L2TP/IPsec
$Date: 2015/05/15 07:31:41 $
L2TP (Layer Two Tunneling Protocol) は、ネットワーク間でのVPN (Virtual Private Network) 接続を実現するトンネリングプロトコルです。L2TP自体は暗号化の仕組みを持ちませんが、IPsecを併用することでデータの機密性や完全性を確保したVPN接続を実現するL2TP/IPsecがあります。
ヤマハルーターは、L2TP/IPsecを用いたリモートアクセスVPNのサーバーとして動作します。スマートフォンなどに搭載されているL2TPクライアントからインターネット越しにヤマハルーター配下のプライベートネットワーク内の端末とのセキュアな通信を可能にします。
ヤマハルーターでサポートするL2TP/IPsecには以下の制限があります。
- L2TP単体での機能は提供しません。L2TP/IPsecのみサポートします。
- リモートアクセスVPNのサーバーとして動作します。クライアントとしては動作しません。
- LAN間接続VPNには対応していません。
- L2TPパケットの最初の待ち受けはUDPのポート番号1701が使用されます。変更することはできません。
- IKEv1にのみ対応しており、IKEv2は使用できません。
- 複数のL2TPクライアントから接続を受け付ける場合には、IPsec事前共有鍵が統一されている必要があります。
ただし、ヤマハVPNクライアント YMS-VPN8 (ソフトウェアライセンス版)のための設定は除きます。
- グローバルIPアドレスが付与されない3G網からでもL2TP/IPsec接続を利用することができます。(NATトラバーサルを用いたL2TP/IPsec接続に対応)
対応リビジョンについては 対応機種とファームウェアリビジョン を参照してください。
NATトラバーサルについては 関連技術資料 に記載されているドキュメントを参照してください。
- L2TP/IPsecのanonymous接続とPPTPのanonymous接続を併用することができます。
対応リビジョンについては 対応機種とファームウェアリビジョン を参照してください。
- L2TP/IPsecによって確立したL2TPトンネルを経由するパケットはファストパスで処理されます。
ただし、以下の条件に合致するパケットはノーマルパスで処理されます。
- フラグメントされているパケット
- フラグメントする必要があるパケット
- PPインタフェースでCCPによる圧縮をする必要があるパケット
- PPインタフェースでVJC(Van Jacobson圧縮)をする必要があるパケット
対応リビジョンについては 対応機種とファームウェアリビジョン を参照してください。
- L2TP/IPsec接続のPPP認証では、PAPまたはCHAPを用いたRADIUS認証を利用することができます。
ただし、PPTP接続でのRADIUS認証は動作保証外であるため、L2TP/IPsecのanonymous接続とPPTPのanonymous接続を併用する場合のRADIUS認証は動作保証外となります。
RADIUSに関連した設定等については 関連技術資料 に記載されているドキュメントを参照してください。
【L2TP/IPsecを用いたリモートアクセスVPN接続】
ヤマハルーターでは以下の機種およびファームウェアで、L2TP/IPsecをサポートしています。
リビジョンによって対応している項目が異なります。対応項目は以下のようになります
| 機種 |
ファームウェア |
VPN設定可能最大数
および
接続可能最大数(※) |
NATトラバーサルを
用いた
L2TP/IPsec接続 |
ファストパス対応 |
PPTPとの
anonymous接続併用 |
トンネルテンプレート対応 |
| RTX1210 |
Rev.14.01.05 以降 |
100 |
○ |
○ |
○ |
○ |
| RTX5000 |
Rev.14.00.08 |
3000 |
○ |
○ |
PPTP非対応 |
× |
| Rev.14.00.12 以降 |
○ |
○ |
PPTP非対応 |
○ |
| RTX3500 |
Rev.14.00.08 |
1000 |
○ |
○ |
PPTP非対応 |
× |
| Rev.14.00.12 以降 |
○ |
○ |
PPTP非対応 |
○ |
| FWX120 |
Rev.11.03.02 |
30 |
○ |
○ |
○ |
× |
| Rev.11.03.08 以降 |
○ |
○ |
○ |
○ |
| RTX810 |
Rev.11.01.04 |
6 |
× |
× |
× |
× |
| Rev.11.01.06 以降 |
○ |
○ |
○ |
× |
| Rev.11.01.21 以降 |
○ |
○ |
○ |
○ |
| RTX1200 |
Rev.10.01.32
Rev.10.01.34 |
100 |
× |
× |
× |
× |
| Rev.10.01.36 以降 |
○ |
○ |
○ |
× |
| Rev.10.01.59 以降 |
○ |
○ |
○ |
○ |
| SRT100 |
Rev.10.00.60 |
10 |
× |
× |
PPTP非対応 |
× |
| Rev.10.00.61 以降 |
○ |
○ |
PPTP非対応 |
× |
| RTX3000 |
Rev.9.00.60 以降 |
1000 |
○ |
× |
PPTP非対応 |
○ |
| RTX1500 |
Rev.8.03.92 以降 |
100 |
○ |
× |
○ |
× |
| RTX1100 |
30 |
○ |
× |
○ |
× |
| RT107e |
6 |
○ |
× |
PPTP非対応 |
× |
※IPsecによるVPN設定とPPTPによるVPN設定とL2TP/IPsecによるVPN設定を併用する場合はその合計数になります。
- LAC (L2TP Access Concentrator)
- L2TPトンネルの端点であり、L2TP/IPsecコネクションの開始を要求する端末。L2TPクライアントがこれに該当します。
- LNS (L2TP Network Server)
- L2TPトンネルのLACに対峙する端点であり、L2TP/IPsecコネクションの開始要求を受け付ける端末。リモートアクセスVPNにおいてヤマハルーターがこの役割となります。
- ZLB (Zero-Length Body) メッセージ
- L2TPヘッダのみで構成されたL2TPの制御メッセージ。L2TPの制御メッセージに対する確認応答として用いられます。
- L2TP
L2TPは、PPPフレームをUDPでカプセル化することによってIPネットワーク上での交換を可能にしており、LACとLNSの2拠点間でのVPNを実現させるプロトコルです。L2TPコネクションの待ち受けにはUDPの1701番ポートが使用されます。
- L2TPトンネルの確立
L2TPトンネルの確立には、コネクション制御メッセージおよびセッション制御メッセージが用いられます。L2TPでは1つのトンネルに対して複数のセッションを張ることができます。新規でL2TP/IPsecによるVPNが構築される場合には、コネクション制御メッセージによってトンネルが作られたあとにセッション制御メッセージによってセッションが確立されます。
【コネクション制御メッセージ】
- SCCRQ (Start-Control-Connection-Request)
- SCCRP (Start-Control-Connection-Reply)
- SCCCN (Start-Control-Connection-Connected)
- StopCCN (Stop-Control-Connection-Notification)
【セッション制御メッセージ】
- OCRQ (Outgoing-Call-Request)
- OCRP (Outgoing-Call-Reply)
- OCCN (Outgoing-Call-Connected)
- ICRQ (Incoming-Call-Request)
- ICRP (Incoming-Call-Reply)
- ICCN (Incoming-Call-Connected)
- CDN (Call-Disconnect-Notify)
【キープアライブメッセージ】
【エラーレポートメッセージ】
- L2TPトンネルの確立から切断までのシーケンス
- AVPs (Attribute Value Pairs) の各種パラメータ値
SCCRQやICRQといったL2TP制御メッセージには、メッセージのタイプやプロトコルバージョンなど接続相手に通知するパラメータ値をペイロードに含んでいます。これらの各種パラメータ値を属性とパラメータ値の組みで繋げて一連のメッセージにしたものがAVPsとなります。さらに属性とパラメータ値の1組がAVPとなります。
L2TPの制御メッセージ
+--------+----------------------------------------------------+
| | ペイロード |
| L2TP | +------+------------+------+------------+--------+ |
| ヘッダ | | 属性 | パラメータ | 属性 | パラメータ |・・・・・ | |
| | +------+------------+------+------------+--------+ |
| | <====== AVP ========> |
| | <==================== AVPs ======================> |
+--------+----------------------------------------------------+
AVPの属性には以下のものがあります。
※すべてのAVPが制御メッセージに含まれるわけではありません。
| 属性番号 | 属性名 | |
属性番号 |
属性名 |
|---|
| 0 | Message Type | |
20 | - |
| 1 | Result Code | |
