Yamahaさんナイス!って今までなんで対応してくれなかったよ?
って何のことかというと、YamahaのRTX系ルータで最新のファームウェアを使用するとIPsecを使用しVPNを簡単に接続できるようになりました。NATトラバーサル万歳!
ちなみに、iphone5、Android4.0からも接続可能!(良いのか悪いのか?)
■RTXへのConfig設定のサンプルは以下を追加
(同時接続は3名の場合)
(tunnel1は他のVPN設定とする)
(ローカルIPは192.168.1.0/24とする)
【pp設定】
pp select anonymous
pp bind tunnel2-tunnel4
pp auth request mschap-v2
pp auth username (VPN接続ID01) (VPN接続PW01)
pp auth username (VPN接続ID02) (VPN接続PW02)
pp auth username (VPN接続ID03) (VPN接続PW03)
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.1.10-192.168.1.14 (接続時のローカルIP付与)
ip pp mtu 1258
pp enable anonymous
【TUNNEL設定】
### TUNNEL 2 ###
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 102
ipsec sa policy 102 2 esp aes-cbc sha-hmac
ipsec ike keepalive use 2 off
ipsec ike local address 2 192.168.1.1
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text (事前の共通鍵)
ipsec ike remote address 2 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 2
### TUNNEL 3 ###
tunnel select 3
tunnel encapsulation l2tp
ipsec tunnel 103
ipsec sa policy 103 3 esp aes-cbc sha-hmac
ipsec ike keepalive use 3 off
ipsec ike local address 3 192.168.1.1
ipsec ike nat-traversal 3 on
ipsec ike pre-shared-key 3 text (事前の共通鍵)
ipsec ike remote address 3 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 3
### TUNNEL 4 ###
tunnel select 4
tunnel encapsulation l2tp
ipsec tunnel 104
ipsec sa policy 104 4 esp aes-cbc sha-hmac
ipsec ike keepalive use 4 off
ipsec ike local address 4 192.168.1.1
ipsec ike nat-traversal 4 on
ipsec ike pre-shared-key 4 text (事前の共通鍵)
ipsec ike remote address 4 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 4
【その他設定】
環境によって変更
ip filter 20000 pass * 192.168.1.1 udp * 500
ip filter 20001 pass * 192.168.1.1 esp * *
ip filter 20002 pass * 192.168.1.1 * 4500
ip filter 20003 pass * 192.168.1.1 * 1701
以下は必須
#
# NAT Descriptor configuration
#
nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 esp
nat descriptor masquerade static 1 3 192.168.1.1 udp 4500
#
# IPSEC configuration
#
ipsec auto refresh on
ipsec transport 2 102 udp 1701
ipsec transport 3 103 udp 1701
ipsec transport 4 104 udp 1701
#
# L2TP configuration
#
l2tp service on
ルータの設定は以上
■Windows7の設定サンプルは以下
まずはレジストリを一か所変更する。どうやら、標準だとNATトラバーサルの動作に影響があるらしい
regeditを開いて
「AssumeUDPEncapsulationContextOnSendRule」Keyを「2」とする。
再起動後に、コンパネのネットワークにて新規にVPN接続を1つ追加し、直ぐに接続せずに作成出来たらプロパティを開く
セキュリティータブの「VPNの種類」を[IPsecを利用したレイヤー2 トンネリング プロトコル(L2TP/IPsec)]に変更
その下にある「詳細設定」を押下
「承認に事前共有キーを使う」に設定してルータに設定した値をセット
これで行けるはず!
やっぱりPPTPはいろいろと問題が出てきているのでIPsecで行こう!
あと、WiMAXなどから接続する際にはWiMAX端末にて「IPsecをパススルー」にチェックなどしないとパケットが通らないことがありますので、接続元のルータの設定ももちろん、ゴリっとやってね!