#1.はじめに
以前のRTX1210 2台を使用したフレッツ網折り返し通信によるL2TPv3/IPsec通信 - Qiitaの環境、すなわちHGW(PR-500KI)の下にRTX1210がある環境で、IPv4 PPPoE接続によるL2TP/IPsecの設定を行いました。IPv6 IPoE接続のL2TPv3/IPsecとの同時利用については別記事にまとめています。まずはL2TP/IPsecのみです。
#2.ネットワーク構成
RTX1210 2台を使用したフレッツ網折り返し通信によるL2TPv3/IPsec通信 - Qiitaの「拠点2」のIPアドレスになっています。
- 拠点
- NTT東日本圏内
- ドコモ光
- BIGLOBE IPv6オプション
- ひかり電話契約あり
| IPアドレス | 内容 |
|---|---|
| 192.168.1.1 | PR-500KI |
| 192.168.1.254 | RTX1210 LAN2 |
| 192.168.2.2 | RTX1210 LAN1 |
| 192.168.2.4 | RTX1210 bridge1 ※IPアドレスが必要なのかよく分かっていない |
| 192.168.2.50-89 | DHCP(DHCPサーバは拠点2のRTX1210) |
| 192.168.2.95-99 | L2TPで払い出すIPアドレス |
| 192.168.2.200-249 | 固定IPアドレス範囲(自分でこの範囲を使っているだけで、コンフィグに特に記述なし) |
#3.PR-500KI設定
- IPv6パケットフィルタ設定(IPoE)
- IPv6セキュリティのレベル
| 項目 | 値 |
|---|---|
| IPv6ファイアウォール機能 | 無効 |
- LAN側静的ルーティング設定
- LAN側静的ルーティングエントリ
| 項目 | 値 |
|---|---|
| 有効/無効 | チェックあり(編集後に一覧で設定) |
| エントリ番号 | 1(任意) |
| 宛先IPアドレス/マスク長 | 192.168.2.0/24 |
| ゲートウェイ | 192.168.1.254 |
#4.事前に用意する情報
| 項目 | 値 |
|---|---|
| 事前共有鍵 | 任意 |
| プロバイダユーザー名 | |
| プロバイダパスワード | |
| VPN接続ユーザー名 | 任意 |
| VPN接続パスワード | 任意 |
#5.コンフィグ
番号が2や102になっている所があるのは、後ほどRTX1210 2台を使用したフレッツ網折り返し通信によるL2TPv3/IPsec通信 - Qiitaと組み合わせるためです。
console lines infinity
login timer 300
no dhcp service
no dhcp server rfc2131 compliant except remain-silent
no dhcp scope 1
no ip lan1 address
console prompt kyoten2
ip lan1 address 192.168.2.2/24
ip lan1 proxyarp on
ip lan2 address 192.168.1.254/24
ip filter 500000 restrict * * * * *
description lan2 toHGW
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.2.50-192.168.2.89/24
dhcp scope option 1 router=192.168.2.2
dhcp scope option 1 dns=8.8.8.8
dns host lan1
dns service fallback on
dns server 8.8.8.8
dns server select 500000 dhcp lan2 any .
dns private address spoof on
dashboard accumulate traffic on
pp disable all
no tunnel enable all
nat descriptor type 2 masquerade
nat descriptor address outer 2 ipcp
nat descriptor address inner 2 auto
nat descriptor masquerade static 2 1 192.168.2.2 esp
nat descriptor masquerade static 2 2 192.168.2.2 udp 500
nat descriptor masquerade static 2 3 192.168.2.2 udp 1701
nat descriptor masquerade static 2 4 192.168.2.2 udp 4500
ipsec transport 2 102 udp 1701
ipsec auto refresh on
ip route default gateway pp 1
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname <プロバイダユーザー名> <プロバイダパスワード>
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 2
pp enable 1
pp select none
pp select anonymous
pp bind tunnel2
pp auth request mschap-v2
pp auth username <VPN接続ユーザー名> <VPN接続パスワード>
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.2.95-192.168.2.99
ip pp mtu 1258
pp enable anonymous
pp select none
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 102
ipsec sa policy 102 2 esp aes-cbc sha-hmac
ipsec ike keepalive use 2 off
ipsec ike local address 2 192.168.2.2
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text <事前共有鍵>
ipsec ike remote address 2 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 2
tunnel select none
l2tp service on l2tp
tftp host 192.168.2.1-192.168.2.255
httpd host 192.168.2.1-192.168.2.255
#6.重要部分
これがないと、接続が成功した後にリモートデスクトップ接続ができませんでした。
ip lan1 proxyarp on
nat descriptorの設定です。IPsecなのでUDP 1701のみでよいはずですが、IPsecなしの場合のためにESPとUDP500、4500も入れています。(正直いらなかった気がします)
nat descriptor type 2 masquerade
nat descriptor address outer 2 ipcp
nat descriptor address inner 2 auto
nat descriptor masquerade static 2 1 192.168.2.2 esp
nat descriptor masquerade static 2 2 192.168.2.2 udp 500
nat descriptor masquerade static 2 3 192.168.2.2 udp 1701
nat descriptor masquerade static 2 4 192.168.2.2 udp 4500
プロバイダへのIPv4 PPPoE接続です。
ip route default gateway pp 1
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname <プロバイダユーザー名> <プロバイダパスワード>
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 2
pp enable 1
pp select none
VPN接続ユーザーと、割り振るIPアドレス範囲、MTUの設定です。
pp select anonymous
pp bind tunnel2
pp auth request mschap-v2
pp auth username <VPN接続ユーザー名> <VPN接続パスワード>
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.2.95-192.168.2.99
ip pp mtu 1258
pp enable anonymous
pp select none
IPsecトンネルの設定です。
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 102
ipsec sa policy 102 2 esp aes-cbc sha-hmac
ipsec ike keepalive use 2 off
ipsec ike local address 2 192.168.2.2
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text <事前共有鍵>
ipsec ike remote address 2 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 2
tunnel select none
L2TPを使用する設定です。
l2tp service on l2tp
#7.備考
- DNSサーバはGoogleを使用しています。