21 | Called Number |
| 2 | Protocol Version | |
22 | Calling Number |
| 3 | Framing Capability | |
23 | Sub-Address |
| 4 | Bearer Capability | |
24 | Tx Connect Speed |
| 5 | Tie Breaker | |
25 | Physical Channel ID |
| 6 | Firmware Revision | |
26 | Initial Received LCP CONFREQ |
| 7 | Hostname | |
27 | Last Sent LCP CONFREQ |
| 8 | Vendor Name | |
28 | Last Received LCP CONFREQ |
| 9 | Assigned Tunnel ID | |
29 | Proxy Authen Type |
| 10 | Receive Window Size | |
30 | Proxy Authen Name |
| 11 | Challenge | |
31 | Proxy Authen Challenge |
| 12 | Q.931 Cause Code | |
32 | Proxy Authen ID |
| 13 | Challenge Response | |
33 | Proxy Authen Response |
| 14 | Assigned Session ID | |
34 | Call Errors |
| 15 | Call Serial Number | |
35 | ACCM |
| 16 | Minimum BPS | |
36 | Random Vector |
| 17 | Maximum BPS | |
37 | Private Group ID |
| 18 | Bearer Type | |
38 | Rx Connect Speed |
| 19 | Framing Type | |
39 | Sequencing Required |
- AVPのパラメータ値の暗号化
L2TPには、L2TPパケット全体を暗号化する仕組みはありませんが、各AVPのパラメータ値を暗号化させる仕組みが取り入れられています。AVPパラメータ値の暗号化には、属性番号36のRandom Vector AVPで通知されるRandom Vectorおよびその属性番号(36)と、LACとLNSで事前に共有するパスフレーズの3つを用いたMD5ハッシュ関数で導出される共有鍵を使用します。そのため、Random Vector AVPはAVPsの中で暗号化して通知したいAVPよりも前に配置されます。
L2TPの制御メッセージ(AVPが暗号化される場合)
+--------+--------------------------------------------------------------------------+
| | ペイロード |
| L2TP | +---+-------------+----+--------------+------+-------------------------+ |
| ヘッダ | | 0 | MessageType | 36 | RandomVector | 属性 |暗号化されたパラメータ値 | |
| | +---+-------------+----+--------------+------+-------------------------+ |
+--------+--------------------------------------------------------------------------+
AVPにはAVPヘッダが付加されており、属性番号やパラメータ値の長さ、パラメータ値が暗号化されているかどうかなどの情報がAVPヘッダに含まれています。AVPヘッダを参照してそのAVPが暗号化されている場合には、Random Vector AVPのパラメータ値を用いて生成された共有鍵で復号化が行われます。
L2TP/IPsecでは、IPsecによってパケット全体が暗号化されるために基本的にAVPを暗号化する必要がありません。
そのため、ヤマハルーターではAVPの暗号化には対応していません。
- L2TPトンネル認証
L2TPでは、コネクション制御メッセージを用いてCHAP認証に似たL2TPトンネル認証を行う仕組みがあります。L2TP認証を行いたいLACまたはLNSは、チャレンジ(ランダムな数値列)を生成し、SCCRQまたはSCCRPにChallenge AVPとして付加します。Challenge AVPを受信した接続相手は、LACとLNSで事前に共有してあるパスワードとチャレンジからレスポンスを作成し、それをChallenge Response AVPとして相手に送ります。Challenge Response AVPを受信した場合には、チャレンジと自身のパスワードから生成したレスポンスと相手から送られてきたレスポンスを比較することで認証を行います。
ヤマハルーターでは、l2tp tunnel authコマンドによってパスワードを設定することができます。
※L2TPトンネル認証は、現時点でAndroid端末のみ対応しています。設定については こちら を参照してください。
※l2tp tunnel authコマンドを設定する場合には同じパスワードをL2TPクライアントに設定してください。
- L2TPで使用するポート番号
L2TPでは、LNSの待ち受けポート番号として1701番が使用されます。
LACおよびLNSでは、L2TPトンネルの確立から切断までを通して1701番が使用される場合もありますが、LACが送信するSCCRQの送信元ポート番号(XXXX)およびLNSが送信するSCCRPの送信元ポート番号(YYYY)は任意のポート番号が使用されることもあります。SCCRQおよびSCCRPで使用されたポート番号はL2TPトンネルの確立から切断までの間は固定して使用されます。
ヤマハルーターでは、SCCRP以降の送信元ポート番号(YYYY)として1701番が使用されます。変更することはできません。
+-----+PORT:XXXX SCCRQ PORT:1701+-----+
| |---------------------------------------->| |
| |PORT:XXXX SCCRP PORT:YYYY| |
| |<----------------------------------------| |
| |PORT:XXXX ・・・ PORT:YYYY| |
| LAC |---------------------------------------->| LNS |
| |PORT:XXXX StopCCN PORT:YYYY| |
| |---------------------------------------->| |
| |PORT:XXXX ZLB PORT:YYYY| |
| |<----------------------------------------| |
+-----+ +-----+
- L2TP/IPsec
L2TP/IPsecは、パケット全体の暗号化の仕組みを持たないL2TPにおいてIPsecを併用させることで、データの機密性や完全性を確保したVPNを実現します。
- L2TP/IPsecの確立
L2TP/IPsecでは、最初にLACとLNSの間でIPsecによるコネクションを確立します。その後、L2TP制御メッセージおよびL2TPデータパケットは、IPsecで暗号化された状態で送受信されます。トンネリング自体はIPsecではなくてL2TPで行うために、IPsecはトンネルモードではなくてトランスポートモードが使用されます。
+-----+ IPsecコネクション の確立 +-----+
| |<--------------------------------------->| |
| | ESP(L2TP制御メッセージ) | |
| LAC |<--------------------------------------->| LNS |
| | ESP(L2TPデータパケット) | |
| |<--------------------------------------->| |
| | ・・・ | |
| |<--------------------------------------->| |
+-----+ +-----+
トランスポートモードのESPで暗号化されたL2TP制御メッセージ
+--------+--------+--------+--------+------------+----------+------------+
| IP | ESP | UDP | L2TP | L2TP制御 | ESP | ESP |
| ヘッダ | ヘッダ | ヘッダ | ヘッダ | メッセージ | トレーラ | 認証データ |
+--------+--------+--------+--------+------------+----------+------------+
<=========================================>
暗号化される範囲
トランスポートモードのESPで暗号化されたL2TPデータパケット
+--------+--------+--------+--------+--------+--------+------------+----------+------------+
| IP | ESP | UDP | L2TP | PPP | IP | ペイロード | ESP | ESP |
| ヘッダ | ヘッダ | ヘッダ | ヘッダ | ヘッダ | ヘッダ | | トレーラ | 認証データ |
+--------+--------+--------+--------+--------+--------+------------+----------+------------+
<===========================================================>
