Century Systems NXRシリーズでl2tp/ipsecリモートアクセス環境を構築

2016/10/15 ネットワーク

network-NXR2
l2tp/ipsecは殆どのクライアント環境で利用できる安全なリモートアクセス用のVPNです。
iOSやandroidでも利用でき、Windows7/8でもデフォルトで機能が実装されており、利用するのにクライアント側の追加費用が掛かりません。
以前の記事「RTX-1200を使ってl2tp/ipsecを設定。自宅・オフィスへ接続する」でRTX-1200を利用したl2tp/ipsecの設定手順を紹介していますが、RTX-1200はやや高価で、ちょっと試してみたいという場合には向かないところもあります。
弊社ではCentury Systems のNXR-230/CをVPNルーターとして利用しております。
l2tp/ipsecは本当に便利で、私たちのような仕事では、一度利用すると手放せません。
ただ、このNXR-230/CはRTX-1200と同程度の価格なので、手軽に利用するのは難しいと思います。

スポンサーリンク


l2tp/ipsecは同社の、一つグレードの低いルーターであるNXR-120/Cでも実装されています。
NXR-120/Cは、実売で5万を切る価格ですので、費用面では手を出しやすい商品です。
今回はこのNXRを利用して安価にl2tp/ipsecを設定する手順を記載してみたいと思います。

2016/10/15 (追記)
本記事の設定では、Android 6系で接続ができないことを確認しております。
これはAndroid 6の返す暗号化の応答が低いビットで帰ってくることが原因なようです。
Century Systemsでは、この対応について、以下のオプションを追加しています。

本オプションは、ファームウェア 5.26.13で実装されていることを確認しておりますので、android6系で利用l2tp/ipsecを設定される場合は、できる限り最新のファームウェアに更新することをオススメします。

1.環境

l2tp/ipsecを行う環境として、以下を前提としています。

  • インターネット回線は光ファイバ、PPPoEにて固定1IPを取得している。
  • DMZゾーンはなく、LANゾーンのみ
  • LAN側のIPは192.168.10.0/24を指定
  • クライアント側は基本的にNAT環境のため、nat-traversalを設定する。
  • 接続クライアントはiphoneおよびPC(Windows7)
  • 接続クライアントのプールIPは10.0.0.10,10.0.0.11
  • 設定はコマンドにて行う。

2.具体的な設定手順

基本的な設定手順は

  • デフォルトのIPアドレスへsshで接続
    192.168.0.254/24がLAN側IPとして設定されていますので、ここへLANケーブルを接続し、sshで接続します。
  • configの設定
  • 動作確認
  • クライアント側の設定(iOS,Windows7)

という4ステップです。

3.configの内容

l2tp/ipsecで接続するためのconfigは以下になります。
****で伏せてある部分は実環境に合わせて設定の変更が必要になる箇所です。
sshでルーターへ接続した直後は設定の変更ができないモードのため、以下のコマンドで設定変更ができるモードへ移行します。
(TABキーでコマンドの補完が可能)

プロンプトが(config)#に変更したら、モードの移行が完了です。
以下のconfigの通りに設定を進めて行きます。
****の伏字部分についての詳細は4章に記載しておりますので、こちらも併せて見て下さい。
2016/10/15 (追記)
andorid6系の接続設定に合わせて、configを変更致しました。

最後に

でconfigを保存します。
PPPoEやDHCP/DNSの設定も含まれていますので、正しく設定が出来ていれば、上位回線側へ接続するだけで、L2TP/IPSecを利用するための環境作成が完了します。
尚、WAN側のフィルタはSPI(ステートフルパケットインスペクション)を有効にしているため、必要なポートのみ明示的にオープンしています。環境に応じてフィルタの追加を行ってください。
次の項目で、設定が必要な点の詳細を説明します。

4.設定の変更点、詳細について

configの変更点として、伏字にした部分のパラメーターを説明します。
設置する環境に合わせて以下の点を変更します。

4−1.ルーターログイン用パスワードの変更

sshでルーターにログインするためのパスワードと、gui画面へログインするためのパスワードを設定します。
パスワードは任意のものを設定して下さい。
NXRはguiから操作できる機能が、それ程多くないため、guiパスワードは必須ではありません。

4−2.ppp/pppoe接続用アカウントの設定

ここでは、PPPoEアカウントと、L2TP/IPSec接続時に利用するアカウント名、パスワードを設定します。
上から、PPPoE用アカウント(プロバイダからの資料に記載されている情報)、iOSに設定するアカウント、windowsクライアントに設定するアカウントを指定します。
pppoe,ios,winという部分は分かり易いように記載しているだけですので、実際には異なるものを設定します。

