2014年6月20日金曜日

RTX1100 L2TP/IPsecの設定ファイル

貯蔵さんのリクエストにお答えして、ヤマハのルータのコンフィグを載せてみます。
VPNクライアントは、Mac OSX(10.9.3)が繋がることのみ確認済みです。

NAT越えの設定が漏れていて苦労した覚えがあります。直接グローバルIPアドレスが貰えることはまずなくて、テザリングなどを含めてNATが必ずあると思った方がいいです。ということで、NAT関連の設定をよくみるとよさそうですよ。

以下、備考です。
・ネットワーク上でこちらを特定する様な情報は塗りつぶしています。
・内側のLANは、192.168.11.0/24です。
・ルータの内側のアドレスは192.168.11.1です。
・IPアドレスは192.168.11.184-191までをVPN用にし、192.168.11.192-254までをDHCPにしています。
・昔のblogで、mschapを使う、と書いたのですがmschap-v2で問題無く繋がるのでこちらを使っています。
・あまり使い込んでいないのでタイマー関連のチューニングはしてないです。
・ついでに新しいファームウェアにバージョンアップしました。


# RTX1100 Rev.8.03.94 (Thu Dec  5 19:06:16 2013)
# MAC Address : XX:XX:XX:XX:XX:XX, XX:XX:XX:XX:XX:XX, XX:XX:XX:XX:XX:XX,
# Memory 32Mbytes, 3LAN, 1BRI
# main:  RTX1100 ver=f0 serial=N1AXXXXXX MAC-Address=XX:XX:XX:XX:XX:XX MAC-Addr
ess=XX:XX:XX:XX:XX:XX MAC-Address=X:XX:XX:XX:XX:XX
# Reporting Date: Jun 19 23:48:14 2014
administrator password PASSWORD
login user USERNAME PASSWORD
console character ascii
console lines 53
console prompt RTX1100
ip route default gateway dhcp lan2
ip lan1 address 192.168.11.1/24
ip lan1 proxyarp on
ip lan2 address dhcp
ip lan2 nat descriptor 1 2
netvolante-dns use lan2 server=1 auto
netvolante-dns hostname host lan2 server=1 HOSTNAME.XXX.netvolante.jp
pp select anonymous
pp bind tunnel1-tunnel2
pp auth request mschap-v2
pp auth username USERNAME1 PASSWORD1
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp remote address pool 192.168.11.184-192.168.11.191
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 101
 ipsec sa policy 101 1 esp aes-cbc sha-hmac
 ipsec ike keepalive use 1 off
 ipsec ike local address 1 192.168.11.1
 ipsec ike nat-traversal 1 on
 ipsec ike pre-shared-key 1 *
 ipsec ike remote address 1 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 102
 ipsec sa policy 102 2 esp aes-cbc sha-hmac
 ipsec ike keepalive use 2 off
 ipsec ike local address 2 192.168.11.1
 ipsec ike nat-traversal 2 on
 ipsec ike pre-shared-key 2 *
 ipsec ike remote address 2 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 2
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.11.1 esp
nat descriptor masquerade static 1 2 192.168.11.1 udp 500
nat descriptor masquerade static 1 3 192.168.11.1 udp 4500
ipsec auto refresh on
ipsec transport 1 101 udp 1701
syslog debug off
dhcp service server
dhcp scope 1 192.168.11.192-192.168.11.254/24
schedule at 1 */* *:05 * ntpdate ntp.nict.jp
l2tp service on
sshd service on
sshd host key generate *


1 件のコメント:

kaizo さんのコメント...

Windows7, Android4.2でもつながりますね。