YAMAHA製RTX1100はすでに生産が終了しており、個人的には往年の名機と呼んでも良い風格があると思っています。しかし、YAMAHAのルータ開発陣の方々は素晴らしいです。なんと2012年2月23日にファームウェアをバー ジョンアップしてRev.8.03.92をリリースしてくれました。
※詳しくはこちらをご覧下さい。
http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.08.03/relnote_08_03_92.html
大きくは次の機能が追加されました。
1.NTT東日本/NTT西日本のフレッツ光ネクストにおけるインターネット(IPv6 IPoE/IPv6 PPPoE)接続に対応した。
2.L2TP/IPsec機能に対応した。
3.QoSをIPv6に対応した。
4.DNSフォールバック動作をルーター全体で統一することができるようにした。
5.ntpdateコマンドおよび、SNTPサーバー機能で、IPv6に対応した。
特に1と2は大きな機能追加で、これでフレッツ光ネクストのIPv6を使った閉域網接続とか、iPhone, iPad, MacからのモバイルVPN接続とか… 素晴らしいです!
今回はRTX1100でL2TP/IPsecとPPTPの両方を動かす設定を書いてみます。
アクセス側(iPhone,Mac等)がFWの内側というかIPマスカレードの向こう側にいるという前提で、NATトラバーサルを使って接続します。
ヤマハのサイトに行くと詳しく書いてありますから、基本はこれを参考にします。
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/index.html#setting
○動作検証した環境
YAMAHA製RTX1100 Rev.8.03.92
iPhone4S iOS5.1
iPad2 iOS5.1
Mabook Air Mac OS X 10.7.3
NEC Aterm WM3500R (WiMAXポケットルータ)
○L2TPクライアント情報
IPアドレス : 不定
IPsec事前共有鍵 : secret
PPP認証のユーザー名 : user1, user2
PPP認証のパスワード : pass1, pass2
○PPTPクライアント情報
IPアドレス : 不定
PPP認証のユーザー名 : user1, user2
PPP認証のパスワード : pass1, pass2■今回はuserを2人登録して、それぞれがPPTP、L2TPどちらを使っても大丈夫なように、それぞれtunnelを2本ずつ用意しました。
→同時には2人しか接続出来ないので本来はtunnelは2つで良いです。
【経路設定】 ip route default gateway pp 1 【LAN設定】 ip lan1 address 192.168.0.1/24 ※LAN側のデフォルトゲートウェイ ip lan1 proxyarp on 【プロバイダー設定】※固定IPが1個の設定 pp select 1 pp always-on on pppoe use lan3 pp auth accept pap chap pp auth myname [userID] [password] ※ISP接続用 ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp secure filter in 101029 101021 … ※お好きにどうぞ~ ip pp secure filter out 101020 101021 … ip pp intrusion detection in on reject=on ip pp nat descriptor 1 pp enable 1 【L2TPとPPTP接続の設定】 pp select anonymous pp bind tunnel1-tunnel4 pp auth request mschap pp auth username user1 pass1 pp auth username user2 pass2 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type mppe-any ip pp remote address pool 192.168.0.91-192.168.0.95 ip pp mtu 1258 pp enable anonymous 【L2TPで使うトンネル設定】#1 tunnel select 1 tunnel encapsulation l2tp ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 off ipsec ike local address 1 192.168.0.1 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text secret ipsec ike remote address 1 any l2tp tunnel disconnect time off l2tp keepalive use on 10 3 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 1 【L2TPで使うトンネル設定】#2 tunnel select 2 tunnel encapsulation l2tp ipsec tunnel 102 ipsec sa policy 102 2 esp aes-cbc sha-hmac ipsec ike keepalive use 2 off ipsec ike local address 2 192.168.0.1 ipsec ike nat-traversal 2 on ipsec ike pre-shared-key 2 text secret ipsec ike remote address 2 any l2tp tunnel disconnect time off l2tp keepalive use on 10 3 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 2 【PPTPで使うトンネル設定】#1 tunnel select 3 tunnel encapsulation pptp pptp tunnel disconnect time off tunnel enable 3 【PPTPで使うトンネル設定】#2 tunnel select 4 tunnel encapsulation pptp pptp tunnel disconnect time off tunnel enable 4 【NATの設定】 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.0.1 tcp 1723 nat descriptor masquerade static 1 2 192.168.0.1 gre nat descriptor masquerade static 1 3 192.168.0.1 esp nat descriptor masquerade static 1 4 192.168.0.1 udp 500 nat descriptor masquerade static 1 5 192.168.0.1 udp 4500 ※NATトラバーサル用 【IPsecトランスポートモード設定】 ipsec transport 1 101 udp 1701 ipsec transport 2 102 udp 1701 ipsec auto refresh on 【L2TP設定】 l2tp service on 【PPTP設定】 pptp service on 【フィルター設定】 pp select 1 ip pp secure filter in ... 200080 200081 200082 200083 200084 200085… ip filter 200080 pass * 192.168.0.1 esp * * ip filter 200081 pass * 192.168.0.1 udp * 500 ip filter 200082 pass * 192.168.0.1 udp * 1701 ip filter 200083 pass * 192.168.0.1 tcp * 1723 ip filter 200084 pass * 192.168.0.1 gre * * ip filter 200085 pass * 192.168.0.1 udp * 4500
■以上の設定で終了です。特にNATデスクリプタとフィルターまわりはミス(見落とし)しやすいので丁寧にチェックします。
→私はNATトラバーサル用の4500番の設定を忘れて、しばらく気がつかなくて??状態でした。
(L2TPで3G回線からだと接続できるのに、WiMAXルータからはダメで… う~ん、う~ん)
追記 2012/06/07
Macから接続していて1時間程度つないでいるとVPN回線が切れたり、また一旦スリープして起きた後の接続が出来なかったりとか… 接続が安定しないときには、tunnel設定の中のl2tp tunnel disconnect time offを、10分程度に変更してみて下さい。つまり、l2tp tunnel disconnect time 600 に変更します。
私のテスト環境では、この設定変更で接続が安定しました。
最近のコメント