ASA およびネイティブ L2TP IPSec Android クライアントの設定例

ダウンロード オプション

  • PDF     (169.3 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (84.6 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (74.4 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2014 年 2 月 27 日
Document ID:113572

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

レイヤ 2 トンネリング プロトコル(L2TP)over IPSec により、単一のプラットフォームで、IPSec VPN およびファイアウォール サービスとともに L2TP VPN ソリューションを導入し、管理することが可能になります。リモート アクセスのシナリオでの L2TP over IPSec の設定の主な利点は、リモート ユーザが、ゲートウェイや専用線を使用せずに、パブリック IP ネットワークから VPN にアクセスできることです。これにより、事実上、一般電話サービス(POTS)のあらゆる場所からリモート アクセスが可能になります。 この他に、VPN にアクセスするクライアントは Windows で Microsoft ダイヤルアップ ネットワーク(DUN)を使用するだけでよいという利点もあります。 Cisco VPN Client ソフトウェアなどの、追加のクライアント ソフトウェアは必要ありません。

このドキュメントでは、ネイティブ L2TP/IPSec Android クライアントの設定例を紹介します。Cisco 適応型セキュリティ アプライアンス(ASA)に必要なすべてのコマンドと、Android デバイス自体で実行する手順を詳しく説明します。

前提条件

要件

このドキュメントに特有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

設定

このセクションでは、このドキュメントで説明する機能の設定に必要な情報を説明しています。

Android での L2TP/IPSec 接続の設定

この手順では、Android での L2TP/IPSec 接続の設定方法について説明します。

  1. メニューを開き、[Settings] を選択します。
  2. [Wireless and Network] または [Wireless Controls] を選択します。使用できるオプションは、Android のバージョンによって異なります。
  3. [VPN Settings] を選択します。
  4. [Add VPN] を選択します。
  5. [Add L2TP/IPsec PSK VPN] を選択します。
  6. [VPN Name] を選択し、分かりやすい名前を入力します。
  7. [VPN Server] を選択し、分かりやすい名前を入力します。
  8. [Set IPSec pre-shared key] を選択します。
  9. [Enable L2TP secret] をオフにします。
  10. (オプション)ASA トンネル グループ名として IPsec ID を設定します。設定しないと、ASA で DefaultRAGroup に該当するという意味になります。
  11. メニューを開き、[Save] を選択します。

ASA での L2TP/IPSec 接続の設定

次に示すのは、必要な ASA Internet Key Exchange バージョン 1(IKEv1)(Internet Security Association and Key Management Protocol(ISAKMP))ポリシーの設定です。この設定により、L2TP over IPSec 使用時に、エンドポイントのオペレーティング システムに統合されているネイティブ VPN クライアントは、ASA への VPN 接続が可能になります。

  • IKEv1フェーズ1:SHA1ハッシュ方式によるTriple Data Encryption Standard(3DES)暗号化
  • IPSec フェーズ 2:Message Digest 5(MD5)または SHA ハッシュ方式による 3DES または高度暗号化規格(AES)暗号化
  • PPP 認証:パスワード認証プロトコル(PAP)、マイクロソフト チャレンジ ハンドシェイク認証プロトコル バージョン 1(MS-CHAPv1)、または MS-CHAPv2(推奨)
  • 事前共有鍵

注:ASA が、ローカル データベースでサポートするのは、PPP 認証の PAP と MS-CHAP(バージョン 1 および 2)だけです。Extensible Authentication Protocol(EAP)と CHAP は、プロキシ認証サーバで実行されます。したがって、authentication eap-proxy または authentication chap コマンドで設定されているトンネル グループにリモート ユーザが属しており、ASA がローカル データベースを使用するように設定されていると、そのユーザは接続できません。

さらに、Android は PAP をサポートしていません。また、Lightweight Directory Access Protocol(LDAP)が MS-CHAP をサポートしていないために、LDAP は実行可能な認証メカニズムではありません。唯一の回避策は、RADIUS を使用することです。MS-CHAP と LDAP での問題の詳細については、Cisco Bug ID CSCtw58945、「LDAP 承認と mschapv2 を使用した L2TP over IPSec 接続が失敗する」を参照してください。

