RTX810 に Windows から L2TP/IPsec で VPN を張る

networking

rtseries

tutorial

公開サーバ用に久しぶりに RTX810 という YAMAHA のルータを買いました。

今回の RTX810 導入の目的は F/W 代わりにして、外部から必要としないサービスについては L2TP/IPSec で VPN を張って安全に接続するという方法が取りたかったため。ヤマハのウェブには「Microsoft社製Windows OSのL2TP/IPsec接続はサポートしません」^*1とハッキリ書かれているので、額面通りに解釈すれば Windows からの接続はできないことになりますが、レジストリをいじって Windows 側も L2TP/IPsec の NAT トラバーサルを有効にしてやればサポート対象外ではあるものの接続できるという情報を前もってみつけていたので、今回はこれを利用させてもらいます。

以下、設定メモ。

† RTX810 の設定

今回使った設定は下記のような感じです。
ほぼ参考にしたサイトそのまま使わせてもらいました。

# WAN
ip route default gateway 10.8.95.1 #Need to be updated
ip lan2 address 10.8.95.230/24 #Need to be updated （サーバのグローバルアドレス★１）

# LAN
ip lan1 address 192.168.100.254/24
ip lan1 proxyarp on

# DHCP
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.1-192.168.100.99/24

# L2TP/IPSEC
pp select anonymous
 pp bind tunnel1
 pp auth request mschap-v2
 pp auth username hoge fugafugafuga #Need to be updated（ユーザー名/パスワード★２）
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ip pp remote address pool dhcp
 ip pp mtu 1258
 pp enable anonymous
 tunnel select 1
  tunnel encapsulation l2tp
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 off
   ipsec ike local address 1 192.168.100.254
   ipsec ike nat-traversal 1 on
   ipsec ike pre-shared-key 1 text hogehogehogehoge #Need to be updated （事前共有キー★３）
   ipsec ike remote address 1 any
   l2tp tunnel disconnect time off
   l2tp keepalive use on 10 3
   l2tp keepalive log on
   l2tp syslog on
  ip tunnel tcp mss limit auto
  tunnel enable 1
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on
 l2tp service on

# NAT
ip lan2 nat descriptor 1
nat descriptor type 1 nat-masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 auto
nat descriptor masquerade rlogin 1 on
nat descriptor masquerade static 1 1 192.168.100.254 udp 1701
nat descriptor masquerade static 1 2 192.168.100.254 udp 500
nat descriptor masquerade static 1 3 192.168.100.254 esp
nat descriptor masquerade static 1 4 192.168.100.254 udp 4500

† レジストリを書き換えて L2TP/IPsec の NAT トラバーサルを有効に

前述の MS のナレッジベースにの資料を参考にレジストリエディタで下記のキーを開きます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent 

DWORD（32bit） を AssumeUDPEncapsulationContextOnSendRule という名前で作成して、値を 2 に設定します。

もしくは管理者権限のコマンドプロンプトから以下を実行でもできます。

reg add HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 2

† Windows 上で VPN のセットアップを行う

ここからは普通の VPN の設定と変わりません。

「ネットワークと共有センター」を開き、「新しい接続またはネットワークのセットアップ」を選択します。

「職場に接続します」を選択します。

「インターネット接続(VPN)を使用します」を選択します。

接続先サーバの情報を入力します。

インターネットアドレス：　ルーターのグローバルアドレス★１
接続先の名前：　好きな名前を入力

最後に最下段の「今は接続しない」にチェックをつけておきます。

接続の認証情報を入力します。

ユーザー名：　ルータで設定したユーザー名★２
パスワード：　ルータで設定したパスワード★２

これで接続設定ができました。

「ネットワークと共有センター」に戻り、左側にある「アダプター設定の変更」を開きます。

先ほど設定した名前の項目のプロパティを開きます。
接続のプロパティ - RTX810 に Windows から L2TP/IPsec で VPN を張る

「セキュリティ」タブを開き、「VPNの種類」を「IPsec を利用したレイヤー 2 トンネリングプロトコル (L2TP/IPSec)」に変更します。
接続のプロパティセキュリティ - RTX810 に Windows から L2TP/IPsec で VPN を張る

さらに、「詳細設定」ボタンを押して、「認証に事前共有キーを使う」を選択し、事前共有キー★３を入力します。
セキュリティ詳細設定 - RTX810 に Windows から L2TP/IPsec で VPN を張る

最後にプロパティを閉じて、VPN 接続を行ってみて問題がないことを確認すれば OK です。

† WindowsXP からの接続

Windows XP は AES に対応していないので、上記の設定では接続できません。
3DES に設定すれば大丈夫かもしれませんが、もうすぐサポートが切れることを考えると AES で接続できるマシンでだけ運用するのが賢明そうです。

^*1: L2TP/IPsec

^*2: これは機械翻訳による日本語なので、英文に抵抗がなければ原文の「How to configure an L2TP/IPsec server behind a NAT-T device in Windows Vista and in Windows Server 2008」を読んで作業した方が安心できるはずです。レジストリ操作ですし。