Go to Qiita Advent Calendar 2024 Top
LoginSignup
munemune0925
@munemune0925

Are you sure you want to delete the question?

If your question is resolved, you may close it.

Leaving a resolved question undeleted may help others!

We hope you find it useful!

IKEv2接続が出来ない

Q&A

VPNstrongswanIKEv2vpnserver

解決したいこと

ubuntuで以下のサイトの方法でikev2のVPNサーバーを立てようとした。
https://github.com/hwdsl2/setup-ipsec-vpn
dockerコマンドで

wget https://get.vpnsetup.net -O vpn.sh && sudo sh vpn.sh

サーバーを立ち上げ

Client configuration is available at:
/home/endo/vpnclient.p12 (for Windows & Linux)
/home/endo/vpnclient.sswan (for Android)
/home/endo/vpnclient.mobileconfig (for iOS & macOS)

Next steps: Configure IKEv2 clients. See:
https://vpnsetup.net/clients

うまく立ち上がったように思える。
しかしクライアント端末(andorid)からの接続が出来ない。

発生している問題・エラー

strongswanのログ
*Sep 28 19:55:44 06[NET] sending packet: from ”クライアント
IPアドレス”[46282] to ”サーバーIPアドレス”[500] (464 bytes)

クライアントがサーバーのポート500(IKE用のポート)にパケットを送信してい

調べたこと

サーバー側のポート開放状態を見る。多分良さそうな気がする。

sudo ufw status verbose
状態: アクティブ
ロギング: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
新しいプロファイル: skip

To                         Action      From
--                         ------      ----
1701/udp                   ALLOW IN    Anywhere                  
500/udp                    ALLOW IN    Anywhere                  
4500/udp                   ALLOW IN    Anywhere                  
1701/udp (v6)              ALLOW IN    Anywhere (v6)             
500/udp (v6)               ALLOW IN    Anywhere (v6)             
4500/udp (v6)              ALLOW IN    Anywhere (v6)

v6プラスのHGWの静的NAPT設定(+++はV6プラスで自分が開放できるポート番号を入力)

No 対象プロトコル 公開対象ポート  先アドレス(サーバーIP)  宛先ポート
2 	 UDP 	   +++ 	    192.168.*.** 	        500
3 	 UDP 	   +++ 	    192.168.*.** 	        4500
4 	 UDP 	   +++          192.168.*.** 	        1701

そもそもV6プラスは任意のポート番号を開放出来ないみたいな話があってVPNパススルー機能を持ったルーターやPPPoE?にしないと出来ないみたいな記事をちらほら見たけどそういったことも関係してるのか・・・。

識者の方アドバイスをいただけないですか。

0

1Answer

shigeokamoto
@shigeokamoto

その静的NAPT設定は http://ntt.setup:8888/enabler.ipv4/main ですか?
左ペインの「Top」を見ると「利用可能ポート」がリストアップされていると思います。
そこに記載されている240個のポート以外は利用できません。

VPNプロトコルにこだわりが無ければ任意のポートが利用できる WireGuard をおススメします。

0Like

Comments

  1. @munemune0925

    Questioner

    @shigeokamoto さん こんにちは。おっしゃるようにURLページ内の設定です。
    静的NAPT設定はてっきり『サーバー任意のポートをV6利用ポートに置き換えて解放してくれるもの』の様な解釈をしていましたが違うという事ですかね。

    プロトコルのこだわりはあります。
    『スマホでネトワークが切り替わってもVPNの自動再接続をしてほしい』です。
    自身で調べた感じはIKEv2はそれに対応している。またAndroid端末のvpnの標準がIKEv2なので選んだという理由があります。
    おすすめいただいたWireGuardが自動再接続に対応している様でしたらそちらに切り替えVPNサーバーを建てたいです。
    (現状はOpenVPN接続をしてますがネットワークの切り替わり後は自身で再接続するのが面倒なので)

  2. @shigeokamoto

    静的NAPT設定はてっきり『サーバー任意のポートをV6利用ポートに置き換えて解放してくれるもの』の様な解釈をしていましたが違うという事ですかね。

    IPv4の静的NAPTは利用可能な外部ポートをネットワーク内のノードへマップするだけですね。

    プロトコルのこだわりはあります。
    『スマホでネトワークが切り替わってもVPNの自動再接続をしてほしい』です。

    その目的であれば WireGuard が最適だと思います(個人の感想ですが)。
    クライアント(スマホ)のIPアドレスが変わってもそのまま接続を維持(シームレスに再接続)します。

  3. @munemune0925

    Questioner

    そうなんですね。
    ありがとございます。
    wireGuardでチャレンジしてみます。

Your answer might help someone💌

LoginSign Up