4−3.事前共有キーの設定

authentication pre-shareは事前共有キーです。VPN設定の際に利用する共有キーとなります。簡単に推測されないような複雑なキーを設定します。

4−4.PPPoE認証設定

PPPoE接続を行うための設定を行います。
IPアドレスはプロバイダから割り当てられた固定IPを指定、ppp usernameは上で設定したpppアカウントのpppoe***に該当するアカウント名を指定します。

4-5.IPフィルタ設定

外部からl2tp/ipsecで接続するためのフィルタ及び
nat-traversalで接続するためにフィルタをオープンします。

***.*.***.*** はPPPoE側のグローバルIPアドレス、固定IPを設定します。
上記の3フィルタ、50番ポート、UDP:500番ポート、UDP:4500番ポートのオープンはl2tp/ipsec接続を行うために必要なため、必ず設定します。
その他のフィルタは環境に併せて任意で設定して下さい。
サンプルの設定では、NTPへのDDoS攻撃対策として、明示的にNTPのフィルタを追加しています。
ルーター側の設定はこれで完了です。
設定が完了したら、save configコマンドでconfigを保存します。
設定済みのルーターを設置して、LAN側からインターネットへ接続できること、pingが外部へ通ることを確認して下さい。

5.クライアント側の設定

これまでの設定で、ルーター側に接続できるようになっています。
次にクライアント側で設定を行い、l2tp/ipsecでリモートアクセスを行います。
iOSのl2tp/ipsec設定は、RTX-1200と同様の設定になりますので、「RTX-1200を使ってl2tp/ipsecを設定。自宅・オフィスへ接続する」の記事を参照して下さい。
window7のl2tp/ipsec設定手順は「SEIL:Windows 7のVPN(L2TP/IPsec)設定手順」に詳細が記載されていますので、導入した環境に合わせて設定を行います。
設定後、外部からVPN接続を行い、NXRルーターのLAN側ローカルIPからpingの応答が帰ってくれば、導入は完了です。

弊社の環境では、iphone5sのテザリング (wifi) を利用してテストを行いましたが、やや速度が遅い結果が出ました。
テザリングをUSBケーブル経由で行ったときのパフォーマンスは問題なかったので、wifiを利用したテザリングで速度が出ない場合は、USBケーブル、もしくはbluetoothでの接続に変更してテストしてみてください。

システムでお困りのお客様

もし、貴社で、

  • サポート切れのサーバやネットワーク機器の入れ替えをしたいが、どうしたらよいかわからない
  • サーバやネットワークの管理を行う社員がいないため困っている
  • 業務に利用している機器のセキュリティが大丈夫か心配
  • 機器の障害で、業務への影響が発生している
  • 社内の要望に対して、どのようなシステムを導入したらよいか解らない

など、サーバーやネットワーク、セキュリティでお悩みの方、新規のシステム導入を検討中の方。
多くのシステム構築を行い、成功させてきた実績をもつ弊社が、その問題を解決します。
お気軽にお問い合わせ頂き、貴社の問題解決にお役立てください。

お問い合わせ・ご相談はこちらから

Facebookでのご購読が便利です。

Twitter・Feedlyでもご購読できます。

Twitterでフォローする Feedlyでフォローする

関連する情報

l2tp-vpn-setting

RTX-1200を使ってl2tp/ipsecを設定。自宅・オフィスへ接続する

今やスマートフォンやタブレットは一人に一台という勢いで普及しています。 どこにいても情報を見る

fortigate-firm-up

Fortigateのファームウェアをconfigを残したままv4.0からv5.0へアップグレードする

Fortigateのファームウェアv4.0は2014年3月でEOLを迎えます。(ファームウェアの

ssg-tcp-syn-check

SSG5/140での不具合 tcp-syn-check

UTMってもう、ネットワーク機器の主流の一つになってますよね。最近は単純なFireWallを見つ

forti-security

UTM Fortigateのセキュリティを強化する設定

Fortigateを利用しているユーザーは多いと思います。その割に利用されていないのは、Fort

rtx1210_firmware

RTX-1200/1210のファームウェアをリビジョンアップする手順

RTX-1200/1210には幾つかの方法でファームウェアを更新することが出来ます。 簡単に行

ssg-whitelist

UTM Juniper SSG利用時のホワイトリスト判定について調べてみる

UTMとして導入実績の多いSSG。UTMはUnified Threat Managementの略

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  • スポンサーリンク