自宅で使っている RTX810 くんを眺めていたら、L2TP/IPsec で VPN トンネル掘らない?と問いかけられたので、掘ってみた。
設定サンプルがヤマハネットワークのサイトがあったので、ほぼそのまま持ってきている。
まずは LAN 側のインターフェースでトンネルの向こう側にいるクライアントに LAN 側の arp リクエストを代理応答するように設定を入れておく
ip lan1 proxyarp on
次に L2TP 接続を受け入れるためのインターフェースを作る
pp select anonymous pp bind tunnel1 pp auth request chap-pap pp auth username <L2TPユーザ> <ユーザのパスワード> ppp ipcp ipaddress on ppp ipcp msext on ip pp remote address pool 192.168.11.226-192.168.11.237 ip pp mtu 1258 pp enable anonymous
pp auth username は L2TP 接続をするクライアントの数だけ記述する。今回は僕が外出先から繋げれればいいので、1つだけで十分。ip pp remote address で L2TP クライアントに払い出すアドレスをレンジで確保しているのは、将来的に増えることを見越して、多めにとっている。
次に L2TP/IPsec で VPN トンネルを作るための設定を入れる。
tunnel select 1 tunnel encapsulation l2tp ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 off ipsec ike local address 1 <lan1のアドレス> ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text <IPsec の事前共有鍵> ipsec ike remote address 1 any l2tp tunnel disconnect time off l2tp keepalive use on 10 3 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 1
l2tp syslog on しているのは、設定中にどハマって、あるぇ?となることを見越して、L2TP 周りのログを syslog で吐くようにしておいた。
次に IPsec のトランスポートモードを設定しておく
ipsec auto refresh on ipsec transport 1 1 udp 1701
あとはフィルターを書いて、必要なパケットが通過できるようにしておく。
ip filter 200080 pass * <lan1のアドレス> esp * * ip filter 200081 pass * <lan1のアドレス> udp * 500 ip filter 200082 pass * <lan1のアドレス> udp * 1701 ip filter 200083 pass * <lan1のアドレス> udp * 4500
で、このフィルタを PP インターフェースの in に追加しておく。
ip pp secure filter in <設定しているフィルターの番号> 200080 200081 200082 200083
あとは PP インターフェースの nat descriptor に L2TP/IPsec 用の設定をいれておく。
nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 <lan1のアドレス> esp nat descriptor masquerade static 1 2 <lan1のアドレス> udp 500 nat descriptor masquerade static 1 3 <lan1のアドレス> udp 4500
ここまで来たら、RTX810 側の受け入れ準備は完了しているので、端末からトンネル掘って、show status l2tp とかして、様子を見る。
というわけで、出先でホームシックになっても、少なくともネットワーク的にはお家に帰れるようになって幸せになれました。
あとは、テンプレート機能をつかって2つ目以降は手数を少なくしてトンネル開通できるらしいので、新しいラップトップを入手するための家庭内稟議を通す努力をしたいと思います。