暗号化される範囲
L2TP制御メッセージおよびL2TPデータパケットはESPパケットとして受信するため、ヤマハルーターのインターネット接続しているインタフェースにNATが設定されている場合でも、静的IPマスカレードでESPのポート番号を自身のIPアドレスに割り当てておけば、L2TPで使用するポート番号(1701など)を静的IPマスカレードで自身のIPアドレスに割り当てる必要はありません。ただし、L2TPパケットを送信する場合にはトランスポートモードのESPで暗号化する必要があるため、L2TPで使用するポート番号をトランスポートモードで処理する設定を追加する必要があります。
- IPsecのキープアライブとL2TPのキープアライブ
L2TPでは、コネクション制御メッセージの1つであるHelloメッセージを用いたキープアライブの仕組みがあります。IPsecのキープアライブとは独立しています。ヤマハルーターでは、L2TPキープアライブによってダウンが検出された場合には、StopCCNメッセージによるL2TPコネクションの切断処理を行った後で、該当するIPsec SAおよびISAKMP SAを削除します。3G回線を用いた接続では、電波状態などの理由でL2TPキープアライブとその応答がロスする可能性があります。環境に応じて適宜インターバル値とカウント値を設定してください。
IPsecのキープアライブは、初期値としてヤマハルーターの独自仕様である heartbeat を使用します。スマートフォンなどに搭載されたL2TPクライアントでは heartbeat に対応していないため、L2TPクライアントで対応可能なキープアライブを設定する必要があります。IPsecのキープアライブに対応していないL2TPクライアントに対してはIPsecキープアライブを使用しないようにしてください。
L2TP/IPsecのクライアントには、画面が消灯した場合や自動ロックがかかった場合に、L2TPキープアライブに対する応答を返さないものがあります。クライアントの設定を変更するなどして使用環境に応じて対処してください。
Android 4系の一部のOSでは、切断時にルーターに対して切断メッセージを送信しないものがあります。そのため、ルーター側でセッションが残ってしまい、次の接続をすぐに受けることができなくなります。対策として、ルーター側で早期に切断を検知できるようL2TPキープアライブを有効にすることを薦めます。
- IPsec SAおよびISAKMP SAとL2TPコネクションの関係
L2TP/IPsecのクライアントには、L2TPコネクションを切断する場合にIPsecの切断を通知しないものがあります。このような場合にはルーター側のIPsec SAおよびISAKMP SAが削除されないまま残ってしまうため、SAが寿命によって削除されるまで再度L2TP/IPsec接続することができなくなります。対策としてヤマハルーターでは、L2TPコネクションが切断された場合に、L2TPコネクションが確立していたトンネルインタフェースのIPsec SAおよびISAKMP SAが削除されます。また、IPsecの切断によってIPsec SAおよびISAKMP SAが削除された場合に、IPsecが確立していたトンネルインタフェースのL2TPコネクションが切断されます。
- L2TP/IPsecのMTU
L2TP/IPsecでは、L2TPトンネルを通して送信するIPパケットに対して、標準でIPヘッダ, ESPヘッダ, UDPヘッダ, L2TPヘッダ, PPPヘッダ, ESPトレーラ, ESP認証データが付加されます。これらのオーバーヘッドを考慮してMTUを設定する必要があります。考慮した設定を行わない場合は、パケットがフラグメントされることで通信障害やパフォーマンスの低下につながる可能性があります。
ヤマハルーターでは、トンネルインタフェースのMTUの初期値が1280byteに設定されてますが、トンネルインタフェースのMTUを変更せずにPPインタフェースのMTUを変更する方法を後述する設定例では用いています。L2TP/IPsecのPPP接続を行うPPインタフェースではMTUを以下の値に設定することを薦めます。
トンネルインタフェースのMTU - (UDPヘッダ長(8byte) + L2TPヘッダ長(12byte) + PPPヘッダ長(2byte))
トランスポートモードのESPで暗号化されたL2TPデータパケット
+--------+--------+--------+--------+--------+--------+------------+----------+------------+
| IP | ESP | UDP | L2TP | PPP | IP | ペイロード | ESP | ESP |
| ヘッダ | ヘッダ | ヘッダ | ヘッダ | ヘッダ | ヘッダ | | トレーラ | 認証データ |
+--------+--------+--------+--------+--------+--------+------------+----------+------------+
<=====================>
PPインタフェースのMTU
<================================================>
トンネルインタフェースのMTU
【新設コマンド】
- L2TP/IPsecを動作させるか否かの設定
- [書式]
- l2tp service SERVICE
- no l2tp service
- [設定値]
- SERVICE
- on ... L2TP/IPsecが有効
- off ... L2TP/IPsecが無効
- [説明]
- L2TP/IPsecを動作させるか否かを設定します。
L2TP/IPsecが有効になるとUDPのポート番号1701を開き、L2TPコネクションの接続を待ちます。
L2TP/IPsecが無効になるとUDPのポート番号1701を閉じ、接続中のL2TPコネクションはすべて切断されます。
- [初期値]
- off
- L2TPトンネル認証に関する設定
- [書式]
- l2tp tunnel auth SW [PASSWORD]
no l2tp tunnel auth
- [設定値]
- SW
- on ... L2TPトンネル認証を行う
- off ... L2TPトンネル認証を行わない
- PASSWORD ... L2TPトンネル認証に用いるパスワード(32文字以内)
- [説明]
- L2TPトンネル認証を行うか否かを設定します。
PASSWORDを省略した場合には機種名がパスワードとして使用されます。
※RTX1200の場合には "RTX1200" がパスワードとなります。大文字であることに注意してください。
- [初期値]
- off
- L2TPキープアライブを使用するか否かの設定
- [書式]
- l2tp keepalive use SW [INTERVAL [COUNT]]
no l2tp keepalive use
- [設定値]
- SW
- on ... L2TPキープアライブを使用する
- off ... L2TPキープアライブを使用しない
- INTERVAL ... キープアライブの送信インターバル (1 .. 600 秒)
- COUNT ... ダウン検出までのカウント (1 .. 50)
- [説明]
- L2TPのHelloメッセージによるキープアライブを設定します。
キープアライブを行う場合はINTERVALとCOUNTの設定値の応じてL2TPのHelloメッセージによるキープアライブが動作します。
トンネルインタフェースにのみ設定可能です。
- [初期値]
- SW ... on
- INTERVAL ... 10
- COUNT ... 6
- L2TPキープアライブのログ設定
- [書式]
- l2tp keepalive log SW
no l2tp keepalive log
- [設定値]
- SW
- on ... L2TPキープアライブをログに出力する
- off ... L2TPキープアライブをログに出力しない
- [説明]
- L2TPキープアライブのログを出力するか否かを設定します。
ログはすべて、debugレベルのSYSLOGに出力されます。
トンネルインタフェースにのみ設定可能です。
- [初期値]
- off
- L2TPトンネルの切断タイマの設定
- [書式]
- l2tp tunnel disconnect time TIME
no l2tp tunnel disconnect time
- [設定値]
- TIME
- 切断タイマ(1 .. 21474836 秒)
- off ... 切断タイマを設定しない
- [説明]
- L2TPトンネルの切断タイマを設定します。
選択されている L2TP トンネルに対して、データパケット無入力・無送信時に、タイムアウトにより L2TP トンネルを切断する時間を設定します。
L2TP制御メッセージ以外はすべてデータパケットとなるため、PPP キープアライブを使用する場合などは切断タイマによる L2TP トンネルの切断は行われない場合があります。
トンネルインタフェースにのみ設定可能です。
- [初期値]
- 60
- L2TPのSYSLOG出力設定
- [書式]
- l2tp syslog SW
no l2tp syslog
- [設定値]
- SW
- on ... L2TPのコネクション制御に関するログをSYSLOGに出力する
- off ... L2TPのコネクション制御に関するログをSYSLOGに出力しない
- [説明]
- L2TPのコネクション制御に関するログをSYSLOGに出力するか否かを設定する。
L2TPのキープアライブに関するログは出力されない。
ログはすべて、debugレベルのSYSLOGに出力されます。
トンネルインタフェースにのみ設定可能です。
- [初期値]
- off
- IPSecトランスポートモードのテンプレートの設定
- [書式]
- ipsec transport template ID1 ID2 [ID2 ...]
no ipsec transport template ID1 [ID2 ...]
