0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@revsystem(Tsuyoshi Yamasaki)

EdgeRouter X にリモートアクセス VPN で接続する

0
Posted at

はじめに

前回の記事 EdgeRouter X で AWS Lambda + Route 53 の DDNS クライアントを動かす では、EdgeRouter X で DDNS クライアントを定期実行し、Route 53 の DNS レコードを更新する仕組みを構築しました。これにより、EdgeRouter X の WAN 側インターフェイスに割り当てられたグローバル IP アドレスに対して FQDN を紐付けることができました。本記事では、この仕組みを利用して EdgeRouter X にリモートアクセス VPN で接続する方法を紹介します。

参考情報

動作確認環境

EdgeRouter X(ER-X)のファームウェア 3.0.1 で動作確認を行いました。

ネットワーク構成図

一部簡略化していますが、拠点 A と拠点 B を VPN で接続する構成を示しています。

L2TP / IPsec の設定

EdgeRouter X – 6. 自宅にどこからでもアクセスできるようにする ( リモートアクセス VPN ) を参考に L2TP / IPsec の設定を行います。

EdgeRouter X の GUI から CLI ウィンドウを開くか、SSH でルーターにアクセスします。

  _____    _
 | ____|__| | __ _  ___          (c) 2010-2023
 |  _| / _  |/ _  |/ _ \         Ubiquiti Inc.
 | |__| (_| | (_| |  __/
 |_____\__._|\__. |\___|         https://www.ui.com
             |___/

Welcome to EdgeOS

By logging in, accessing, or using the Ubiquiti product, you
acknowledge that you have read and understood the Ubiquiti
License Agreement (available in the Web UI at, by default,
http://192.168.1.1) and agree to be bound by its terms.

続いて、以下のコマンドを実行し設定モードに入ります。

configure

設定モードで以下のコマンドを実行し、L2TP / IPsec の設定を行います。

## 基本的な IPsec の設定
set vpn ipsec ipsec-interfaces interface eth0
set vpn ipsec nat-networks allowed-network 0.0.0.0/0
set vpn ipsec nat-traversal enable
set vpn ipsec auto-firewall-nat-exclude enable

## L2TP の WAN 側 IP アドレスが DHCP 経由で割り当てられると指定
set vpn l2tp remote-access dhcp-interface eth0

## L2TP でアクセスしてきたクライアントに割り当てる IP アドレスの範囲を指定
set vpn l2tp remote-access client-ip-pool start 192.168.1.100
set vpn l2tp remote-access client-ip-pool stop 192.168.1.200

## L2TP の「シークレット」を設定
## YOUR_SECRET の部分を任意のパスワードに変更して入力
set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret YOUR_SECRET
set vpn l2tp remote-access ipsec-settings ike-lifetime 3600

## L2TP クライアントの認証方法をローカルに設定
set vpn l2tp remote-access authentication mode local

## L2TP クライアントのユーザー名とパスワードを設定
## YOUR_USERNAME と YOUR_PASSWORD の部分を変更して入力
set vpn l2tp remote-access authentication local-users username YOUR_USERNAME password YOUR_PASSWORD

## L2TP の MTU を保守的に設定
set vpn l2tp remote-access mtu 1280

## L2TP のクライアントが使う DNS をルーター自身と Google DNS に設定
set vpn l2tp remote-access dns-servers server-1 192.168.1.1
set vpn l2tp remote-access dns-servers server-2 8.8.8.8

## ルーターの DNS が L2TP から使えるよう DNS Forwarding をルーター自身に設定
set service dns forwarding listen-on lo

commit
save

WAN側インターフェイスのファイアウォール設定

WAN 側から EdgeRouter X に L2TP / IPsec で接続するためのファイアウォール設定を行います。これも、参考情報に記載のサイトを参考に設定を行います。

EdgeRouter X の GUI に管理者アカウントでログインし、ファイアウォール設定を行います。
左側のメニューからFirewall/NATのアイコンをクリックします。

