RTX-1200を使ってl2tp/ipsecを設定。自宅・オフィスへ接続する

2016/02/23 ネットワーク

l2tp-vpn-setting
今やスマートフォンやタブレットは一人に一台という勢いで普及しています。
どこにいても情報を見ることができる便利さは、一度使うと手放せません。
そんなスマートフォン(タブレット)を使って、自宅や職場のシステムへ安全に接続したいと思ったことはありませんか。
PCだとVPNを利用して、自宅や職場にあるシステムへ接続できますが、実はスマートフォン(タブレット)でも同じことができます。

スポンサーリンク

iphone(ipad)もandroidも、安全にリモート接続するための機能、VPN(Virtual Private Network)接続機能が実装されていますので、職場や自宅でVPNに対応した機器があり、適切に設定されていれば、安全にリモート接続できます。
※VPNでは通信内容は暗号化されますので、スニッファされても大丈夫です。
今回はヤマハのブロードバンドルーター、RTX-1200を利用してVPNを設定してみました。
既にRTX-1200を導入しているところも多いので、そういう場合は設定を追加するだけで、安全な接続環境ができあがります。
※ヤマハのラインナップでRTX-1200より安価なRTX-810でも同じ設定が可能ですが、RTX-810の場合、同時接続数が6セッションとかなり少ないところは注意が必要になります。
この設定で、外出先からipadやiphone、Andoroidでリモートデスクトップを利用したり、ファイルを閲覧したりできます。(ipad/iphoneの場合、File Explorerをお勧めしています。)
※本記事のiphone向け設定は基本的にipadと共通です。
弊社では「VPN接続パッケージ」を用意しておりますので、お気軽にご相談下さい。

1.PPTPでの接続を検討する

外部からの接続方法として、まずはリモートVPNとして実装が簡単な、PPTPを設定することを検討しました。
PPTPは設定が容易で、比較的簡単に導入が可能です。RTX-1200はもちろんPPTPに対応しています。
早速、RTXにPPTP用設定を追加してテストを行います。
尚、設定は全てGUIを利用せず、コマンドで行っています。

1-1.PPTPを導入するネットワーク環境

以下がVPNを実装するためのネットワーク環境です。

  • インターフェイスはlan1がローカルネットワーク
  • lan2がwan側です。wan側は固定のIPを取得しており、PPPoEは利用していません。
  • lan1のローカルネットワークは 192.168.20.254/24を設定している。

1-2.PPTP接続設定

まずはRTX-1200(1210)へログインし、PPTPサーバの設定を行います。
descriptionは任意の名前となります。
auth usernameは仮にtestuserとして、パスワードは任意のものを設定します。
pp bind tunnel100は手順1-2.で設定するトンネル番号を入力します。

1-3.PPTP用VPNトンネル設定

次にVPNトンネルの定義を行います。

tunnel番号は1-2.で設定した番号です。
descriptionは説明ですので、任意になります。

1-4.IPフィルタの設定

外部に対してPPTP接続を許可するために、IPフィルタをオープンします。
lan2が外部のインターフェイスです。

※filterは追加した部分のみ記載しています。filter番号は環境に合わせて読み替えてください。

1-5.natの設定

PPTPで利用するポートを外部に公開するためにNAT設定を行います。

1-6.PPTPサービスの有効化

PPTPサーバを起動します。

ここまででRTX側のPPTP設定は完了です。

2.PPTPでiphoneとandroidから接続テストを実行

2-1.iphoneからの接続テスト

自分自身がiphoneを利用していますので、iphoneからVPN設定を追加してテストをしてみます。
iOSは6です。
[設定][一般][VPN][VPN構成を追加]をクリックして、PPTPボタンから
サーバ:RTXのwan側IPアドレスか、ホスト名
アカウント名:手順1-2.で設定したユーザー名
パスワード:手順1-2.で設定したパスワード
を入力します。
iphone-pptp-01
入力後 [保存] で設定を保存します。
保存すると、VPNの画面に戻りますので、VPNを[オフ]から[オン]にします。
少し時間が掛かりますが、VPN接続が完了すると、上部にVPNと表示されます。
iphone-pptp-02
iphoneでPPTPによるVPN接続が確認できました。
導通も問題ありません。

2-2.Andoroidからの接続テスト

Androidからもテストをしてみます。
AndroidはVer4.0で通信はLTEです。
Androidが手元にないので、詳細な接続手順は割愛します。
LTE経由で、iphoneと同様に設定し、接続を行いました。
結果はNG、まったく接続できません。
ログを確認すると、VPNを張ろうとandroid側からセッションが始まりますが、その後、タイムアウトで切断されてしまいます。
テストで、回線契約の無いandoridからwifi経由で接続してみます。
これは全く問題ありません。
こうなると原因はLTEの回線側にあるように思えます。
LTEとPPTPについて調べてみると、いくつか情報がでてきました。
どうも、LTE回線はPPTPで利用するGREがフィルタされているようです。
こうなるとGREを利用しないVPN、l2tp/ipsecを設定するしかありません。
このような経緯でPPTPからL2TPを設定を変更することになったのでした。