- [設定値]
- ID1 ... 展開元のトランスポートID
- ID2 ... 展開先のトランスポートID、または間にハイフン(-)をはさんでトランスポートIDを範囲指定したもの
- [説明]
- 指定した ipsec transport コマンドの設定の展開先となるトランスポート ID を設定する。展開先のポリシー ID は展開先のトランスポート ID と同じ値が設定される。
展開先のトランスポート ID に対して既に設定が存在する場合、展開先の設定が優先される。
本コマンドによってVPN対地数まで ipsec transport コマンドの設定を展開することができる。
VPN対地数を超える範囲に展開することはできない。
- [設定例]
- 展開先の設定としてトランスポート ID とトランスポート ID の範囲を同時に記述することができる。
ipsec transport 1 1 udp 1701 *
ipsec transport template 1 10 20-30
以下の2つの設定は同じ内容を示している。
ipsec transport 1 1 udp 1701 *
ipsec transport template 1 2 10-12
ipsec transport 1 1 udp 1701 *
ipsec transport 2 2 udp 1701 *
ipsec transport 10 10 udp 1701 *
ipsec transport 11 11 udp 1701 *
ipsec transport 12 12 udp 1701 *
- [初期値]
- -
【仕様拡張コマンド】
- トンネルインタフェースの種別の設定
- [書式]
- tunnel encapsulation TYPE
no tunnel encapsulation
- [設定値]
- TYPE
- ipsec ... IPsecトンネル
- ipip ... IPv6 over IPv4 トンネル、IPv4 over IPv6 トンネル、IPv4 over IPv4 トンネルまたは IPv6 over IPv6 トンネル
- pptp ... PPTPトンネル
- l2tp ... L2TPトンネル
- ipudp ... IPUDPトンネル
- [説明]
- トンネルインタフェースの種別を設定します。
トンネリングとNATを併用する場合には tunnel endpoint addressコマンドにより始点IPアドレスを設定することが望ましい。
PPTP機能を実装していないモデルでは、pptpキーワードは使用できない。
L2TP/IPsec機能を実装していないモデルでは、l2tpキーワードは使用できない。
IPUDPトンネルは、NGN網を介したデータ通信時のみ使用できる。
- [初期値]
- ipsec
- トンネルテンプレートの設定
- [書式]
- tunnel template TUNNEL [TUNNEL ...]
no tunnel template [TUNNEL ...]
- [設定値]
- TUNNEL ... トンネルインタフェース番号、または間にハイフン(-)をはさんでトンネルインタフェース番号を範囲指定したもの
- [説明]
- tunnel selectコマンドにて選択されたトンネルインタフェースを展開元として、当該インタフェースに設定されているコマンドの展開先となるトンネルインタフェースを設定する。
展開元のトンネルインタフェースに設定することで、展開先のトンネルインタフェースにも適用されるコマンドは以下のとおりである。なお、末尾に (*1) または (*2) が付加されているコマンドについては [ノート] を参照のこと。
- ipsec tunnel
- ipsec sa policy
- ipsec ikeで始まるコマンドのうち、パラメータにセキュリティ・ゲートウェイの識別子をとるもの
- ipsec auto refresh (引数にセキュリティ・ゲートウェイの識別子を指定する場合)
- tunnel encapsulation (*1)
- tunnel ngn arrive permit (*1)
- tunnel ngn bandwidth (*1)
- tunnel ngn disconnect time (*1)
- tunnel ngn radius auth (*1)
- l2tpで始まるコマンド (*2)
- tunnel enable
上記コマンドのうち以下のコマンドについては、特定のパラメータの値が展開元のトンネルインタフェース番号に一致する場合のみ、コマンドが展開される。その場合、当該パラメータの値は展開先のトンネルインタフェース番号に置換される。
| コマンド |
パラメータ |
|---|
| ipsec tunnel |
ポリシーID |
| ipsec sa policy |
ポリシーID |
| ipsec ikeで始まるコマンド |
セキュリティ・ゲートウェイの識別子 |
| ipsec auto refresh |
セキュリティ・ゲートウェイの識別子 |
| tunnel enable |
トンネルインタフェース番号 |
ipsec sa policyコマンドでは、セキュリティ・ゲートウェイの識別子が展開先のトンネルインタフェース番号に置換される。
ipsec ike remote nameコマンドでは、相手側セキュリティ・ゲートウェイの名前の末尾に展開先のトンネルインタフェース番号が付加される。
展開元のトンネルインタフェースに設定されているコマンドと同じコマンドが、展開先のトンネルインタフェースに既に設定されている場合、展開先のトンネルインタフェースに設定されているコマンドが優先される。
コマンド展開後の、ルーターの動作時に参照される設定はshow config tunnelコマンドにexpandキーワードを指定することで確認できる。
- [ノート]
- トンネルインタフェースが選択されている時にのみ使用できる。
本コマンドはRev.8.03以降で使用可能である。なお、展開対象となるコマンドのうち、末尾に (*1) が付加されているコマンドについては、以下の機種、リビジョンで対応している。
| 機種 |
リビジョン |
|---|
| RTX5000, RTX3500 |
すべてのリビジョン |
| RTX3000 |
Rev.9.00.56以降 |
| RTX1210 |
すべてのリビジョン |
| RTX1200 |
Rev.10.01.42以降 |
| FWX120 |
すべてのリビジョン |
展開対象となるコマンドのうち、末尾に (*2) が付加されているコマンドについては、以下の機種、リビジョンで対応している。
| 機種 |
リビジョン |
|---|
| RTX5000, RTX3500 |
Rev.14.00.12以降 |
| RTX3000 |
Rev.9.00.60以降 |
| RTX1210 |
すべてのリビジョン |
| FWX120 |
Rev.11.03.08以降 |
- [設定例]
- 展開先のトンネルインタフェースとして、番号の指定と範囲の指定を同時に記述することができる。
tunnel select 1
tunnel template 8 10-20
tunnel select 2
tunnel template 100 200-300 400
以下の2つの設定は同じ内容を示している。
tunnel select 1
tunnel template 2
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike local address 1 192.168.0.1
ipsec ike pre-shared-key 1 text himitsu1
ipsec ike remote address 1 any
ipsec ike remote name 1 pc
tunnel enable 1
tunnel select 2
ipsec ike pre-shared-key 2 text himitsu2
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike local address 1 192.168.0.1
ipsec ike pre-shared-key 1 text himitsu1
ipsec ike remote address 1 any
ipsec ike remote name 1 pc
tunnel enable 1
tunnel select 2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac
ipsec ike encryption 2 aes-cbc
ipsec ike group 2 modp1024
ipsec ike local address 2 192.168.0.1
ipsec ike pre-shared-key 2 text himitsu2
ipsec ike remote address 2 any
ipsec ike remote name 2 pc2
tunnel enable 2
- [初期値]
- -
- L2TPの状態表示
- [書式]
- show status l2tp
- [説明]
- L2TPの状態を表示します。
【表示例】
# show status l2tp
------------------- L2TP INFORMATION -------------------
Number of control table using
Tunnel Control: 2, Session Control: 2 ... 全体のL2TPトンネル数とセッション数
TUNNEL[1] Information ... トンネル[1]の情報を表示
Tunnel State: established ... トンネルの状態
Version: L2TPv2 ... L2TPのバージョン
Local Tunnel ID: 10 ... 自分側のトンネルID
Remote Tunnel ID: 7 ... 相手側のトンネルID
Local IP Address: 192.168.100.1 ... 自分のIPアドレス
Remote IP Address: 203.0.113.2 ... 相手のIPアドレス
Local Src port: 1701 ... 自分の送信元ポート番号
Remote Src port: 1701 ... 相手の送信元ポート番号
PP Bind: ANONYMOUS[1] ... バインドされているPPインタフェース
Vendor: VENDOR ... 相手側のベンダー名
Hostname: HOST ... 相手側のホスト名
Next Transmit sequence(Ns): 2 ... 送信シーケンス番号
Next Receive sequence(Nr): 4 ... 受信シーケンス番号
Tunnel has 1 session. ... トンネルが保持するセッション数
Session Information ... トンネル[1]内のセッション情報
Session State: established ... セッションの状態
Local Session ID: 9 ... 自分側のセッションID
Remote Session ID: 1 ... 相手側のセッションID
30 seconds connection. ... 通信時間
Received: 31 packets [2450 octets] ... 受信パケット数および送信データ量
Transmitted: 15 packets [517 octets] ... 送信パケット数および送信データ量
TUNNEL[2] Information ... トンネル[2]の情報を表示
・・・
|
【関連コマンド】
- L2TP/IPsecのPPP接続状態表示
- [書式]
- show status pp [相手先情報番号]
- [設定値]
- 相手先情報番号
anonymous
省略時、選択されている相手について表示する
- [説明]
- 相手先の接続中または最後に接続されたときの状態を表示します。
【表示例】
# show status pp 1
PP[01]:
L2TPセッションは接続されています
接続相手:
通信時間: 54秒
受信: 74 パケット [6280 オクテット]
送信: 23 パケット [729 オクテット]
PPPオプション
LCP Local: CHAP Magic-Number MRU, Remote: Magic-Number MRU
IPCP Local: IP-Address, Remote: IP-Address Primary-DNS(192.168.100.1)
PP IP Address Local: 192.168.100.1, Remote: 192.168.100.10
CCP: None
受けとったUserId: yamaha
|
L2TP/IPsecを用いてインターネット越しにヤマハルーターのプライベートネットワークへ接続する場合の設定例を以下に示します。