Firewall/NAT

Firewall Policies タブ -> WAN_LOCALActions -> Edit Rulesetをクリックします。

Edit Ruleset

Add New Ruleをクリックします。(このスクリーンショットは、このあと追加するルールが追加済みの状態です。)

Ruleset Configurations for WAN_LOCAL

Basicタブをクリックします。Descriptionに任意の名前を入力します。ここではAllow L2TPとします。ActionAcceptを選択、ProtocolUDPを選択します。

L2TP設定のBasicタブ

そのままDestinationタブをクリックします。Port500,1701,4500を入力します。最後にSaveをクリックします。

L2TP設定のDestinationタブ

続いて、Add New Ruleをクリックします。

Ruleset Configurations for WAN_LOCAL

Basicタブをクリックします。Descriptionに任意の名前を入力します。ここではAllow ESPとします。ActionAcceptを選択、ProtocolChoose a protocol by nameを選択、セレクトボックスからespを選択します。最後にSaveをクリックします。

ESP設定のBasicタブ

追加した2つのルールを、元からある Allow established/related と Drop invalid state の間に移動します。それぞれのルールにマウスカーソルを乗せてドラッグ&ドロップで移動できます。

Ruleset Configurations for WAN_LOCAL

Windows 11 で VPN クライアントを設定する

Windows 11 の言語設定を英語にしているため、メニューやボタンの表記が英語となっています。画面構成やボタンの位置などは日本語版と同じなので、適宜読み替えてください。

設定アプリからNetwork & Internet -> VPN -> Add VPNをクリックします。

Network&Internet設定

VPN接続の追加

以下の表を参考に各項目を入力・選択します。

項目
VPN Type L2TP/IPsec with pre-shared key
Type of sign-in info Username and password
Connection name 任意の名前
Server name or address DDNS で設定した FQDN
Pre-shared key L2TP / IPsec の設定で指定した YOUR_SECRET
Username L2TP / IPsec の設定で指定した YOUR_USERNAME
Password L2TP / IPsec の設定で指定した YOUR_PASSWORD

Add a VPN connection

作成した VPN 接続設定にあるAdvanced optionsをクリックします。

Advanced options

More VPN propertiesEditをクリックします。

More VPN properties

Securityタブをクリックし、Allow these protocolsをクリックしMicrosoft CHAP Version2(MS-CHAP v2)をチェックします。

Securityタブ

Networkingタブをクリックし、Internet Protocol Version 4 (TCP/IPv4)を選択し、Propertiesをクリックします。

Networkingタブ

GeneralタブのAdvancedをクリックします。

Generalタブ

IP SettingsタブのUse default gateway on remote networkをチェックを外します。

IP Settingsタブ

接続確認

Connectをクリックします。

接続確認

接続に成功すると、以下のように接続情報が表示されます。

接続成功

VPN 接続先にある NAS などのネットワーク機器に接続できれば、接続は成功です。インターネットへの接続は、EdgeRouter X の WAN 側を経由して行われます。ほかにも、VPN 接続元から EdgeRouter X の LAN 側の IP アドレスにアクセスすることで、VPN 接続先の状況を確認することが可能です。

まとめ

本記事では、EdgeRouter X にリモートアクセス VPN で接続する方法を紹介しました。

  • EdgeRouter X の L2TP / IPsec の設定
  • WAN 側インターフェイスのファイアウォール設定
  • Windows 11 の VPN クライアント設定

Windows 11 の VPN クライアント設定は、VPN プロパティにはいくつかの項目を設定する必要があり、直感的にわかりにくい箇所があるため、やや手間がかかりました。

EdgeRouter X の設定に関しては、EdgeRouter X がすごい のシリーズが参考になります。設定例が豊富に掲載されているため、ぜひ設定の参考にしてください。

EdgeRouter X で AWS Lambda + Route 53 の DDNS クライアントを動かす の内容と本記事の設定を行うことで、EdgeRouter X にリモートアクセス VPN で接続することができます。本記事がだれかの参考になれば幸いです。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?