTTPDNSUPD: Call returned SUCCESS, update of example.dyndns.org <=> xxx.xxx.xxx.xxx succeeded
DYNDNSUPD: Another update completed (outstanding=0, total=0)
HTTPDNSUPD: Clearing all session 5 info
WebVPN の設定

基本的な設定は、こちらと同様ですが、接続 IP にインターフェース”Dialer1”を指定します。

webvpn gateway myvpn
 hostname Router
 ip interface Dialer1 port 443
 ssl trustpoint TP-self-signed-67247250
 inservice
 !
webvpn install svc flash:/webvpn/anyconnect-dart-win-2.5.3055-k9.pkg sequence 1
 !
webvpn context mycontext
 ssl authenticate verify all
 !
 !
 policy group default
   functions svc-enabled
   svc address-pool "pool"
   svc keep-client-installed
   svc split include 192.168.1.0 255.255.255.0
 default-group-policy default
 gateway myvpn
 max-users 5
 inservice
AnyConnect Client による接続

DynDNS で登録したホスト名(FQDN)で、アクセスします。
f:id:FriendsNow:20130124123729p:plain:w162 f:id:FriendsNow:20130124123738p:plain:w162 f:id:FriendsNow:20130124123942p:plain:w162 f:id:FriendsNow:20130124123958p:plain:w162

*1:SP モードはスマートフォンにプライベード IP アドレスを割り当てます。