この手順では、ASA での L2TP/IPSec 接続の設定方法について説明します。

  1. ローカル アドレス プールを定義するか、適応型セキュリティ アプライアンスに DHCP サーバを使用して、グループ ポリシーの各クライアントに IP アドレスを割り当てます。
  2. 内部グループ ポリシーを作成します。
    1. L2TP/IPSec になるトンネル プロトコルを定義します。
    2. クライアントが使用するドメイン ネーム サーバ(DNS)を設定します。
  3. 新しいトンネル グループを作成するか、既存の DefaultRAGroup の属性を変更します。(電話でグループ名として IPsec ID が設定されている場合は、新しいトンネル グループを使用できます。電話設定については、ステップ 10 を参照してください。)
  4. 使用するトンネル グループの一般属性を定義します。
    1. このトンネル グループに、定義済みグループ ポリシーをマッピングします。
    2. このトンネル グループが使用する定義済みアドレス プールをマッピングします。
    3. LOCAL 以外を使用する場合は、認証サーバ グループを変更します。
  5. 使用するトンネル グループの IPSec 属性の下で事前共有キーを定義します。
  6. chap、ms-chap-v1、ms-chap-v2 だけが使用されるように、使用するトンネル グループの PPP の属性を変更します。
  7. 特定の Encapsulating Security Payload(ESP)暗号化タイプと認証タイプを含むトランスフォーム セットを作成します。
  8. IPsec に、トンネル モードではなく、転送モードを使用するように指示します。
  9. SHA1 ハッシュ方式の 3DES 暗号化を使用して ISAKMP/IKEv1 ポリシーを定義します。
  10. ダイナミック クリプト マップを作成し、クリプト マップにマッピングします。
  11. インターフェイスにクリプトマップを適用します。
  12. そのインターフェイスで ISAKMP を有効にします。

ASA 互換性のコンフィギュレーション ファイル コマンド

注:このセクションで使用されるコマンドの詳細については、Command Lookup Tool(登録ユーザ専用)を使用してください。

この例は、あらゆるオペレーティング システムでネイティブ VPN クライアントとの ASA 互換性を確保するコンフィギュレーション ファイル コマンドを示します。

ASA 8.2.5 以降の設定例

Username <name> password <passwd> mschap
ip local pool l2tp-ipsec_address 192.168.1.1-192.168.1.10
group-policy l2tp-ipsec_policy internal
group-policy l2tp-ipsec_policy attributes
            dns-server value <dns_server>
            vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
            default-group-policy l2tp-ipsec_policy
            address-pool l2tp-ipsec_address
tunnel-group DefaultRAGroup ipsec-attributes
            pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
            no authentication pap
            authentication chap
            authentication ms-chap-v1
            authentication ms-chap-v2
crypto ipsec transform-set trans esp-3des esp-sha-hmac
crypto ipsec transform-set trans mode transport
crypto dynamic-map dyno 10 set transform-set set trans
crypto map vpn 65535 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto isakmp enable outside
crypto isakmp policy 10
            authentication pre-share
            encryption 3des
            hash sha
            group 2
            lifetime 86400

ASA 8.3.2.12 以降の設定例

Username <name> password <passwd> mschap
ip local pool l2tp-ipsec_address 192.168.1.1-192.168.1.10
group-policy l2tp-ipsec_policy internal
group-policy l2tp-ipsec_policy attributes
            dns-server value <dns_server>
            vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
            default-group-policy l2tp-ipsec_policy
            address-pool l2tp-ipsec_addresses
tunnel-group DefaultRAGroup ipsec-attributes
            pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
            no authentication pap
            authentication chap
            authentication ms-chap-v1
            authentication ms-chap-v2
crypto ipsec ikev1 transform-set my-transform-set-ikev1 esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set my-transform-set-ikev1 mode transport
crypto dynamic-map dyno 10 set ikev1 transform-set my-transform-set-ikev1
crypto map vpn 20 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
            authentication pre-share
            encryption 3des
            hash sha
            group 2
            lifetime 86400

確認

ここでは、設定が正常に機能しているかどうかを確認します。

この手順では、接続の確立方法を説明します。

  1. メニューを開き、[Settings] を選択します。
  2. [Wireless and Network] または [Wireless Controls] を選択します(使用できるオプションは、Android のバージョンによって異なります)。
  3. リストから、VPN 設定を選択します。
  4. ユーザ名とパスワードを入力します。
  5. [Remember username] を選択します。
  6. [Connect] を選択します。

この手順では、接続の切断方法を説明します。

  1. メニューを開き、[Settings] を選択します。
  2. [Wireless and Network] または [Wireless Controls] を選択します(使用できるオプションは、Android のバージョンによって異なります)。
  3. リストから、VPN 設定を選択します。
  4. [Disconnect] を選択します。

接続が正常に機能していることを確認するには、次のコマンドを使用します。

  • show run crypto isakmp:ASA バージョン 8.2.5 の場合
  • show run crypto ikev1:ASA バージョン 8.3.2.12 以降の場合
  • show vpn-sessiondb ra-ikev1-ipsec:ASA バージョン 8.3.2.12 以降の場合
  • show vpn-sessiondb remote:ASA バージョン 8.2.5 の場合

注:アウトプット インタープリタ ツール(登録ユーザ専用)は、特定の show コマンドをサポートしています。show コマンドの出力の分析を表示するには、Output Interpreter Tool を使用します。

既知の注意事項

  • Cisco bug ID CSCtq21535、「Android L2TP/IPsec クライアントとの接続時の ASA トレースバック」
  • Cisco bug ID CSCtj57256、「Android から ASA55xx への L2TP/IPSec 接続が確立されない」
  • Cisco bug ID CSCtw58945、「ldap 認証と mschapv2 を使用した L2TP over IPSec 接続が失敗する」

関連情報

TAC Authored

シスコ エンジニア提供

  • Atri Basu and Rahul Govindan
    Cisco TAC Engineers.

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています