sidetech

(元)インフラエンジニアの寄り道メモ。

RTX1210に上手くConfigが入らない時は?(パート1)

なんだか実稼働Configを流し込んだという記事と、RTX1210でConfigが上手く入らないで苦労している人が居る様なので、もしかしてだけど~もしかしてだけど~?を考えてみました。コマンド体系は同じでもちょっとだけ文法が違う場合もあるので、古い機種からRTX1210にする時に注意しないといけないのもあるので。

例えばRTX1100のVPN設定は以下のような感じです。

tunnel select 1
description tunnel ====RTX1100 ROUTER-1====
ipsec tunnel 101
  ipsec sa policy 101 1 esp 3des-cbc md5-hmac
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on
  ipsec ike local address 1 192.168.200.1
  ipsec ike local name 1 rtx1100x key-id
  ipsec ike pre-shared-key 1 text yamahaYAMAHA
  ipsec ike remote address 1 1.1.1.1
  ipsec ike remote name 1 rtx1210x
ip tunnel tcp mss limit auto
tunnel enable 1

そして、RTX1210とVPN組んでみる場合でRTX1210側のVPN設定はこんな感じ。

tunnel select 11
description tunnel ===RTX1210 ROUTER-1===
ipsec tunnel 111
  ipsec sa policy 111 11 esp 3des-cbc md5-hmac
  ipsec ike keepalive log 11 off
  ipsec ike keepalive use 11 on
  ipsec ike local address 11 192.168.100.1
  ipsec ike local name 11 rtx1210x key-id
  ipsec ike pre-shared-key 11 text yamahaYAMAHA
  ipsec ike remote address 11 2.2.2.2
  ipsec ike remote name 11 rtx1100x key-id
ip tunnel tcp mss limit auto
tunnel enable 11

これすごい似ているんだけど、違いがあるんです。

  ipsec ike remote nameの所で、「key-id」を付けなくちゃいけない場合と付けちゃいけない場合があるんです。一部の古いファームとRTXシリーズでは「key-id」を付けていなかったはず。RTX2000とかも  ipsec ike local nameにkey-idを付けられなかったような。

あと、  ipsec ike local nameは付けるんだけどipsec ike remote nameには「key-id」を付けちゃいけないというパターンもあったような。

DynamicIP環境では特に大事なのでお気を付けくださいませ。

最近は設定例集やコマンドリファレンスはCDになっちゃいましたね。ちょっと前までは重たい冊子がはいっていました。大量導入時には邪魔な本なのですが、冊子が無きゃ無いでさみしいすね。我儘な悩みです[E:coldsweats01]

で、コマンドリファレンスには必ず対応機種・適応機種と言う形で載っているので、何か変だなと思ったらリファレンスを見る事をお勧めします。

あと、上手くネットに繋がらないという場合は secure filterを一旦外してしまう事をお勧めします。外せない場合は、filterの最後のany rejectの前にany pass-logを入れて様子をみましょ。