アライドファン.comは、佐々木ネットワークテクノロジーズが運営する、ネットワーク技術情報サイトです。

【質問】

AR560SルータでIPSec VPN接続を行っている。VPN接続先が増えたので、接続例に従ってcreate ipsec polコマンド、create isakmp polコマンドによりVPN接続の追加設定を行ったが、追加したVPN接続先への通信ができない。
ログも確認したが、手がかりがない。原因及び解消法は？



（この下は自動配信されるネット広告スペースです）

---

【回答】

AR550S, AR560S, AR570S他アライドテレシスのルータでIPSec VPNを設定した場合、設定例に従うと、IPSecポリシーの最後に以下のようなインターネットへの平文通信を許可するポリシーが設定されているはずです。

create ipsec pol="inet" int=ppp0 ac=permit

IPsecポリシーにマッチしなかったトラフィックはデフォルトで破棄されてしまうため、IPSecポリシーの最後に上記設定がないと、インターネットアクセスのような、VPN以外の通信ができなくなってしまいます。

上記コマンドを実行しインターネットへの通信を許可した後にcreate ipsec polコマンドを実行した場合、IPsecポリシーは実行順（コンフィグの記載順）に用されていくため、全てのパケットが該当するポリシー「inet」より後に実行されるポリシー（下側に記載されたポリシー）は適用されないことになってしまいます。

そのため、ARルータにIPSec VPN接続先を追加する場合、一旦下記コマンドを実行し、全てのパケットが該当するポリシーを削除します。

destroy ipsec pol="inet"

その後、create ipsec polコマンド、create isakmp polコマンドによりVPN接続の追加設定を行い、設定が完了してから再度

create ipsec pol="inet" int=ppp0 ac=permit

を実行し、全てのIPSecポリシーが適用された後にインターネットへの平文通信を許可するポリシーが適用されるようにして下さい。


なお、上記手順を実行すると、LAN側からのインターネット接続が一時的に停止します。
システムが運用中のため、どうしてもインターネット接続を止めたくない場合、show ipsec policyコマンドによりインターネットへの接続を許可するルール番号を確認して、set ipsec policy positionコマンドによりルール番号の変更を行うことも可能です。