YAMAHA RTX1100とApple iPhone5でリモート・アクセスVPN(L2TP/IPsec)
YAMAHA イーサアクセスVPNルーター RTX1100がファームウェアRev.8.03.90でL2TP/IPsec機能に対応したことを最近になって知りました。
仕事をする上で社内にリモート・アクセス出来た方が都合良いことも、ごくごく稀にある(平日夜間や休日の緊急対応)のでメーカーの設定例を参考にしてL2TP/IPsecを使ったリモート・アクセスVPNを構築してみました。
※セキュリティの観点からインターネットの不特定多数からのリモート・アクセスを許可することを推奨しません。
※リモート・アクセスによるセキュリティ・リスクについては実施される方で担保するようにして下さい(要するに自己責任において利用して下さい、ということです)
既存の設定にVPN(L2TP/IPsec)の設定を追加しました。
インターネット接続から始める場合には他にも設定が必要ですが、ここでは言及しません。
# RTX1100へ経路設定 = ip lan1 proxyarp on # L2TP接続を受け入れるための設定(同時接続は3人) pp select anonymous pp bind tunnel1-tunnel3 pp auth request mschap-v2 pp auth username [ユーザー1のID] [ユーザー1のパスワード] pp auth username [ユーザー2のID] [ユーザー2のパスワード] pp auth username [ユーザー3のID] [ユーザー3のパスワード] ppp ipcp ipaddress on ppp ipcp msext on ip pp remote address pool 172.16.0.250-172.16.0.253 ip pp mtu 1258 pp enable anonymous # L2TP接続で使用するトンネル1を設定 tunnel select 1 tunnel encapsulation l2tp ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 off ipsec ike local address 1 172.16.0.1 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text [事前共有鍵] ipsec ike remote address 1 any l2tp tunnel disconnect time off l2tp keepalive use on 10 3 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 1 # L2TP接続で使用するトンネル2を設定 tunnel select 2 tunnel encapsulation l2tp ipsec tunnel 102 ipsec sa policy 102 2 esp aes-cbc sha-hmac ipsec ike keepalive use 2 off ipsec ike local address 2 172.16.0.1 ipsec ike nat-traversal 2 on ipsec ike pre-shared-key 2 text [事前共有鍵] ipsec ike remote address 2 any l2tp tunnel disconnect time off l2tp keepalive use on 10 3 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 2 # L2TP接続で使用するトンネル3を設定 tunnel select 3 tunnel encapsulation l2tp ipsec tunnel 103 ipsec sa policy 103 3 esp aes-cbc sha-hmac ipsec ike keepalive use 3 off ipsec ike local address 3 172.16.0.1 ipsec ike nat-traversal 3 on ipsec ike pre-shared-key 3 text [事前共有鍵] ipsec ike remote address 3 any l2tp tunnel disconnect time off l2tp keepalive use on 10 3 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 3 no tunnel select # NATを設定(L2TP/IPSECを通す) nat descriptor masquerade static 1000 1 172.16.0.1 esp nat descriptor masquerade static 1000 2 172.16.0.1 udp 500 nat descriptor masquerade static 1000 3 172.16.0.1 udp 4500 # IPsecのトランスポートモードを設定 ipsec transport 1 101 udp 1701 ipsec transport 2 102 udp 1701 ipsec transport 3 103 udp 1701 ipsec auto refresh on # L2TPサービスをON l2tp service on # ファイアウォール設定を変更し、VPN接続時のパケットを許可するように設定 ip filter 200010 pass * 172.16.0.1 esp * * ip filter 200011 pass * 172.16.0.1 udp * 500 ip filter 200012 pass * 172.16.0.1 udp * 1701 ip filter 200013 pass * 172.16.0.1 udp * 4500 pp select 1 ip pp secure filter in [...] 200010 200011 200012 200013 [...] no pp select # 設定情報を保存 save
= パターン1 = IPアドレス:不定 XXXX.aaX.netvolante.jp +--------------+ LAN2+----------+LAN1 | | L2TP |--------Internet--------| ヤマハ |-----| +----+ | クライアント | PPPoE | ルーター | |----| PC | +--------------+ +----------+ | +----+ 割り当てられるアドレス: | 172.16.0.250-172.16.0.253 | +----+ |----| PC | | +----+ プライベートネットワーク 172.16.0.0/24 L2TPクライアント iPhone5(3G/LTE回線)....動作OK Windows7(3G/LTE回線)...未検証
= パターン2 = IPアドレス:不定 XXXX.aaX.netvolante.jp +--------------+ +---------+ LAN2+----------+LAN1 | | L2TP |-----| NAT機器 |-------Internet--------| ヤマハ |-----| +----+ | クライアント | | | PPPoE | ルーター | |----| PC | +--------------+ +---------+ +----------+ | +----+ 割り当てられるアドレス範囲: | 172.16.0.250-172.16.0.253 | +----+ |----| PC | | +----+ プライベートネットワーク 172.16.0.0/24 L2TPクライアント iPhone5(WiFi)....動作NG(接続は可能、プライベートネットワークにあるPCにアクセス出来ない) Windows7(WiFi)...動作OK NAT機器はNEC Aterm WR9500N
NATトラバーサルの設定を有効にしていますが、iPhoneではVPN接続は問題無いが、プライベートネットワークにアクセス不可、インターネット側への接続はOKという状況になりました。色々と試行錯誤していますが解決には至っていません。
もっともNAT機器がある場合=自宅なので、iPhoneでアクセスしなければならない理由はこれと言ってなく…。
NAT機器を変えたらあっさりと解決するような気がしないでもないのですが…。