【設定例1:特定のL2TPクライアント(アドレス固定)の接続を受け付ける場合】
- L2TPクライアント情報
- IPアドレス : 203.0.113.1 (固定)
- IPsec事前共有鍵 : yamaha1
- PPP認証のユーザー名 : l2tp_user1
- PPP認証のパスワード : l2tp_password1
- ヤマハルーターのホスト名 : XXXX.aaX.netvolante.jp
- ヤマハルーターのプライベートアドレス:192.168.100.1
- L2TPクライアントへ配布するIPアドレス:192.168.100.10
- L2TPに関連した設定
- L2TPトンネル認証 : 無し
- L2TPキープアライブ : 使用する インターバル10秒 ダウン検出までのカウント3回
- L2TPキープアライブのログ出力 : 有り
- L2TPトンネルの切断タイマ : 切断タイマを設定しない
- L2TPのコネクション制御に関するログ出力 : 有り
ホスト名:
IPアドレス:203.0.113.1(固定) XXXX.aaX.netvolante.jp
+--------------+ LAN2+----------+LAN1 |
| L2TP |--------Internet--------| ヤマハ |-----| +----+
| クライアント | PPPoE | ルーター | |----| PC |
+--------------+ +----------+ | +----+
割り当てられるアドレス: |
192.168.100.10 | +----+
|----| PC |
| +----+
プライベートネットワーク
192.168.100.0/24
- ヤマハルーターの設定例
【経路設定】
ip route default gateway pp 1
【LAN設定】
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
【プロバイダとの接続設定】
pp select 1
pp always-on on
pppoe use lan2
pp auth accept (認証方式)
pp auth myname (ユーザ名) (パスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
netvolante-dns hostname host pp server=1 XXXX.aaX.netvolante.jp
pp enable 1
【L2TP接続を受け入れるための設定】
pp select 2
pp bind tunnel1
pp auth request (認証方式)
pp auth username l2tp_user1 l2tp_password1
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address 192.168.100.10
ip pp mtu 1258
pp enable 2
【L2TP接続で使用するトンネルの設定】
tunnel select 1
tunnel encapsulation l2tp
tunnel endpoint address 203.0.113.1
ipsec tunnel 101
ipsec sa policy 101 1 esp (暗号アルゴリズム) (認証アルゴリズム)
ipsec ike keepalive use 1 off
ipsec ike local address 1 192.168.100.1
ipsec ike pre-shared-key 1 text yamaha1
ipsec ike remote address 1 203.0.113.1
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 1
【NAT設定】
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.100.1 esp
nat descriptor masquerade static 1 2 192.168.100.1 udp 500
【DNS設定】
dns server (プロバイダより指定されたDNSサーバーのアドレス)
【IPsecのトランスポートモード設定】
ipsec transport 1 101 udp 1701
ipsec auto refresh on
【L2TP設定】
l2tp service on
|
※プロバイダ接続用のPPインタフェースにフィルタを設定している場合には
以下のフィルタ設定を追加する必要があります。環境に応じて適切な設定
を追加してください。
pp select 1
ip pp secure filter in ... 200080 200081 200082 ...
ip filter 200080 pass * 192.168.100.1 esp * *
ip filter 200081 pass * 192.168.100.1 udp * 500
ip filter 200082 pass * 192.168.100.1 udp * 1701
【設定例2:複数のL2TPクライアント(アドレス不定)の接続を受け付ける場合】
- L2TPクライアント情報 (クライアントA)
- IPアドレス : 不定
- IPsec事前共有鍵 : yamaha1
- PPP認証のユーザー名 : l2tp_user1
- PPP認証のパスワード : l2tp_password1
- L2TPクライアント情報 (クライアントB)
- IPアドレス : 不定
- IPsec事前共有鍵 : yamaha1
- PPP認証のユーザー名 : l2tp_user2
- PPP認証のパスワード : l2tp_password2
- L2TPクライアント情報 (クライアントC)
- IPアドレス : 不定
- IPsec事前共有鍵 : yamaha1
- PPP認証のユーザー名 : l2tp_user3
- PPP認証のパスワード : l2tp_password3
※ アドレス不定の複数のL2TPクライアントから接続を受け付ける場合には、IPsec事前共有鍵が統一されている必要があります。
- ヤマハルーターのホスト名 : XXXX.aaX.netvolante.jp
- ヤマハルーターのプライベートアドレス:192.168.100.1
- L2TPクライアントへ配布するIPアドレス範囲:192.168.100.10-192.168.100.20/24
- L2TPに関連した設定
- L2TPトンネル認証 : 無し
- L2TPキープアライブ : 使用する インターバル10秒 ダウン検出までのカウント3回
- L2TPキープアライブのログ出力 : 有り
- L2TPトンネルの切断タイマ : 切断タイマを設定しない
- L2TPのコネクション制御に関するログ出力 : 有り
ホスト名:
IPアドレス:不定 XXXX.aaX.netvolante.jp
+---------------+ LAN2+----------+LAN1 |
| L2TP |-------------Internet--------| ヤマハ |-----| +----+
| クライアントA | | | PPPoE | ルーター | |----| PC |
+---------------+ | | +----------+ | +----+
割り当てられるアドレス範囲: | | |
192.168.100.10-192.168.100.20 | | | +----+
| | |----| PC |
IPアドレス:不定 | | | +----+
+---------------+ | | プライベートネットワーク
| L2TP |---------------+ | 192.168.100.0/24
| クライアントB | |
+---------------+ |
|
IPアドレス:不定 |
+---------------+ |
| L2TP |-----------------+
| クライアントC |
+---------------+
- ヤマハルーターの設定例
【経路設定】
ip route default gateway pp 1
【LAN設定】
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
【プロバイダとの接続設定】
pp select 1
pp always-on on
pppoe use lan2
pp auth accept (認証方式)
pp auth myname (ユーザ名) (パスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
netvolante-dns hostname host pp server=1 XXXX.aaX.netvolante.jp
pp enable 1
【L2TP接続を受け入れるための設定】
pp select anonymous
pp bind tunnel1 tunnel2 tunnel3
pp auth request (認証方式)
pp auth username l2tp_user1 l2tp_password1
pp auth username l2tp_user2 l2tp_password2
pp auth username l2tp_user3 l2tp_password3
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.10-192.168.100.20
ip pp mtu 1258
pp enable anonymous
【L2TP接続で使用するトンネルの設定 (クライアントA)】
tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 101
ipsec sa policy 101 1 esp (暗号アルゴリズム) (認証アルゴリズム)
ipsec ike keepalive use 1 off
ipsec ike local address 1 192.168.100.1
ipsec ike pre-shared-key 1 text yamaha1
ipsec ike remote address 1 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 1
【L2TP接続で使用するトンネルの設定 (クライアントB)】
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 102
ipsec sa policy 102 2 esp (暗号アルゴリズム) (認証アルゴリズム)
ipsec ike keepalive use 2 off
ipsec ike local address 2 192.168.100.1
ipsec ike pre-shared-key 2 text yamaha1
ipsec ike remote address 2 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 2
【L2TP接続で使用するトンネルの設定 (クライアントC)】
tunnel select 3
tunnel encapsulation l2tp
ipsec tunnel 103
ipsec sa policy 103 3 esp (暗号アルゴリズム) (認証アルゴリズム)
ipsec ike keepalive use 3 off
ipsec ike local address 3 192.168.100.1
ipsec ike pre-shared-key 3 text yamaha1
ipsec ike remote address 3 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 3
【NAT設定】
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.100.1 esp
nat descriptor masquerade static 1 2 192.168.100.1 udp 500
【IPsecのトランスポートモード設定】
ipsec transport 1 101 udp 1701
ipsec transport 2 102 udp 1701
ipsec transport 3 103 udp 1701
ipsec auto refresh on
【L2TP設定】
l2tp service on
|
※プロバイダ接続用のPPインタフェースにフィルタを設定している場合には
以下のフィルタ設定を追加する必要があります。環境に応じて適切な設定
を追加してください。
pp select 1
ip pp secure filter in ... 200080 200081 200082 ...
