YAMAHA + SoftEther(L2TPv3) RTXシリーズからの接続

RTXシリーズからの接続設定

エントリーモデルの上位機種RTX1210でも最大9台までしかL2TPv3接続を行うことができません。センター側にSoftEtherを利用すると台数の制限が無くなりますので便利です。

SoftEther(VPN Server)の設定

L2TPv3設定をはじめに行ってください。

SoftEther(L2TPv3設定) その5
SoftEther(VPN Server) L2TPv3設定 ネットワーク構成 作成した仮想HUB(物理ネットワークと同じ)のセグメント...

ルーター(YAMAHA RTX1210)

YAMAHA RTX1210 とSoftEther(VPN Server)の間でL2TPv3/IPsecを用いたVPNを構築します。ルーターのLAN1(ブリッジ)がVPNサーバーで指定した仮想HUBと同一セグメントとして通信が可能です。

RTX1210(PPPoE接続)


# デフォルトデートウェイの設定
ip route default gateway pp 1

# スタティックルート
# 既存の社内ネットワークへ
ip route 192.168.0.0/16 gateway 192.168.1.254

# フィルタリング設定
# ハッキング対策
ip filter source-route on
ip filter directed-broadcast on

# ブリッジ設定
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.1.10/24

# プロバイダ接続
# 接続方式で設定する
pp select 1
 pp keepalive use lcp-echo
 pp keepalive interval 30 retry-interval=1 count=6
 pp always-on on
 pppoe use lan2
 pppoe auto disconnect off
 pppoe tcp mss limit 1414
 pp auth accept pap chap
 pp auth myname "ID" "PASS"
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp secure filter in 1000 1001 1002 1010 1011 1012 1020 1999
 ip pp secure filter out 2000 2001 2002 2003 2004 2005 2999 
 ip pp nat descriptor 1
 pp enable 1

# L2TPv3設定
tunnel select 1
 tunnel encapsulation l2tpv3
 tunnel endpoint address 200.0.0.1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike duration ipsec-sa 1 691200 rekey 90%
  ipsec ike duration isakmp-sa 1 691200 rekey 90%
  ipsec ike keepalive log 1 on
  ipsec ike keepalive use 1 on dpd 10 6 0
  # VPN Server の「サーバー機能の詳細設定」で指定
  # ISAKMP (IKE) Phase1 の ID 文字列
  ipsec ike local name 1 yamaha01 fqdn
  ipsec ike nat-traversal 1 on keepalive=30 force=off
  # IPsec 事前共通鍵 任意の文字列
  ipsec ike pre-shared-key 1 text vpn1
 # SoftEther(VPN Server)のグローバルIP
  ipsec ike remote address 1 200.0.0.1
  ipsec ike restrict-dangling-sa 1 off
 l2tp always-on on
 l2tp tunnel disconnect time off
 l2tp keepalive use on 5 10
 l2tp keepalive log on
 l2tp syslog on
 # 任意の文字列
 # SoftEther側では利用しない
 l2tp remote end-id vpn
 tunnel enable 1

# フィルター設定
# INPUT
ip filter 1000 reject 10.0.0.0/8 * * * *
ip filter 1001 reject 172.16.0.0/12 * * * *
ip filter 1002 reject 192.168.0.0/16 * * * *
ip filter 1010 pass * * udp * 500
ip filter 1011 pass * * udp * 1701
ip filter 1012 pass * * udp * 4500
# メンテナンスを行う接続元IP
ip filter 1020 pass 200.200.200.1 * tcp * telnet
ip filter 1999 reject * *
# OUTPUT
ip filter 2000 reject * * udp,tcp 135 *
ip filter 2001 reject * * udp,tcp * 135
ip filter 2002 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 2003 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 2004 reject * * udp,tcp 445 *
ip filter 2005 reject * * udp,tcp * 445
ip filter 2999 pass * *

# NAT設定
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
# 利用するパケットは内部にNATし疎通させる
nat descriptor masquerade static 1 1 172.19.10.10 tcp telnet
nat descriptor masquerade static 1 2 172.19.10.10 udp snmp

# IPsec設定
ipsec auto refresh on
ipsec transport 1 101 udp 1701

# DNSサーバの指定
dns server pp 1

# L2TPv3有効化
l2tp service on l2tpv3

クライアント端末

クライアント端末はルーター(RTX1210)のLAN1ポートに結線すると接続が完了します。

※注意事項

私の環境では、パケットロスを起こして使えないプロトコルがあります。
よって現在は利用はしていません。

(2017/01/27現在)
 softether(v4.20-9608-rtm-2016.04.17)
 rtx1210(Rev.14.01.14)
 Windows10 (Version 1607)

RTX配下の端末からの通信(RTX ⇒ SoftEther)に問題が発生します。

試したプロトコル 通信結果
CIFS
SMTP
ICMP(PING)
MAPI 不可
HTTP 不可

OutLookとWebが利用できないのは致命的です。

スポンサーリンク

シェアする

フォローする

スポンサーリンク