IIJ FiberAccess/NFではフレッツアンバンドルのIIJのIPoEサービスであり、上記と同様にひかり電話環境です。, 3拠点以上でVPNを貼って遊びたい勉強したい。 RAによりIPv6 Prefixを取得します。 ipv6 enable Dynamic routingはなんでもいいのだが、ここではEIGRPで。(今は他の機器との相互接続でスッキリさせたいのでOSPFにしている), sh run 891FJは、Advanced IP Services がembeddedされており、DMVPNやEIGRPをサポートしており、お買い得感があります。 ※ 「v6プラス」固定IPサービスについては、こちら: https://www.jpne.co.jp/service/v6plus-static/ ! LAN側サブネット ! group 24 tunnel protection ipsec profile profile-dmvpn shared ! Cisco891 ip mtu 1360 pppoe enable group global     authentication pre-share interface Tunnel1 ----- Cisco Configuration Professional (Cisco CP) is installed on this device and it provides the default username "cisco" for one-time use. Cisco1111 load-interval 30 https://business.ntt-east.co.jp/service/vpnprio/     Cisco IOS Software, C800 Software (C800-UNIVERSALK9-M), Version 15.7(3)M4, RELEASE SOFTWARE (fc2)   crypto isakmp key cisco123 address ipv6 ::/0 トポロジ set transform-set transform-dmvpn

ほとんどのArm IPが試し放題でスタートアップは年会費無料!?Arm Flexible Access, 本製品には Web 管理画面が組み込まれているが、評判が悪いし勉強にならないので今回は使用しない。, you can read useful information later efficiently. プラットフォーム ! https://business.ntt-east.co.jp/service/vpnprio/   ! crypto ipsec transform-set transform-dmvpn esp-aes 256 esp-sha256-hmac IOS-XEル... 日本ネットワークイネーブラー株式会社(JPNE)が提供する「v6プラス」固定IPサービスへCisco IOS-XEルータを接続するためのサンプル設定を公開します。 description ###DMVPN Intranet### mode transport   tunnel key 1 ... JPNE 「v6プラス」固定IPサービス への IOS-XEルータ サンプルコンフィグ (ひかり電話を契約している場合 ... JPNE 「v6プラス」固定IPサービス への IOS-XEルータ サンプルコンフィグ (ひかり電話を契約してない場合 ... フレッツ・VPN プライオにおけるIPsec+スタティックルーティング構成の設定例(Cisco1111), フレッツ・VPN プライオにおけるGRE+スタティックルーティング構成の設定例(Cisco1111), フレッツ・VPN プライオにおけるIPsec+スタティックルーティング構成の設定例(Cisco891). ! *「フレッツ・VPNプライオ」については、こちらを参照ください pppoe enable group global

! 自宅のPPPoEルータの配下にC841Mを設置しており、外出先からAndroid OSのL2TP+IPSecを使いVPN接続したいと考えていますPPPoEルータにはESP、500/UDP、1701/UDP、4500/UDPのC841M向けへのポートマッピング設定済みですiPhoneからはVPN確立ができたのですが、AndroidからはVPN確立できません自宅PPPoEルータのグローバルアドレスはほぼ固定のため、接続元からは接続先アドレスを指定して設定していますdebugで確認しましたが、PH2の部分で「phase 2 SA policy not acceptable」となり接続に失敗しているように見えますiOSでの接続がOKなので、Androidと何か違いがあると思うのですが、configの抜粋とdebugログから何が原因かわかるでしょうか(グローバルアドレス等はマスクしてます)接続元のAndoroidのバージョンは6.0、7.0ともにダメでした, May 7 20:25:46.205 JST: IPSEC(ipsec_process_proposal): transform proposal not supported for identity: {esp-3des esp-sha-hmac }, esp-3des esp-sha-hmacでトランスフォームセット作成しましたがやはりだめでした, debug.txt の205~224行あたりで対向のAndoroidと合致するトランスフォームセットを作成していますがエラーになっているように見えます, debug.txt の205~224行あたりでうまくproposalを受け入れられていないエラーの, IPSec policy invalidated proposal with error 1024, phase2の各パラメータを変えてってトライ&エラーで潰していくしかないような気がします。, Jopephさんの言うとおり、IPsecの Phase2のネゴシエーションの問題のように思いますので、ルーター側と Andorid側 双方で設定を確認してみるといいのかな、とおもいました。, Andoroid側のIPSecの仕様がわからないので、debugを見ながらアルゴリズムやライフタイムなどいろいろとパラメータを変えながら設定してみてもどうもうまくいかないのです。, debugからどのパラメータが不一致ではじかれているのか分かればいいのですが。。あとはAndoroid側のIPSecの仕様が分かればいいのですが。, transform-setに"esp-aes 256 esp-sha256-hmac"を追加してもダメでしょうか?, 自分の環境では、"esp-aes 256 esp-sha256-hmac"と"esp-aes esp-sha-hmac"の2つのtransform-setでAndroid7.0から正常にL2TP/IPSec接続できています。, またこれは質問の主題とは全く関係ないのですが、1701/UDPはポートフォワードしない方がよろしいのではないかと存じます。L2TP単体(without IPsec)で使われるおつもりがあるのであれば、話は異なりますが…。, configにはないですが、debugログを見てAndroid側からのproposalと合う組み合わせでtransform-set作成しましたがやはりダメです。, その中で、"esp-aes 256 esp-sha256-hmac"の組み合わせも試しています。念のためもう一度やってみましたがやはりダメでした。, 暗号化の組み合わせではなく、そのほかのタイマなどの条件が合っていないような気がします。, 暗号化セットが合っている場合でもdebugを見ると"invalid transform proposal flags -- 0x4"ではじかれています。, "invalid transform proposal flags -- 0x4"の意味が分かれば原因がわかりそうな気がするのですが。。, あと気になるのはVPN-dynamic-map内のset security-association lifetimeなどでしょうか。, もしまだサポート期間が残っているようであれば、一度サポート(https://www.cisco.com/c/m/ja_jp/solutions/cisco-start/tech-support.html)に聞いてみるのも手かと思います。, また別の切り口として、Android端末側のログ(adb logcatで取れた気がします)を確認してみてはいかがでしょうか。, Community will be on READ-ONLY mode from Sunday Nov. 15 at 7 pm PST to Monday at 11 pm PST and notifications will be off until Wednesday Nov. 18 at 5 pm PST - LEARN MORE, 自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。, PPPoEルータ配下のC841MへのAndoroidからのL2TP+IPSec接続について.