最初に
Android端末ではAndroidのバージョン12以降から、VPNの L2TP/IPsec 接続方式ができなくなった為、ヤマハルーターRTX1300 で IKEv2/IPSec 接続できるように対応を行いました。
備忘録として残しておきます。
IKEv2/IPSecとは
IKEv2/IPSecは、VPNを構築するためのセキュリティプロトコルの組み合わせです。
IKEv2は、VPN接続時の鍵交換と認証を担当し、IPSecはデータの暗号化と保護を担当します。
この組み合わせにより、VPN接続の安全性と安定性が向上します。
IKEv2/IPSecの特徴
- 高速で安定した接続
・IKEv2は、ネットワークの切断後も自動的に再接続する機能を持っており、モバイル環境に適しています。 - 強固なセキュリティ
・IPSecを利用することで、データの暗号化と認証を行い、安全な通信を確保します。 - 幅広いデバイス対応
・Windows、macOS、iOS、Androidなど、多くのOSでサポートされています。
ルーター設定
IKEv2/IPSec の設定はGUIからは行えない為、 「コマンドの実行」 から設定をしていきます。
【トンネルの設定例】
gateway_id(セキュリティゲートウェイの識別子): 99
pool_id(アドレスプール ID): 1
tunnel select 99
description tunnel トンネル名
tunnel encapsulation ipsec
ipsec tunnel 99
ipsec sa policy 99 99 esp
ipsec ike version 99 2
ipsec ike keepalive log 99 off
ipsec ike keepalive use 99 on rfc4306 10 3
ipsec ike local name 99 (ルータのグローバルIPアドレス) ipv4-addr
ipsec ike pre-shared-key 99 text (IPsec事前共有鍵)
ipsec ike remote name 99 (ユーザー名) fqdn
ipsec ike mode-cfg address 99 1
ipsec auto refresh 99 off
tunnel enable 99
ipsec ike mode-cfg address pool 1 192.168.100.101-192.168.100.200
- IPsec事前共有鍵 ⇒ 任意の文字列
- ユーザー名 ⇒ 任意の文字列
- IKEv2クライアントへ配布するアドレス ⇒ 192.168.100.101-192.168.100.200
- IKEv2キープアライブの方式 ⇒ RFC4306(IKEv2 標準) 、ICMP Echo の2種類から選ぶことができる。第1書式は自動的にRFC4306方式となる
- キープアライブパケットの送信間隔秒数 ⇒ 10
- キープアライブパケットが届かないときに障害とみなすまでの試行回数 ⇒ 3
公式サイト記載の重要事項
【重要】
・IKEv2リモートアクセスVPN接続では、ipsec auto refresh GATEWAY_ID off を設定してください。
・ipsec auto refresh on を設定した状態で、ipsec auto refresh GATEWAY_ID off を設定しても、
設定したトンネルのみ refresh sa されなくなるため問題なく使用可能です。
・端末のモバイル回線やWi-Fiが不慮に切断されたとき、
ルーター側でセッションが残ってしまい次の接続をすぐ受けることができなくなります。
対策としてルーター側で早期に切断を検知できるよう、
TUNNELに対してキープアライブを有効にすることを薦めます。
クライアント側設定
| 名前 | 任意の名前 |
|---|---|
| タイプ | IKEv2/IPsec PSK |
| サーバーアドレス | 接続先のホスト名もしくはIPアドレス(ルータのグローバルIPアドレス) |
| IPSec ID | ルーターに設定した「ユーザー名」(任意の文字列) |
| IPsecの事前共有鍵 | ルーターに設定した「IPsec事前共有鍵」(任意の文字列) |
まとめ
IKEv2/IPSec接続方式は、pptp接続やL2TP/IPsec接続と比べて、セキュリティ面でより安全性が高い事や、利用してみた体感として速度も速くなっている印象を受けました。
これを機に積極的にIKEv2/IPSec接続方式を利用していくのが良いかと思います。
最後まで読んで頂きありがとうございました。
参考