下記のパラメータでyamaha_nvrでipsecの設定をしましたので記載いたします。

----------ipsecのパラメータ--------------

IKEバージョン1
モード:Aggressive
フェーズ1 プロポーザル:AES256/SHA256
フェーズ1 DHグループ:2048(14)
フェーズ1 ライフタイム:86400

フェーズ2 プロポーザル:AES256/SHA256
フェーズ2 DHグループ:2048(14)
フェーズ2 ライフタイム:43200
フェーズ2 PFS:有効
----------------------------------------

-------------------config抜粋------------------------

tunnel select 1
tunnel type point-to-point
tunnel encapsulation ipsec
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha256-hmac ⇒フェーズ2プロポーザル
ipsec ike version 1 1 ⇒ikeバージョン
ipsec ike duration ipsec-sa 1 43200 ⇒フェーズ2ライフタイム
ipsec ike duration isakmp-sa 1 86400 ⇒フェーズ1ライフタイム
ipsec ike encryption 1 aes256-cbc ⇒フェーズ1プロポーザル
ipsec ike group 1 modp2048 ⇒DHグループ(フェーズ1&2)
ipsec ike hash 1 sha256 ⇒フェーズ1プロポーザル
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 10 40
ipsec ike local id 1 0.0.0.0
ipsec ike local name 1 xxxx user-fqdn ⇒モードAggressiveを利用するためuserfqdnを利用
ipsec ike nat-traversal 1 on type=2 ⇒今回は相手側がFortiGateだったのでtype2を選択
ipsec ike pfs 1 on ⇒PFS有効
ipsec ike pre-shared-key 1 text xxxxxxxx ⇒事前共有鍵
ipsec ike remote address 1 xx.xx.xx.xx ⇒相手側のグローバルIPアドレス
ipsec ike remote id 1 0.0.0.0
ipsec ike remote name 1 xxxx user-fqdn
ipsec ike send info 1 on
ip tunnel address xx.xx.xx.xx
ip tunnel remote address xx.xx.xx.xx

------------------------------------------------

補足ですが、私の場合はphase2が失敗していて悩んでいたのですが、
nat-traversal のtypeをデフォルトの1から2へ変更することで、成功しました。
またaggressiveモードはnvrでは明示的に指定はしません。
mainとaggressive両方ともサポートしているので、
一方のルーターしか固定のグローバルアドレスを持たないときにはアグレッシブモードを使用します。

このエントリーをはてなブックマークに追加