IX2215とVPNクライアントをL2TP/IPsecで接続してみる

IX2215
2023.03.05

IX2215にL2TP/VPN(L2TP/IPsec)を設定してみた.今回Webコンソールを利用してちょっとはまった点があったのでメモしておく.

Webコンソールでの定義の問題点

生成された定義

Webコンソールを利用してL2TP/IPsecの定義を行った.VPN設定にはいろいろなプロファイル設定が必要なのだがWebコンソールを利用するとかなりの手間が省ける.そこで生成された定義の一部が下のものである.

interface GigaEthernet2.0
  no ip address
  ip proxy-arp
  shutdown
!
interface Tunnel124.0
  description L2TP_#1
  ppp binding web-ppp-l2tp
  tunnel mode l2tp-lns ipsec
  ip unnumbered GigaEthernet2.0
  ip tcp adjust-mss auto
  ipsec policy transport web_l2tp_secpolicy
  no shutdown
!
interface Tunnel125.0
  description L2TP_#2
  ppp binding web-ppp-l2tp
  tunnel mode l2tp-lns ipsec
  ip unnumbered GigaEthernet2.0
  ip tcp adjust-mss auto
  ipsec policy transport web_l2tp_secpolicy
  no shutdown
!
interface Tunnel126.0
  description L2TP_#3
  ppp binding web-ppp-l2tp
  tunnel mode l2tp-lns ipsec
  ip unnumbered GigaEthernet2.0
  ip tcp adjust-mss auto
  ipsec policy transport web_l2tp_secpolicy
  no shutdown
!

なにが問題なのか(問題点その1)

この機器ではGE2.0を分割して利用している.なのでここではもとのインタフェース名か分割後のインタフェース名を指定できないといけない.WebコンソールのVPN設定画面ではそこまで考慮していなくてGigaEthernet2.0決め打ちになっている.利用するインタフェースを画面をプルダウンで選択させることってそんなに難しいことではないと思うのだが?

このままVPNクライアントから接続するとVPNをはれるのだが,全然通信できなくてしばらく悩んでしまった.

定義の修正

以下のようにインタフェースGigaEthernet2:1.0にip proxy-arp設定を行い,Tunnelにはip unnumbered に指定するインタフェースをGigaEthernet2:1.0に変更すればよい.

これで,VPNクライアントからも通信できるようになった.

interface GigaEthernet2:1.0
  (省略)
  ip proxy-arp
  no shutdown
!
interface Tunnel124.0
  description L2TP_#1
  ppp binding web-ppp-l2tp
  tunnel mode l2tp-lns ipsec
  ip unnumbered GigaEthernet2:1.0
  ip tcp adjust-mss auto
  ipsec policy transport web_l2tp_secpolicy
  no shutdown
!
interface Tunnel125.0
  description L2TP_#2
  ppp binding web-ppp-l2tp
  tunnel mode l2tp-lns ipsec
  ip unnumbered GigaEthernet2:1.0
  ip tcp adjust-mss auto
  ipsec policy transport web_l2tp_secpolicy
  no shutdown
!
interface Tunnel126.0
  description L2TP_#3
  ppp binding web-ppp-l2tp
  tunnel mode l2tp-lns ipsec
  ip unnumbered GigaEthernet2:1.0
  ip tcp adjust-mss auto
  ipsec policy transport web_l2tp_secpolicy
  no shutdown
!

なお,shutdownされているので残しておいても問題ないと思うが,interface GigaEthernet2.0のip proxy-arpの設定は削除しておいた.

Windowsでの問題(問題点その2)

上記の定義を行ったところ,iphoneからはVPN通信が可能となったが,Windows11ではVPN接続が確立できなかった.こちらの原因はWindows側での設定不足だったようだ.「設定」→「ネットワークとインターネット」→「ネットワークの詳細設定」→「ネットワークアダプターオプションの詳細」→「当該VPN設定」→「セキュリティ」タブ画面で,以下のように「次のプロトコルを許可する」→「チャレンジハンドシェイク認証プロトコル」にチェック→「OK」クリックを実施することによりVPN通信ができるようになった.

コメント

タイトルとURLをコピーしました