3.l2tp/ipsecの設定

RTX側の設定をPPTPからl2tpへ変更します。

3-1.l2tp/ipsecの設定

L2TPの設定を行います。設定内容はPPTP設定時と殆ど同じになります。
descriptionは任意です。
pp bind tunnel(番号)の番号部分は後程、定義の追加時に必要となります。

3-2.ipsec tunnelの設定

トンネルの定義を行います。
ここで利用する番号は3-1.で設定した番号になります。
pre-shared-key は任意のフレーズを入力します。
これは忘れないようにメモをしておきます。

3-3.filterの解放

L2TP接続を許可するためのipフィルタを追加します。

※filterを追加した部分だけ記載しています。filter番号は環境により適宜変更してください。

3-4.nat設定(l2tp用)

L2TPで利用するポートをNATして外部へ公開します。

3-5.nat traversal設定

NAT以下にあるクライアントから、接続を行うためにnat traversal設定を追加します。

3-6.l2tpサーバの有効化

l2tpサーバを起動するために、以下のコマンドを入力します。

これで設定は完了です。
必要に応じて、設定を保存します。

これで設定は完了します。
通常はコマンドを投入した時点で、機能は有効になるので、接続確認が終わるまでsaveは行わないことが多いんですが。。

4.iphoneとandroidからの接続テスト

4-1.l2tp/ipsecを利用したiphoneのVPN接続テスト

iphoneでl2tp/ipsecの設定を行います。
基本的な設定は同じですが、L2TPを選択することと、シークレットとしてpre-shared-keyパラメータに設定した内容を
入力します。
iphone-l2tp-01
VPNをオンにすると、接続します。
l2tp/ipsecで問題なく接続できました。

4-2.l2tp/ipsecを利用したAndroidのVPN接続テスト

手元にAndoridが無いので、設定手順は割愛しますが、問題なく動作しました。
基本的な設定はiphoneと同じです。
l2tp/ipsecではgreを利用していないので、接続できます。やはりgreがフィルタされているようです。

5.RTX-1200でのnat traversalについて

この設定はRTX-1200を利用していますが、一部のRTX-1200ではL2TPを利用できません。
一部のRTXというのはファームウェア、10.01.36以下を利用しているRTX-1200です。
RTXでは10.01.36のファームウェアからnat traversalに対応しており、L2TP/IPSECをNAT配下から行うためにはnat traversalが必須なためです。
iphoneやandroidの公衆網は直接グローバルIPを割り振らず、ローカルIPを割り当てます。
その為、3G/4G回線やLTE回線で接続すると、NAT環境になってしまい、結果としてnat traversal無しではVPNがつながりません。
この問題を回避するために10.01.36以下のファームウェアを利用しているRTXはこの設定を行う前にファームウェアをアップデートしてください。
RTXのファームウェアアップデート手順は「RTX-1200/1210のファームウェアをリビジョンアップする手順」で紹介しています。是非、併せて参照下さい。

システムでお困りのお客様

もし、貴社で、

  • サポート切れのサーバやネットワーク機器の入れ替えをしたいが、どうしたらよいかわからない
  • サーバやネットワークの管理を行う社員がいないため困っている
  • 業務に利用している機器のセキュリティが大丈夫か心配
  • 機器の障害で、業務への影響が発生している
  • 社内の要望に対して、どのようなシステムを導入したらよいか解らない

など、サーバーやネットワーク、セキュリティでお悩みの方、新規のシステム導入を検討中の方。
多くのシステム構築を行い、成功させてきた実績をもつ弊社が、その問題を解決します。
お気軽にお問い合わせ頂き、貴社の問題解決にお役立てください。

お問い合わせ・ご相談はこちらから

Facebookでのご購読が便利です。

Twitter・Feedlyでもご購読できます。

Twitterでフォローする Feedlyでフォローする

関連する情報

ssg-tcp-syn-check

SSG5/140での不具合 tcp-syn-check

UTMってもう、ネットワーク機器の主流の一つになってますよね。最近は単純なFireWallを見つ

forti-security

UTM Fortigateのセキュリティを強化する設定

Fortigateを利用しているユーザーは多いと思います。その割に利用されていないのは、Fort

fortigate-firm-up

Fortigateのファームウェアをconfigを残したままv4.0からv5.0へアップグレードする

Fortigateのファームウェアv4.0は2014年3月でEOLを迎えます。(ファームウェアの

network-NXR2

Century Systems NXRシリーズでl2tp/ipsecリモートアクセス環境を構築

l2tp/ipsecは殆どのクライアント環境で利用できる安全なリモートアクセス用のVPNです。

rtx1210_firmware

RTX-1200/1210のファームウェアをリビジョンアップする手順

RTX-1200/1210には幾つかの方法でファームウェアを更新することが出来ます。 簡単に行

ssg-whitelist

UTM Juniper SSG利用時のホワイトリスト判定について調べてみる

UTMとして導入実績の多いSSG。UTMはUnified Threat Managementの略

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  • スポンサーリンク