RTX1100 リモートアクセスVPN用設定手順
RTX1100は名器だと思います。
10/100Mのポートですが、3つのLANネットワークが使えるし。
設定は独特かもしれませんが、ドキュメントも充実していて結構設定もできる。
時々ファームウェアも更新してくれて機能を追加してくれたり。
運もあると思いますが、今のところ障害も発生していない。
→これが一番名器と思う理由
だいぶ前?になるが、
ファームウェアのアップデートでL2TP/IPsecのリモートアクセスVPNもできるようになったようなので、
設定して確認してみた手順をメモ。
準備
・RTX1100 ・最新のファームウェア ・ファームウェアをアップデートするためRTX1100に接続できるPC
■ファームウェアをアップデート
手順についてはこちらページの手順を確認する。
http://www.rtpro.yamaha.co.jp/RT/FAQ/Install/revision-up.html
Windows端末を使ってのアップデート手順はこちらのPDFファイルにまとまっている。
http://www.rtpro.yamaha.co.jp/RT/how2tftp.pdf
簡単に手順をまとめると
1.tftpサーバー接続用の設定を投入 2.telnetで接続して、administratorに昇格 3.clear log コマンドを実行したほうがメモリの領域が増加するため ファームのアップデートが早いのでclearlogを実行 4.tftpコマンドを実施してファームウェアを送信 5.アップデートが終了すると自動的に再起動 6.再起動したのちにログイン時もしくはshow configコマンド時の ファームウェアの番号が新しくなっていることを確認
■configを変更
まずは以下のサイトの記載を確認する。特に上記のyamahaのサイト記載内容はよく読む
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/index.html
http://www.lonnie.co.jp/xoops/modules/d3forum/index.php?topic_id=25
【LAN設定】 ip lan1 address 192.168.100.1/24 ip lan1 proxyarp on →VPN接続でローカルアドレスを割り当てられた際に そのローカルアドレスにlan1のMACアドレスを登録するためのコマンド
【L2TP接続とPPTP接続を受け入れるための設定】 pp select anonymous pp bind tunnel1-tunnel20 →VPN用のトンネルインターフェースを用意する。 pp auth request mschap-v2 pp auth username hogehoge hogepass →ユーザー名とパスワードを記入する。 pp auth username hogehanako hogehanakopass pp auth username username3 password3 pp auth username username4 password4 pp auth username username5 password5 ppp ccp type mppe-128 ip pp remote address pool 192.168.100.150-192.168.100.169 →VPN接続されたときに払い出すIPアドレスの範囲を設定する。 ip pp mtu 1258 →l2tpプロトコルによるカプセル化のためmtuの値を少なくする。 pp enable anonymous
【L2TP接続で使用するトンネルの設定】 tunnel select 1 1つ目のトンネルインターフェースの設定 tunnel encapsulation l2tp →カプセル化をL2TPで実施するという指定 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.100.1 ipsec ike nat-traversal 1 on →NAT Traversalを有効にしておく。 ipsec ike pre-shared-key 1 text PASSPHRASE →事前共有鍵をテキスト形式で定義する。 ipsec ike remote address 1 any l2tp tunnel disconnect time 600 →time offに設定していると切れたりすることがあるが、明示的に設定しておくと通信が安定する。 l2tp keepalive use on 10 6 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 1 tunnel select 2 2つ目のトンネルインターフェースの設定 tunnel encapsulation l2tp ipsec tunnel 102 ipsec sa policy 102 2 esp aes-cbc sha-hmac ipsec ike keepalive use 2 on ipsec ike local address 2 192.168.100.1 ipsec ike nat-traversal 2 on ipsec ike pre-shared-key 2 text PASSPHRASE ipsec ike remote address 2 any l2tp tunnel disconnect time 600 l2tp keepalive use on 10 6 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 2 こんな感じで必要な数のL2TPトンネル設定を行う。
【PPTP接続で使用するトンネルの設定】 tunnel select 11 1つ目のPPTPトンネルインターフェースの設定 tunnel encapsulation pptp pptp tunnel disconnect time off ip tunnel tcp mss limit auto tunnel enable 11 tunnel select 12 2つ目のPPTPトンネルインターフェースの設定 tunnel encapsulation pptp pptp tunnel disconnect time off ip tunnel tcp mss limit auto tunnel enable 12 こんな感じで必要な数のPPTPトンネル設定を行う。
【VPNに必要なフィルター設定】 ip filter 2XXXXX pass-log * 192.168.100.1 esp * * ip filter 2XXXXX pass-log * 192.168.100.1 udp * 500 ip filter 2XXXXX pass-log * 192.168.100.1 udp * 1701 ip filter 2XXXXX pass-log * 192.168.100.1 udp * 4500 ip filter 2XXXXX pass-log * 192.168.100.1 tcp * 1723 ip filter 2XXXXX pass-log * 192.168.100.1 gre * * L2TPとPPTPのアクセスを許可する設定を実施。 pass-logは通過したときにログを残す設定で 誰が接続しているのかを確認するときに利用する。(通常はpassでいいかも…。)
【NAT設定】 nat descriptor type 1 masquerade nat descriptor address outer 1 XXX.XXX.XXX,XXX nat descriptor address inner 1 192.168.100.1-192.168.100.254 nat descriptor masquerade static 1 1 192.168.100.1 tcp 22 nat descriptor masquerade static 1 2 192.168.100.1 tcp 1723 nat descriptor masquerade static 1 3 192.168.100.1 gre nat descriptor masquerade static 1 4 192.168.100.1 esp nat descriptor masquerade static 1 5 192.168.100.1 udp 500 nat descriptor masquerade static 1 6 192.168.100.1 udp 4500 外からのl2tp,pptpによるVPNリクエストの通信を 192.168.100.1に変換する。
【IPsecのトランスポートモード設定】 ipsec auto refresh on ipsec transport 1 101 udp 1701 ipsec transport 2 102 udp 1701 ipsec transport 3 103 udp 1701 ipsec transport 4 104 udp 1701 ipsec transport 5 105 udp 1701 ipsec transport 6 106 udp 1701 ipsec transport 7 107 udp 1701 ipsec transport 8 108 udp 1701 ipsec transport 9 109 udp 1701 ipsec transport 10 110 udp 1701 ipsecを受け付けるトンネル分設定をする必要がある。
【l2tp,pptpのサービス設定】 pptp service on l2tp service on
これでRTX1100側の設定は完了。クライアント側で設定をすればつながるはず。
おすすめ商品!□♪YAMAHA イーサアクセス VPNルーター RTX1100 【中古】 |
NETGEAR Nighthawk X6 R8000ギガビットルーター R8000-100JPS
- 出版社/メーカー: ネットギア
- 発売日: 2015/04/30
- メディア: Personal Computers
- この商品を含むブログを見る