YAMAHA製RTX1100はすでに生産が終了しており、個人的には往年の名機と呼んでも良い風格があると思っています。しかし、YAMAHAのルータ開発陣の方々は素晴らしいです。なんと2012年2月23日にファームウェアをバー ジョンアップしてRev.8.03.92をリリースしてくれました。
※詳しくはこちらをご覧下さい。
http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.08.03/relnote_08_03_92.html
大きくは次の機能が追加されました。
- NTT 東日本/NTT 西日本のフレッツ光ネクストにおけるインターネット (IPv6 IPoE / IPv6 PPPoE) 接続に対応した。
- L2TP/IPsec 機能に対応した。
- QoS を IPv6 に対応した。
- DNS フォールバック動作をルーター全体で統一することができるようにした。
ntpdate コマンドおよび、SNTP サーバー機能で、IPv6に対応した。
特に 1 と 2 は大きな機能追加で、これでフレッツ光ネクストの IPv6 を使った閉域網接続とか、iPhone, iPad, Mac からのモバイル VPN 接続とか… 素晴らしいです!
今回は RTX1100 で L2TP/IPsec と PPTP の両方を動かす設定を書いてみます。
アクセス側(iPhone,Mac等)が FW の内側というか IP マスカレードの向こう側にいるという前提で、NAT トラバーサルを使って接続します。
ヤマハのサイトに行くと詳しく書いてありますから、基本はこれを参考にします。
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/index.html#setting
動作検証した環境 YAMAHA製 RTX1100 Rev.8.03.92 iPhone4S iOS5.1 iPad2 iOS5.1 Macbook Air Mac OS X 10.7.3 NEC Aterm WM3500R (WiMAXポケットルータ) L2TPクライアント情報 IPアドレス : 不定 IPsec事前共有鍵 : secret PPP認証のユーザー名 : user1, user2 PPP認証のパスワード : pass1, pass2 PPTPクライアント情報 IPアドレス : 不定 PPP認証のユーザー名 : user1, user2 PPP認証のパスワード : pass1, pass2
■今回は user を 2人登録して、それぞれが PPTP、L2TP どちらを使っても大丈夫なように、それぞれ tunnel を2本ずつ用意しました。
※同時には2人しか接続出来ないので本来は tunnel は 2つで良いです。
【経路設定】
ip route default gateway pp 1
【LAN設定】
ip lan1 address 192.168.0.1/24 ※LAN側のデフォルトゲートウェイ
ip lan1 proxyarp on
【プロバイダー設定 】 ※固定IPが1個の設定
pp select 1
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname [userID] [password] ※ISP接続用
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 101029 101021 … ※お好きにどうぞ~
ip pp secure filter out 101020 101021 …
ip pp intrusion detection in on reject=on
ip pp nat descriptor 1
pp enable 1
【L2TPとPPTP接続の設定】
pp select anonymous
pp bind tunnel1-tunnel4
pp auth request mschap
pp auth username user1 pass1
pp auth username user2 pass2
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool 192.168.0.91-192.168.0.95
ip pp mtu 1258
pp enable anonymous
【L2TPで使うトンネル設定】#1
tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike keepalive use 1 off
ipsec ike local address 1 192.168.0.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text secret
ipsec ike remote address 1 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 1
【L2TPで使うトンネル設定】#2
tunnel select 2
tunnel encapsulation l2tp
ipsec tunnel 102
ipsec sa policy 102 2 esp aes-cbc sha-hmac
ipsec ike keepalive use 2 off
ipsec ike local address 2 192.168.0.1
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text secret
ipsec ike remote address 2 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 2
【PPTPで使うトンネル設定】#1
tunnel select 3
tunnel encapsulation pptp
pptp tunnel disconnect time off
tunnel enable 3
【PPTPで使うトンネル設定】#2
tunnel select 4
tunnel encapsulation pptp
pptp tunnel disconnect time off
tunnel enable 4
【NATの設定】
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.0.1 tcp 1723
nat descriptor masquerade static 1 2 192.168.0.1 gre
nat descriptor masquerade static 1 3 192.168.0.1 esp
nat descriptor masquerade static 1 4 192.168.0.1 udp 500
nat descriptor masquerade static 1 5 192.168.0.1 udp 4500 ※NATトラバーサル用
【IPsecトランスポートモード設定】
ipsec transport 1 101 udp 1701
ipsec transport 2 102 udp 1701
ipsec auto refresh on
【L2TP設定】
l2tp service on
【PPTP設定】
pptp service on
【フィルター設定】
pp select 1
ip pp secure filter in ... 200080 200081 200082 200083 200084 200085…
ip filter 200080 pass * 192.168.0.1 esp * *
ip filter 200081 pass * 192.168.0.1 udp * 500
ip filter 200082 pass * 192.168.0.1 udp * 1701
ip filter 200083 pass * 192.168.0.1 tcp * 1723
ip filter 200084 pass * 192.168.0.1 gre * *
ip filter 200085 pass * 192.168.0.1 udp * 4500■以上の設定で終了です。特に NAT デスクリプタとフィルターまわりはミス(見落とし)しやすいので丁寧にチェックします。
→私は NAT トラバーサル用の 4500 番の設定を忘れて、しばらく気がつかなくて??状態でした。
( L2TPで 3G 回線からだと接続できるのに、WiMAX ルータからはダメで… う~ん、う~ん)
追記 2012/06/07
Mac から接続していて1時間程度つないでいると VPN 回線が切れたり、また一旦スリープして起きた後の接続が出来なかったりとか… 接続が安定しないときには、tunnel 設定にある l2tp tunnel disconnect time off を、10 分程度に変更してみて下さい。つまり、l2tp tunnel disconnect time 600 に変更します。
私のテスト環境では、この設定変更で接続が安定しました。
