YAMAHA SRT100とWindows7でVPN

以前YAMAHAのRT107eとAndroidをWiMAX経由でVPN(L2TP/IPsec)接続をしてみたが、今回はSRT100とWindows7をWiMAX経由でVPN接続してみた。

ルーターの設定

ヤマハさんの設定事例を見る限りL2TP/IPsecでの接続は、同じ設定でいいようなので、RT107eと同じように設定してみた。プロバイダとの接続が完了しており、インターネットに接続出来ている状態と仮定。

VPNクライアントとLAN内の端末が通信できるようにする

  1. ip lan1 proxyarp on  //リモート端末がLAN内と通信するために必須

anonymousを作成

  1. pp select anonymous  //VPN接続のanonymousインターフェースを作成
  2. pp bind tunnel1 tunnel2  //tunnel1とtunnel2を関連付ける
  3. pp auth request mschap-v2  //暗号化方式を指定
  4. pp auth username hogehoge password
    //ユーザーhogehogeをパスワードpasswordで作成
  5. pp auth username hagehage password
    //ユーザーhagehageをパスワードpasswordで作成
  6. ppp ipcp ipaddress on  //接続時にIPアドレスを取得します
  7. ppp ipcp msext on  //接続時にDNSのIPアドレスを取得します
  8. ip pp remote address pool 192.168.0.10-192.168.0.11
    //クライアントに割り当てるIPを指定します
  9. ip pp mtu 1258  //MTUを指定します
  10. pp enable anonymous  //anonymousを有効にします
  11. save  //一旦保存

tunnelを作成

  1. tunnel select 1  //tunnel1を作成
  2. tunnel encapsulation l2tp 
      //トンネルインターフェースの種別をl2tpに設定
  3. ipsec tunnel 101  //ipsec tunnelのポリシー番号を指定
  4. ipsec sa policy 101 1 esp aes-cbc sha-hmac  
      //ポリシー番号101のセキュリティゲートウェイ1にsaを定義
  5. ipsec ike keepalive use 1 off  
      //セキュリティゲートウェイ1にIKEキープアライブの動作を指定
  6. ipsec ike local address 1 192.168.0.1
    //自分側のセキュリティゲートウェイ1のアドレスの設定
  7. ipsec ike nat-traversal 1 on  //natを有効にする
  8. ipsec ike pre-shared-key 1 text [事前共有鍵のテキスト]
    //事前共有鍵の設定
  9. ipsec ike remote address 1 any
    //クライアント側のIPが不定の場合の設定
  10. l2tp tunnel auth off  //L2TPトンネル認証を行わない設定
  11. l2tp tunnel disconnect time off  //L2TPトンネルの切断タイマ設定
  12. l2tp keepalive use on 10 3  //L2TPのキープアライブを設定
  13. l2tp keepalive log on  //L2TPのキープアライブのログ設定
  14. l2tp syslog on  //L2TPのsyslog出力の設定
  15. tunnel enable 1  //トンネル1を有効にする
  16. save

※tunnel2についても同じ内容で作成

  1. tunnel select 2
  2. tunnel encapsulation l2tp
  3. ipsec tunnel 102
  4. ipsec sa policy 102 2 esp aes-cbc sha-hmac
  5. ipsec ike keepalive use 2 off
  6. ipsec ike local address 2 192.168.0.1
  7. ipsec ike nat-traversal 2
  8. ipsec ike pre-shared-key 2 text [事前共有鍵のテキスト]
  9. ipsec ike remote address 2 any
  10. l2tp tunnel auth off
  11. l2tp tunnel disconnect time off
  12. l2tp keepalive use on 10 3
  13. l2tp keepalive log on
  14. l2tp syslog on
  15. tunnel enable 2
  16. save

natの設定

  1. nat descriptor type 101 masquerade
    //NATディスクリプタの動作タイプをIPマスカレード(NAPT)に設定
     //101はNATディスクリプタ番号で任意の番号
  2. nat descriptor address outer 101 ipcp 
    //外側アドレスをPPインターフェースのアドレスにする
  3. nat descriptor address inner 101 auto  //内側アドレスをautoに設定
  4. nat descriptor masquerade static 101 1 192.168.0.1 esp
    //静的IPマスカレードでルーターのIPにespをバインド
  5. nat descriptor masquerade static 101 2 192.168.0.1 udp 500
    //上と同じくupdの500をバインド
  6. nat descriptor masquerade static 1100 3 192.168.0.1 udp 4500
    //同じくudpの4500をバインド

