IX2215とVPNクライアントをL2TP/IPsecで接続してみる

IX2215

IX2215にL2TP/VPN(L2TP/IPsec)を設定してみた。今回Webコンソールを利用してちょっとはまった点があったのでメモしておく。

ネットワーク構成

ネットワーク構成は以下のようになっている。

ひかり電話のために以下のようにGigaEthernet2にport vlanの設定を行っている。

device GigaEthernet2
  vlan-group 1 port 1 2 3 4 5 6
  vlan-group 2 port 7
  vlan-group 3 port 8
!

vlan group 1が家庭内用のVLANでここにVPNトンネルを作成したい。

ちなみに、YAMAHAのNVRではVPNトンネルの数の制限がとても厳しいが、IX2215では個人では使いきれないくらいのVPNトンネルを使うことができる。

Webコンソールでの定義

VPN設定にはいろいろなプロファイル設定が必要なのだがWebコンソールを利用するとかなりの手間が省ける。Webコンソールではどのような定義が生成されるのかよくわからないのであまり使いたくないのだが、今回はこれを利用してL2TP/IPsecの定義を行った。

生成された定義

Webコンソールを利用して生成された定義の一部が下のものである。

interface GigaEthernet2.0
  no ip address
  ip proxy-arp
  shutdown
!
interface Tunnel124.0
  description L2TP_#1
  ppp binding web-ppp-l2tp
  tunnel mode l2tp-lns ipsec
  ip unnumbered GigaEthernet2.0
  ip tcp adjust-mss auto
  ipsec policy transport web_l2tp_secpolicy
  no shutdown
!
interface Tunnel125.0
  description L2TP_#2
  ppp binding web-ppp-l2tp
  tunnel mode l2tp-lns ipsec
  ip unnumbered GigaEthernet2.0
  ip tcp adjust-mss auto
  ipsec policy transport web_l2tp_secpolicy
  no shutdown
!
interface Tunnel126.0
  description L2TP_#3
  ppp binding web-ppp-l2tp
  tunnel mode l2tp-lns ipsec
  ip unnumbered GigaEthernet2.0
  ip tcp adjust-mss auto
  ipsec policy transport web_l2tp_secpolicy
  no shutdown
!

これがすんなり利用できればいいのだけれども、このままVPNクライアントから接続するとVPNトンネルが確立したようにみえて全然通信できなくてしばらく悩んでしまった。

生成された定義の問題点

ネットワーク構成のところで説明したが、この機器ではGE2.0を分割して利用している。上記の定義ではGE2.0ではなく分割後のインタフェース名(GigaEthernet2:1.0)を指定しないといけない。しかしWebコンソールのVPN設定画面ではそこまで考慮していなくてGigaEthernet2.0決め打ちになっている。利用するインタフェースをプルダウンメニューで選択させることってそんなに難しいことではないと思うのだが?

定義の修正

以下のようにインタフェースGigaEthernet2:1.0にip proxy-arp設定を行い、Tunnelにはip unnumbered に指定するインタフェースをGigaEthernet2:1.0に変更すればよい。

これで、VPNクライアントからも通信できるようになった。

interface GigaEthernet2:1.0
  (省略)
  ip proxy-arp
  no shutdown
!
interface Tunnel124.0
  description L2TP_#1
  ppp binding web-ppp-l2tp
  tunnel mode l2tp-lns ipsec
  ip unnumbered GigaEthernet2:1.0
  ip tcp adjust-mss auto
  ipsec policy transport web_l2tp_secpolicy
  no shutdown
!
interface Tunnel125.0
  description L2TP_#2
  ppp binding web-ppp-l2tp
  tunnel mode l2tp-lns ipsec
  ip unnumbered GigaEthernet2:1.0
  ip tcp adjust-mss auto
  ipsec policy transport web_l2tp_secpolicy
  no shutdown
!
interface Tunnel126.0
  description L2TP_#3
  ppp binding web-ppp-l2tp
  tunnel mode l2tp-lns ipsec
  ip unnumbered GigaEthernet2:1.0
  ip tcp adjust-mss auto
  ipsec policy transport web_l2tp_secpolicy
  no shutdown
!

なおshutdownされているので残しておいても問題ないと思うが、interface GigaEthernet2.0のip proxy-arpの設定は削除しておいた。

Windowsでの問題点

上記の定義を行ったところ、iphoneからはVPN通信が可能となったが、Windows11ではVPN接続が確立できなかった。こちらの原因はWindows側での設定不足だったようだ。
「設定」→「ネットワークとインターネット」→「ネットワークの詳細設定」→「ネットワークアダプターオプションの詳細」→「当該VPN設定」→「セキュリティ」タブ画面で、以下のように「次のプロトコルを許可する」→「チャレンジハンドシェイク認証プロトコル」にチェック→「OK」クリックを実施することによりVPN通信ができるようになった。

#しかしこれせっかく場所覚えてもまた変わるんだよな。

コメント

タイトルとURLをコピーしました