ip filter 200080 pass * 192.168.100.1 esp * *
ip filter 200081 pass * 192.168.100.1 udp * 500
ip filter 200082 pass * 192.168.100.1 udp * 1701
【設定例3:NATトラバーサルを利用したL2TPクライアントの接続を受け付ける場合】
- L2TPクライアント情報
- IPアドレス : 不定
- IPsec事前共有鍵 : yamaha1
- PPP認証のユーザー名 : l2tp_user1
- PPP認証のパスワード : l2tp_password1
※L2TPクライアントがNATトラバーサルに対応している必要があります。
- ヤマハルーターのホスト名 : XXXX.aaX.netvolante.jp
- ヤマハルーターのプライベートアドレス:192.168.100.1
- L2TPクライアントへ配布するIPアドレス範囲:192.168.100.10-192.168.100.20/24
- L2TPに関連した設定
- L2TPトンネル認証 : 無し
- L2TPキープアライブ : 使用する インターバル10秒 ダウン検出までのカウント3回
- L2TPキープアライブのログ出力 : 有り
- L2TPトンネルの切断タイマ : 切断タイマを設定しない
- L2TPのコネクション制御に関するログ出力 : 有り
ホスト名:
IPアドレス:不定 XXXX.aaX.netvolante.jp
+--------------+ +---------+ LAN2+----------+LAN1 |
| L2TP |-----| NAT機器 |-------Internet--------| ヤマハ |-----| +----+
| クライアント | | | PPPoE | ルーター | |----| PC |
+--------------+ +---------+ +----------+ | +----+
割り当てられるアドレス範囲: |
192.168.100.10-192.168.100.20 | +----+
|----| PC |
| +----+
プライベートネットワーク
192.168.100.0/24
- ヤマハルーターの設定例
【経路設定】
ip route default gateway pp 1
【LAN設定】
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
【プロバイダとの接続設定】
pp select 1
pp always-on on
pppoe use lan2
pp auth accept (認証方式)
pp auth myname (ユーザ名) (パスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
netvolante-dns hostname host pp server=1 XXXX.aaX.netvolante.jp
pp enable 1
【L2TP接続を受け入れるための設定】
pp select anonymous
pp bind tunnel1
pp auth request (認証方式)
pp auth username l2tp_user1 l2tp_password1
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.10-192.168.100.20
ip pp mtu 1258
pp enable anonymous
【L2TP接続で使用するトンネルの設定】
tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 101
ipsec sa policy 101 1 esp (暗号アルゴリズム) (認証アルゴリズム)
ipsec ike keepalive use 1 off
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text yamaha1
ipsec ike remote address 1 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 1
【NAT設定】
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.100.1 esp
nat descriptor masquerade static 1 2 192.168.100.1 udp 500
nat descriptor masquerade static 1 3 192.168.100.1 udp 4500
【IPsecのトランスポートモード設定】
ipsec transport 1 101 udp 1701
ipsec auto refresh on
【L2TP設定】
l2tp service on
|
※プロバイダ接続用のPPインタフェースにフィルタを設定している場合には
以下のフィルタ設定を追加する必要があります。環境に応じて適切な設定
を追加してください。
pp select 1
ip pp secure filter in ... 200080 200081 200082 200083 ...
ip filter 200080 pass * 192.168.100.1 esp * *
ip filter 200081 pass * 192.168.100.1 udp * 500
ip filter 200082 pass * 192.168.100.1 udp * 1701
ip filter 200083 pass * 192.168.100.1 udp * 4500
【設定例4:L2TP/IPsecのanonymous接続とPPTPのanonymous接続を併用する場合】
- L2TPクライアント情報
- IPアドレス : 不定
- IPsec事前共有鍵 : yamaha1
- PPP認証のユーザー名 : l2tp_user1
- PPP認証のパスワード : l2tp_password1
- PPTPクライアント情報
- IPアドレス : 不定
- PPP認証のユーザー名 : pptp_user1
- PPP認証のパスワード : pptp_password1
- ヤマハルーターのホスト名 : XXXX.aaX.netvolante.jp
- ヤマハルーターのプライベートアドレス:192.168.100.1
- クライアントへ配布するIPアドレス範囲:192.168.100.10-192.168.100.20/24
- L2TPに関連した設定
- L2TPトンネル認証 : 無し
- L2TPキープアライブ : 使用する インターバル10秒 ダウン検出までのカウント3回
- L2TPキープアライブのログ出力 : 有り
- L2TPトンネルの切断タイマ : 切断タイマを設定しない
- L2TPのコネクション制御に関するログ出力 : 有り
ホスト名:
IPアドレス:不定 XXXX.aaX.netvolante.jp
+--------------+ LAN2+----------+LAN1 |
| L2TP |-------------Internet--------| ヤマハ |-----| +----+
| クライアント | | PPPoE | ルーター | |----| PC |
+--------------+ | +----------+ | +----+
割り当てられるアドレス範囲: | |
192.168.100.10-192.168.100.20 | | +----+
| |----| PC |
IPアドレス:不定 | | +----+
+--------------+ | プライベートネットワーク
| PPTP |---------------+ 192.168.100.0/24
| クライアント |
+--------------+
- ヤマハルーターの設定例
【経路設定】
ip route default gateway pp 1
【LAN設定】
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
【プロバイダとの接続設定】
pp select 1
pp always-on on
pppoe use lan2
pp auth accept (認証方式)
pp auth myname (ユーザ名) (パスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
netvolante-dns hostname host pp server=1 XXXX.aaX.netvolante.jp
pp enable 1
【L2TP接続とPPTP接続を受け入れるための設定】
pp select anonymous
pp bind tunnel1-tunnel2
pp auth request (認証方式)
※L2TPクライアントとPPTPクライアントの両方で対応している認証方式
pp auth username l2tp_user1 l2tp_password1
pp auth username pptp_user1 pptp_password1
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type (CCP圧縮方式)
※L2TPクライアントとPPTPクライアントの両方で対応しているCCP圧縮方式
ip pp remote address pool 192.168.100.10-192.168.100.20
ip pp mtu 1258
pp enable anonymous
【L2TP接続で使用するトンネルの設定】
tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 101
ipsec sa policy 101 1 esp (暗号アルゴリズム) (認証アルゴリズム)
ipsec ike keepalive use 1 off
ipsec ike local address 1 192.168.100.1
ipsec ike pre-shared-key 1 text yamaha1
ipsec ike remote address 1 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 1
【PPTP接続で使用するトンネルの設定】
tunnel select 2
tunnel encapsulation pptp
pptp tunnel disconnect time off
tunnel enable 2
【NAT設定】
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.100.1 esp
nat descriptor masquerade static 1 2 192.168.100.1 udp 500
nat descriptor masquerade static 1 3 192.168.100.1 tcp 1723
nat descriptor masquerade static 1 4 192.168.100.1 gre
【IPsecのトランスポートモード設定】
ipsec transport 1 101 udp 1701
ipsec auto refresh on
【L2TP設定】
l2tp service on
【PPTP設定】
pptp service on
|
※プロバイダ接続用のPPインタフェースにフィルタを設定している場合には
以下のフィルタ設定を追加する必要があります。環境に応じて適切な設定
を追加してください。
pp select 1
ip pp secure filter in ... 200080 200081 200082 200083 200084 ...
