rtx1100

YAMAHA製RTX1100はすでに生産が終了しており、個人的には往年の名機と呼んでも良い風格があると思っています。しかし、YAMAHAのルータ開発陣の方々は素晴らしいです。なんと2012年2月23日にファームウェアをバー ジョンアップしてRev.8.03.92をリリースしてくれました。
※詳しくはこちらをご覧下さい。
http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.08.03/relnote_08_03_92.html

大きくは次の機能が追加されました。

  1. NTT 東日本/NTT 西日本のフレッツ光ネクストにおけるインターネット (IPv6 IPoE / IPv6 PPPoE) 接続に対応した。
  2. L2TP/IPsec 機能に対応した。
  3. QoS を IPv6 に対応した。
  4. DNS フォールバック動作をルーター全体で統一することができるようにした。

ntpdate コマンドおよび、SNTP サーバー機能で、IPv6に対応した。

特に 1 と 2 は大きな機能追加で、これでフレッツ光ネクストの IPv6 を使った閉域網接続とか、iPhone, iPad, Mac からのモバイル VPN 接続とか… 素晴らしいです!

今回は RTX1100 で L2TP/IPsec と PPTP の両方を動かす設定を書いてみます。

アクセス側(iPhone,Mac等)が FW の内側というか IP マスカレードの向こう側にいるという前提で、NAT トラバーサルを使って接続します。

ヤマハのサイトに行くと詳しく書いてありますから、基本はこれを参考にします。
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/index.html#setting

動作検証した環境
	YAMAHA製 RTX1100		Rev.8.03.92
	iPhone4S		iOS5.1
	iPad2			iOS5.1
	Macbook Air		Mac OS X 10.7.3
	NEC Aterm		WM3500R (WiMAXポケットルータ)

L2TPクライアント情報
	IPアドレス		: 不定
	IPsec事前共有鍵		: secret
	PPP認証のユーザー名	: user1, user2
	PPP認証のパスワード	: pass1, pass2
	
PPTPクライアント情報
	IPアドレス		: 不定
	PPP認証のユーザー名	: user1, user2
	PPP認証のパスワード	: pass1, pass2

 

■今回は user を 2人登録して、それぞれが PPTP、L2TP どちらを使っても大丈夫なように、それぞれ tunnel を2本ずつ用意しました。
※同時には2人しか接続出来ないので本来は tunnel は 2つで良いです。

【経路設定】
  ip route default gateway pp 1

【LAN設定】
  ip lan1 address 192.168.0.1/24			※LAN側のデフォルトゲートウェイ
  ip lan1 proxyarp on

【プロバイダー設定 】				※固定IPが1個の設定
  pp select 1
    pp always-on on
    pppoe use lan3
    pp auth accept pap chap
    pp auth myname [userID] [password]		※ISP接続用
    ppp lcp mru on 1454
    ppp ipcp ipaddress on
    ppp ipcp msext on
    ppp ccp type none
    ip pp mtu 1454
    ip pp secure filter in 101029 101021 …	※お好きにどうぞ~
    ip pp secure filter out 101020 101021 …
    ip pp intrusion detection in on reject=on
    ip pp nat descriptor 1
  pp enable 1

【L2TPとPPTP接続の設定】
  pp select anonymous
    pp bind tunnel1-tunnel4
    pp auth request mschap
    pp auth username user1 pass1
    pp auth username user2 pass2
    ppp ipcp ipaddress on
    ppp ipcp msext on
    ppp ccp type mppe-any
    ip pp remote address pool 192.168.0.91-192.168.0.95
    ip pp mtu 1258
  pp enable anonymous

【L2TPで使うトンネル設定】#1
  tunnel select 1
    tunnel encapsulation l2tp
    ipsec tunnel 101
      ipsec sa policy 101 1 esp aes-cbc sha-hmac
      ipsec ike keepalive use 1 off
      ipsec ike local address 1 192.168.0.1
      ipsec ike nat-traversal 1 on
      ipsec ike pre-shared-key 1 text secret
      ipsec ike remote address 1 any
    l2tp tunnel disconnect time off
    l2tp keepalive use on 10 3
    l2tp keepalive log on
    l2tp syslog on
    ip tunnel tcp mss limit auto
  tunnel enable 1

【L2TPで使うトンネル設定】#2
  tunnel select 2
    tunnel encapsulation l2tp
    ipsec tunnel 102
      ipsec sa policy 102 2 esp aes-cbc sha-hmac
      ipsec ike keepalive use 2 off
      ipsec ike local address 2 192.168.0.1
      ipsec ike nat-traversal 2 on
      ipsec ike pre-shared-key 2 text secret
      ipsec ike remote address 2 any
    l2tp tunnel disconnect time off
    l2tp keepalive use on 10 3
    l2tp keepalive log on
    l2tp syslog on
    ip tunnel tcp mss limit auto
  tunnel enable 2

【PPTPで使うトンネル設定】#1
  tunnel select 3
    tunnel encapsulation pptp
    pptp tunnel disconnect time off
  tunnel enable 3

【PPTPで使うトンネル設定】#2
  tunnel select 4
    tunnel encapsulation pptp
    pptp tunnel disconnect time off
  tunnel enable 4

【NATの設定】
  nat descriptor type 1 masquerade
  nat descriptor address outer 1 ipcp
  nat descriptor address inner 1 auto
  nat descriptor masquerade static 1 1 192.168.0.1 tcp 1723
  nat descriptor masquerade static 1 2 192.168.0.1 gre
  nat descriptor masquerade static 1 3 192.168.0.1 esp
  nat descriptor masquerade static 1 4 192.168.0.1 udp 500
  nat descriptor masquerade static 1 5 192.168.0.1 udp 4500   ※NATトラバーサル用
【IPsecトランスポートモード設定】
  ipsec transport 1 101 udp 1701
  ipsec transport 2 102 udp 1701
  ipsec auto refresh on

【L2TP設定】
  l2tp service on

【PPTP設定】
  pptp service on

【フィルター設定】
  pp select 1
    ip pp secure filter in ... 200080 200081 200082 200083 200084 200085…

  ip filter 200080 pass * 192.168.0.1 esp * *
  ip filter 200081 pass * 192.168.0.1 udp * 500
  ip filter 200082 pass * 192.168.0.1 udp * 1701
  ip filter 200083 pass * 192.168.0.1 tcp * 1723
  ip filter 200084 pass * 192.168.0.1 gre * *
  ip filter 200085 pass * 192.168.0.1 udp * 4500

■以上の設定で終了です。特に NAT デスクリプタとフィルターまわりはミス(見落とし)しやすいので丁寧にチェックします。
→私は NAT トラバーサル用の 4500 番の設定を忘れて、しばらく気がつかなくて??状態でした。
( L2TPで 3G 回線からだと接続できるのに、WiMAX ルータからはダメで… う~ん、う~ん)

 追記 2012/06/07

Mac から接続していて1時間程度つないでいると VPN 回線が切れたり、また一旦スリープして起きた後の接続が出来なかったりとか… 接続が安定しないときには、tunnel 設定にある l2tp tunnel disconnect time off を、10 分程度に変更してみて下さい。つまり、l2tp tunnel disconnect time 600 に変更します。
私のテスト環境では、この設定変更で接続が安定しました。