IX2215 に L2TP/VPN(L2TP/IPsec)を設定してみた。今回 Web コンソールを利用してちょっとはまった点があったのでメモしておく。
ネットワーク構成
ネットワーク構成は以下のようになっている。
ひかり電話のために以下のように GigaEthernet2 に port vlan の設定を行っている。
device GigaEthernet2
vlan-group 1 port 1 2 3 4 5 6
vlan-group 2 port 7
vlan-group 3 port 8
!vlan group 1 が家庭内用の VLAN でここに VPN トンネルを作成したい。
ちなみに、YAMAHA の NVR では VPN トンネルの数の制限がとても厳しいが、IX2215 では個人では使いきれないくらいの VPN トンネルを使うことができる。
Web コンソールでの定義
VPN 設定にはいろいろなプロファイル設定が必要なのだが Web コンソールを利用するとかなりの手間が省ける。Web コンソールではどのような定義が生成されるのかよくわからないのであまり使いたくないのだが、今回はこれを利用して L2TP/IPsec の定義を行った。
生成された定義
Web コンソールを利用して生成された定義の一部が下のものである。
interface GigaEthernet2.0
no ip address
ip proxy-arp
shutdown
!
interface Tunnel124.0
description L2TP_#1
ppp binding web-ppp-l2tp
tunnel mode l2tp-lns ipsec
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ipsec policy transport web_l2tp_secpolicy
no shutdown
!
interface Tunnel125.0
description L2TP_#2
ppp binding web-ppp-l2tp
tunnel mode l2tp-lns ipsec
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ipsec policy transport web_l2tp_secpolicy
no shutdown
!
interface Tunnel126.0
description L2TP_#3
ppp binding web-ppp-l2tp
tunnel mode l2tp-lns ipsec
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ipsec policy transport web_l2tp_secpolicy
no shutdown
!これがすんなり利用できればいいのだけれども、このまま VPN クライアントから接続すると VPN トンネルが確立したようにみえて全然通信できなくてしばらく悩んでしまった。
生成された定義の問題点
ネットワーク構成のところで説明したが、この機器では GE2.0 を分割して利用している。上記の定義では GE2.0 ではなく分割後のインタフェース名(GigaEthernet2:1.0)を指定しないといけない。しかし Web コンソールの VPN 設定画面ではそこまで考慮していなくて GigaEthernet2.0 決め打ちになっている。利用するインタフェースをプルダウンメニューで選択させることってそんなに難しいことではないと思うのだが?
定義の修正
以下のようにインタフェース GigaEthernet2:1.0 に ip proxy-arp 設定を行い、Tunnel には ip unnumbered に指定するインタフェースを GigaEthernet2:1.0 に変更すればよい。
これで、VPN クライアントからも通信できるようになった。
interface GigaEthernet2:1.0
(省略)
ip proxy-arp
no shutdown
!
interface Tunnel124.0
description L2TP_#1
ppp binding web-ppp-l2tp
tunnel mode l2tp-lns ipsec
ip unnumbered GigaEthernet2:1.0
ip tcp adjust-mss auto
ipsec policy transport web_l2tp_secpolicy
no shutdown
!
interface Tunnel125.0
description L2TP_#2
ppp binding web-ppp-l2tp
tunnel mode l2tp-lns ipsec
ip unnumbered GigaEthernet2:1.0
ip tcp adjust-mss auto
ipsec policy transport web_l2tp_secpolicy
no shutdown
!
interface Tunnel126.0
description L2TP_#3
ppp binding web-ppp-l2tp
tunnel mode l2tp-lns ipsec
ip unnumbered GigaEthernet2:1.0
ip tcp adjust-mss auto
ipsec policy transport web_l2tp_secpolicy
no shutdown
!なお shutdown されているので残しておいても問題ないと思うが、interface GigaEthernet2.0 の ip proxy-arp の設定は削除しておいた。
Windows での問題点
上記の定義を行ったところ、iphone からは VPN 通信が可能となったが、Windows11 では VPN 接続が確立できなかった。こちらの原因は Windows 側での設定不足だったようだ。
「設定」→「ネットワークとインターネット」→「ネットワークの詳細設定」→「ネットワークアダプターオプションの詳細」→「当該 VPN 設定」→「セキュリティ」タブ画面で、以下のように「次のプロトコルを許可する」→「チャレンジハンドシェイク認証プロトコル」にチェック→「OK」クリックを実施することにより VPN 通信ができるようになった。
#しかしこれせっかく場所覚えてもまた変わるんだよな。
コメント