ip filter 200080 pass * 192.168.100.1 esp * *
ip filter 200081 pass * 192.168.100.1 udp * 500
ip filter 200082 pass * 192.168.100.1 udp * 1701
ip filter 200083 pass * 192.168.100.1 tcp * 1723
ip filter 200084 pass * 192.168.100.1 gre * *
【設定例5:テンプレートを利用してL2TPクライアントの接続を受け付ける場合】
- L2TPクライアント情報 (クライアントA)
- IPアドレス : 不定
- IPsec事前共有鍵 : yamaha1
- PPP認証のユーザー名 : l2tp_user1
- PPP認証のパスワード : l2tp_password1
- L2TPクライアント情報 (クライアントB)
- IPアドレス : 不定
- IPsec事前共有鍵 : yamaha1
- PPP認証のユーザー名 : l2tp_user2
- PPP認証のパスワード : l2tp_password2
- L2TPクライアント情報 (クライアントC)
- IPアドレス : 不定
- IPsec事前共有鍵 : yamaha1
- PPP認証のユーザー名 : l2tp_user3
- PPP認証のパスワード : l2tp_password3
※ アドレス不定の複数のL2TPクライアントから接続を受け付ける場合には、IPsec事前共有鍵が統一されている必要があります。
- ヤマハルーターのホスト名 : XXXX.aaX.netvolante.jp
- ヤマハルーターのプライベートアドレス:192.168.100.1
- L2TPクライアントへ配布するIPアドレス範囲:192.168.100.10-192.168.100.20/24
- 各トンネルでのTCPセッションのMSS制限 : OFF
- L2TPに関連した設定
- L2TPトンネル認証 : 無し
- L2TPキープアライブ : 使用する インターバル10秒 ダウン検出までのカウント3回
- L2TPキープアライブのログ出力 : 有り
- L2TPトンネルの切断タイマ : 切断タイマを設定しない
- L2TPのコネクション制御に関するログ出力 : 有り
ホスト名:
IPアドレス:不定 XXXX.aaX.netvolante.jp
+---------------+ LAN2+----------+LAN1 |
| L2TP |-------------Internet--------| ヤマハ |-----| +----+
| クライアントA | | | PPPoE | ルーター | |----| PC |
+---------------+ | | +----------+ | +----+
割り当てられるアドレス範囲: | | |
192.168.100.10-192.168.100.20 | | | +----+
| | |----| PC |
IPアドレス:不定 | | | +----+
+---------------+ | | プライベートネットワーク
| L2TP |---------------+ | 192.168.100.0/24
| クライアントB | |
+---------------+ |
|
IPアドレス:不定 |
+---------------+ |
| L2TP |-----------------+
| クライアントC |
+---------------+
- ヤマハルーターの設定例
【経路設定】
ip route default gateway pp 1
【LAN設定】
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
【プロバイダとの接続設定】
pp select 1
pp always-on on
pppoe use lan2
pp auth accept (認証方式)
pp auth myname (ユーザ名) (パスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
netvolante-dns hostname host pp server=1 XXXX.aaX.netvolante.jp
pp enable 1
【L2TP接続を受け入れるための設定】
pp select anonymous
pp bind tunnel1 tunnel2 tunnel3
pp auth request (認証方式)
pp auth username l2tp_user1 l2tp_password1
pp auth username l2tp_user2 l2tp_password2
pp auth username l2tp_user3 l2tp_password3
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.100.10-192.168.100.20
ip pp mtu 1258
pp enable anonymous
【L2TP接続で使用するトンネルの設定】
tunnel select 1
tunnel template 2-3
tunnel encapsulation l2tp
ipsec tunnel 1
ipsec sa policy 1 1 esp (暗号アルゴリズム) (認証アルゴリズム)
ipsec ike keepalive use 1 off
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text yamaha1
ipsec ike remote address 1 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
tunnel enable 1
【NAT設定】
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.100.1 esp
nat descriptor masquerade static 1 2 192.168.100.1 udp 500
nat descriptor masquerade static 1 3 192.168.100.1 udp 4500
【IPsecのトランスポートモード設定】
ipsec transport 1 101 udp 1701
ipsec transport template 1 2-3
ipsec auto refresh on
【L2TP設定】
l2tp service on
|
※プロバイダ接続用のPPインタフェースにフィルタを設定している場合には
以下のフィルタ設定を追加する必要があります。環境に応じて適切な設定
を追加してください。
pp select 1
ip pp secure filter in ... 200080 200081 200082 200083 ...
ip filter 200080 pass * 192.168.100.1 esp * *
ip filter 200081 pass * 192.168.100.1 udp * 500
ip filter 200082 pass * 192.168.100.1 udp * 1701
ip filter 200083 pass * 192.168.100.1 udp * 4500
【動作確認済みクライアント一覧】
L2TP/IPsecの動作確認済みクライアントとして以下のものがあります。
| 通信事業者 |
機種 |
OSバージョン |
| NTTドコモ |
Xperia arc SO-01C |
Android 2.3.2 |
| Galaxy S2 SC-02C |
Android 2.3.3 |
| Galaxy S4 SC-04E |
Android 4.2.2 |
| Galaxy S5 SC-04F |
Android 4.4.2 |
| KDDI |
Xperia acro IS11S |
Android 2.3.3 |
| iPhone 4S |
iOS 5.0 |
| iPhone 5 |
iOS 7.0.4 |
| iPhone 6 |
iOS 8.1.3 |
| SoftBank |
iPhone 4 |
iOS 4.3.3, iOS 5.0 |
| iPad 2 |
iOS 4.3.3, iOS 5.0, iOS 6.0.1 |
| - |
Nexus 4 |
Android 4.3 |
| iPad Air 2 (WiFiモデル) |
iOS 8.1.3 |
※各端末の初期状態からアプリケーションを何もインストールしていない状態で、
各端末からヤマハルーターへのL2TP/IPsecの接続動作を確認したものです。
動作検証には各端末に標準搭載されているL2TP/IPsec接続を用いています。
実際のご利用にあたっては、お客様環境での動作を検証の上、ご利用ください。
※Microsoft社製Windows OSのL2TP/IPsec接続はサポートしません。
※動作検証では、接続・通信・切断が正常に行えることを確認しています。
長時間の接続試験は行っておりません。
※Android 4系の一部のOSでは、切断時にルーターに対して切断メッセージを送信しないものがあります。
そのため、ルーター側でセッションが残ってしまい、次の接続をすぐに受けることができなくなります。
対策として、ルーター側で早期に切断を検知できるようL2TPキープアライブを有効にすることを薦めます。
ルーター側で設定可能なパラメータ値である、IPsec暗号化アルゴリズム、認証アルゴリズム
およびPPPの認証方式の3パラメータについて、接続確認結果は以下のようになります。
接続確認には、RTX1200 Rev.10.01.59 を用いています。
- IPsec暗号化アルゴリズムと認証アルゴリズム
- Galaxy Tab SC-01C (Android 2.3.3)
|
|
認証アルゴリズム |
|
|
md5-hmac |
sha-hmac |
sha256-hmac |
省略 |
暗号化
アルゴリズム |
des-cbc |
○ |
○ |
× |
× |
| 3des-cbc |
○ |
○ |
× |
× |
| aes-cbc |
○ |
○ |
× |
× |
| aes256-cbc |
× |
× |
× |
× |
- iPhone 4 (iOS 5.0), iPad 2 (iOS 6.0.1), iPhone 6 (iOS 8.1.3)
|
|
認証アルゴリズム |
|
|
md5-hmac |
sha-hmac |
sha256-hmac |
省略 |
暗号化
アルゴリズム |
des-cbc |
× |
× |
× |
× |
| 3des-cbc |
○ |
○ |
× |
× |
| aes-cbc |
○ |
○ |
× |
× |
| aes256-cbc |
○ |
○ |
× |
× |
- PPPの認証方式
| 通信事業者 |
機種 |
OSバーション |
認証方式 |
| pap |
chap |
mschap |
mschap-v2 |
| NTTドコモ |
Galaxy Tab SC-01C |
Android 2.3.3 |
○ |
○ |
○ |
○ |
| SoftBank |
iPhone 4 |
iOS 5.0 |
○ |
○ |
○ |
○ |
| KDDI |
iPhone 6 |
iOS 8.1.3 |
○ |
○ |
○ |
○ |
※弊社環境での接続確認結果であり、お客様の環境で接続を保証するものではありません。
ご利用の際には事前に十分な検証をお願いいたします。
【iOS端末に標準搭載されたL2TP/IPsecクライアントの設定手順】
※すべてのiOS端末が下記設定手順通りにL2TP/IPsecクライアントを設定できるとは限りません。