IPsecのトランスポートモードの設定

  1. ipsec transport 1 101 udp 1701
    //トンネル101でudpの1701に対してトランスポートモードで通信する
  2. ipsec transport 1 102 udp 1701

Windows7側の設定

Windows7側の設定は実に簡単だが、NATを利用するためにレジストリの変更が必要になります。(※レジストリの変更は最悪の場合、OSの再インストールが必要になる場合がありますので、自己責任でお願いします)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent にエントリを追加します。

作成するのはDWORD値、「AssumeUDPEncapsulationContextOnSendRule」という名前で値を2にします。

レジストリに追加できたら、再起動して、新しい接続を作成します。

新しい接続

「接続オプション」で「職場に接続します」を選択して「次へ」

接続オプション

「職場への接続」の「どの方法で接続しますか?」で「インターネット接続(VPN)をしようします」を選択します。

職場への接続

「接続に使用するインターネットアドレスを入力してください」で、ヤマハルーターのPPで取得しているIPアドレスを入力します。

固定IPならそのIPアドレス。ネットボランチDNSを使っているなら、netvoalnte.jpで取得したURLを入力します。接続先の名前は任意ですからわかりやすい名前を入れましょう。

一番下にある「今は接続しない」にチェックを入れて「次へ」をクリック

vpn04

「ユーザー名およびパスワードを入力してください」で、必要項目を入力後、「作成」をクリック

vpn05

「閉じる」をクリックします。

vpn06

「コントロールパネル」-「ネットワークと共有センター」-「アダプターの設定の変更」を開けると、ローカルエリア接続と並んで先ほど作成したVPN接続のアイコンが出来上がっているので、右クリックでプロパティを開きます。

vpn08

「全般」タブの宛先のホスト名に先ほど入力したインターネットアドレスが入っていることを確認します。

vpn09

「オプション」タブのダイヤルオプションで「Windowsログオンドメインを含める」のチェックを外します。(環境に依ります)

vpn10

「セキュリティ」タブで「VPNの種類」は、「IPsecを利用したレイヤー2トンネリングプロトコル(L2TP/IPSec)」を選択し、「データの暗号化」で、「暗号化が必要」を選択。「認証」では、「次のプロトコルを許可する」で「MS-CHAP V2」を有効にしておきます。

vpn11

「セキュリティ」タブの「VPNの種類」にある「詳細設定」を開きます。

「事前共有キーを使う」にチェックを入れて、「キー」を入力し「OK」をクリックします。

vpn12

「ネットワーク」タブでIPv4を選択して「プロパティ」をクリックします。

vpn13

「全般」タブで「詳細設定」をクリックします。

「IP設定」タブで「リモートネットワークでデフォルトゲートウェイを使う」のチェックを外します。「自動メトリック」のチェックを外して、1より大きい適当な数字を入れます。「OK」をクリックします。
この設定は、VPN接続時にインターネット接続をVPNへ振らないようにするためのものです。

vpn15

これで、詳細設定は完了ですので、すべて閉じます。

VPN接続のアイコンをダブルクリックして、接続を開始します。「ユーザー名」と「パスワード」を入力して、「接続」をクリックします。

vpn16

なぜかつながらない

上記の設定では、SRT100には接続できません。接続を開始しても、「エラー789 リモートコンピューターと最初にネゴシエートするときに、セキュリティ層で処理エラーが検出されたため、L2TP接続に失敗しました。」と表示されます。

SRT100のsyslogを確認すると、ppに適応しているフィルタで、anonymousの接続がrejectされていました。rejectしているフィルターは、「ip policy filter 1500 reject-log pp* * * * *」というフィルタで、初期設定から入っているフィルタです。

このppのフィルタは、結構大事な内容なので、外すわけにいきませんから、anonymous接続を通すようにポリシーフィルタに設定を追加します。※これが正しいやり方かどうかはわかりません。とりあえずanonymousが通る設定にしてみました。

  1. ip policy interface group 1 name=Private local lan1
    //インターフェースグループを作成します。
  2. ip policy filter 1400 pass-log * ppanonymous * * *
  3. ip policy filter 1401 pass-log ppanonymous 1 * * *

フィルター番号は、環境に合わせて設定しましょう。

このフィルタで、Windows7からのL2TP/IPsecのVPNが接続できるようになりました。


コメントを残す

CAPTCHA


このページの先頭へ