詳しい設定はiOS端末のマニュアルを参照してください。
- ホーム画面から「設定」を選択します。
- 設定画面から「一般」を選択します。
- 一般画面から「ネットワーク」を選択します。
- ネットワーク画面から「VPN」を選択します。
- 「VPN構成を追加...」を選択します。
- 構成の追加ページで「L2TP」を選択し、以下のように各項目を設定します。
例としてL2TPクライアントの名前を「Yamaha-vpn」とします。
各項目を入力したら「保存」をタップします。
 |
| 説明 | L2TPクライアントの名前(任意の文字列) |
| サーバ | 接続先のホスト名もしくはIPアドレス |
| アカウント | PPP認証に用いるアカウント |
| RSA SecurID | オフ |
| パスワード | PPP認証に用いるパスワード |
| シークレット | IPsecの事前共有鍵 |
| すべての信号を送信 | オン |
| プロキシ | オフ |
|
- VPN接続(Yamaha-vpn)が作成されますので、作成したVPNを選択してオンにします。
L2TP/IPsecが接続されると、「状況」に「接続中」と表示されます。
【Android端末に標準搭載されたL2TP/IPsecクライアントの設定手順】
※すべてのAndroid端末が下記設定手順通りにL2TP/IPsecクライアントを設定できるとは限りません。
詳しい設定はAndroid端末のマニュアルを参照してください。
- メニュー画面から「設定」を選択します。
- 設定画面から「無線とネットワーク」を選択します。
- ワイヤレスとネットワークの設定画面から「VPN設定」を選択します。
- VPN設定画面から「VPNの追加」を選択します。
- VPNの追加画面から「L2TP/IPSec PSK VPNを追加」を選択します。
- 構成の追加ページで「L2TP」を選択し、以下のように各項目を設定します。
例としてL2TPクライアントの名前を「Yamaha-vpn」とします。
各項目を入力したらをバックキーを押します。
 |
| VPN名 | VPNの名前(任意の文字列) |
| VPNサーバーの設定 | 接続先のホスト名もしくはIPアドレス |
| IPSec事前共有鍵の設定 | IPsecの事前共有鍵 |
| L2TPセキュリティ保護を有効にする | L2TPトンネル認証を行う場合のみ有効にします |
| L2TPセキュリティ保護を設定する | L2TPトンネル認証に用いるパスワード
L2TPセキュリティ保護が有効な場合のみ設定することができます
l2tp tunnel authコマンドと同じパスワードを設定してください |
| DNS検索ドメイン | 設定しない |
|
- VPN(Yamaha-vpn)が作成されますので、作成したVPNを選択します。
ユーザ名とパスワードの入力を求められるので、PPP認証で用いるユーザ名とパスワードを入力します。
「接続」をタップするとL2TP/IPsec接続が開始されます。
本機能において出力されるSYSLOGメッセージを以下に示します。
実際に出力されるメッセージには "[L2TP]" というプレフィックスが付加されます。
| レベル |
出力メッセージ |
意味 |
| INFO |
opend port 1701/udp |
UDPのポート番号1701を開放 |
| closed port 1701/udp |
UDPのポート番号1701を閉鎖 |
| TUNNEL[XX] connected from IPアドレス |
L2TPクライアントからコネクション確立要求(SCCRQ)を受信 |
| TUNNEL[XX] tunnel トンネル番号 established |
L2TPトンネルが確立 |
| TUNNEL[XX] session セッション番号 established |
L2TPセッションが確立 |
| TUNNEL[XX] disconnecting tunnel トンネル番号 |
L2TPトンネルの切断処理を実行中 |
| TUNNEL[XX] disconnect tunnel トンネル番号 complete |
L2TPトンネルの削除が完了 |
| TUNNEL[XX] disconnect session セッション番号 complete |
L2TPセッションの削除が完了 |
| state timer expired for waiting L2TP制御メッセージ |
L2TP制御メッセージの受信待ちタイマーが満了したため、L2TPトンネルの切断処理を開始 |
| disconnect timer expired tunnel トンネル番号 |
L2TP切断タイマーが満了したため、L2TPトンネルの切断処理を開始 |
| keepalive timer expired tunnel トンネル番号 |
L2TPキープアライブで接続先のダウンを検出したため、L2TPトンネルの切断処理を開始 |
| authentication error tunnel トンネル番号 |
L2TPトンネル認証エラーにより、L2TPトンネルの切断処理を開始 |
| DEBUG |
can't find tunnel number |
L2TP接続で使用されるトンネルインタフェースがみつからない。
ipsec ike remote addressコマンドで接続相手のIPアドレスを固定しているときに、
tunnel endpoint addressコマンドで接続相手のIPアドレスを設定いない場合などに出力されます。 |
| can't find valid pp interface |
L2TP接続で使用されるトンネルインタフェースがバインドされたPPインタフェースがみつからない。
pp bindコマンドによってトンネルインタフェースがバインドされていない場合や、
バインドされた
PPインタフェースがすでに使用されている場合に出力されます。 |
DEBUG
(l2tp syslog on設定時)
接続から切断までの
一連のログ例 |
recv message AVPs : -+
(0)message type SCCRQ | SCCRQの受信処理
(2)protocol version 1 revision 0 |
(7)hostname anonymous | (番号) 属性 設定値
(3)framing capability Abit:1 Sbit:0 | 番号... AVPの属性番号
(9)assigned tunnel id 61471 | 属性... AVPの種別
(10)receive window size 1 | 設定値... AVPで通知された情報
recv SCCRQ in idle from 203.0.113.1 -+
TUNNEL[1] connected from 203.0.113.1 L2TP接続を確認(INFO)
send message AVPs : -+
set (0)message type SCCRP | SCCRPの送信処理
set (2)protocol version 1 revision 0 |
set (3)framing capability sync | set (番号) 属性 設定値
set (4)bearer capability 0 |
set (6)firmware revision 0x500 | 番号... AVPの属性番号
set (7)hostname RTX1200 | 属性... AVPの種別
set (8)vendorname YAMAHA Corporation | 設定値... AVPに格納して相手に通知する情報
set (9)assigned tunnel id 32882 |
set (10)receive window size 1 |
send SCCRP to 203.0.113.1 -+
recv message AVPs : -+
(0)message type SCCCN | SCCCNの受信処理
recv SCCCN in wait_ctl_conn from 203.0.113.1 -+
send ZLB to 203.0.113.1 ZLBの送信処理
TUNNEL[1] tunnel 32882 established L2TPトンネルの確立(INFO)
recv message AVPs : -+
(0)message type ICRQ | ICRQの受信処理
(14)assigned session id 6819 |
(15)call serial number 1548737386 |
recv ICRQ in idle from 203.0.113.1 -+
send message AVPs : -+
set (0)message type ICRP | ICRPの送信処理
set (14)assigned session id 16892 |
send ICRP to 203.0.113.1 -+
recv message AVPs : -+
(0)message type ICCN | ICCNの受信処理
(24)tx connect speed 100Mbit/s |
(19)framing type 3 |
recv ICCN in wait_connect from 203.0.113.1 -+
send ZLB to 203.0.113.1 ZLBの送信処理
TUNNEL[1] session 16892 established L2TPセッションの確立(INFO)
recv message AVPs : -+
(0)message type StopCCN | StopCCNの受信処理
(9)assigned StopCCN tunnel id 61471 |
(1)result code 6 |
recv StopCCN in established from 203.0.113.1 -+
send ZLB to 203.0.113.1 ZLBの送信処理
TUNNEL[1] disconnect session 16892 complete L2TPセッションの削除完了(INFO)
TUNNEL[1] disconnect tunnel 32882 complete L2TPトンネルの削除完了(INFO)
|
DEBUG
(l2tp keepalive use on設定時) |
set (0)message type HELLO
keepalive HELLO send to 203.0.113.1 HELLOの送信処理
recv ZLB from 203.0.113.1 HELLOに対してZLBを受信
set (0)message type HELLO -+
keepalive HELLO send to 203.0.113.1 | L2TPキープアライブのタイマーが
keepalive timeout count=6 | 満了してタイムアウト回数をカウント
set (0)message type HELLO |
keepalive HELLO send to 203.0.113.1 |
keepalive timeout count=5 |
・・・ |
set (0)message type HELLO |
keepalive HELLO send to 203.0.113.1 | L2TPキープアライブによってダウンを検知
keepalive timeout count=1 -+
disconnecting tunnel 4795 L2TPトンネルの切断開始(INFO)
send Message AVPs : -+
set (0)message type StopCCN | StopCCNの送信処理
set (9)assigned tunnel id 4795 |
set (1)resultcode 2 |
send StopCCN to 203.0.113.1 -+
|