auひかりホーム(S)1GプランでL2TP/IPsecを実現しました。auひかりはNW接続にホームゲートウェイ(HGW)が必須でこのHGWがPPPoEパススルーはできない、DDNSもできないでなかなか曲者です。WAN側のmacアドレスを偽造できるルーターがあればHGWなしでも接続可能だという噂もありますが、残念なら持っていないのでHGWありでL2TP/IPsecを実現しました。
NW構成
NW構成です。HGWはBL1500HMです。HGWのLAN側のポートにIX2105を接続しています。
HGWでL2TP/IPsecで使用するポートをIXにポートマッピングして外部の端末とVPNを貼ります。
auひかりホームゲートウェイの設定
ポートマッピングの設定をHGWでします。LAN側ホストアドレスはIXのアドレスにしてください。
NEC IX2105の設定
IXの設定です。IXを初期化して全部流し込んでも問題ないです。
パスワードなどはお好みで変えてください。
! NEC Portable Internetwork Core Operating System Software
! IX Series IX2105 (magellan-sec) Software, Version 10.2.42, RELEASE SOFTWARE
! Compiled Sep 09-Fri-2022 13:40:53 JST #2
! Current time Nov 10-Sun-2024 22:20:51 JST
!
hostname IX2105
timezone +09 00
!
logging buffered 131072
logging subsystem env info
logging subsystem http error
logging subsystem ids info
logging subsystem l2tp warn
logging subsystem ssh info
logging subsystem tels info
logging subsystem wol info
logging timestamp datetime
!
no syslog ip enable
!
username admin password plain hogehoge
!
ntp ip enable
ntp server 133.243.238.243
ntp source GigaEthernet0.0
!
!
ip ufs-cache enable
ip route default 192.168.0.254 GigaEthernet0.0
ip access-list ssh-acl permit 22 src 192.168.0.0/24 dest 192.168.0.100/32
ip access-list telnet-acl permit 23 src 192.168.0.0/24 dest 192.168.0.100/32
ip access-list web-http-acl permit ip src 192.168.0.0/24 dest 192.168.0.100/32
ip access-list web_vpnlist permit ip src any dest any
!
arp auto-refresh
!
!
ike nat-traversal
!
ike proposal web_l2tp_ikeprop1 encryption aes-256 hash sha group 1024-bit
ike proposal web_l2tp_ikeprop2 encryption aes hash sha group 1024-bit
ike proposal web_l2tp_ikeprop3 encryption 3des hash sha group 1024-bit
!
ike policy web_l2tp_ikepolicy peer any key hogehoge web_l2tp_ikeprop1,web_l2tp_ikeprop2,web_l2tp_ikeprop3
!
ipsec autokey-proposal web_l2tp_secprop1 esp-aes-256 esp-sha
ipsec autokey-proposal web_l2tp_secprop2 esp-aes esp-sha
ipsec autokey-proposal web_l2tp_secprop3 esp-3des esp-sha
!
ipsec dynamic-map web_l2tp_secpolicy web_vpnlist web_l2tp_secprop1,web_l2tp_secprop2,web_l2tp_secprop3
!
!
!
!
!
!
!
ip name-server 192.168.0.254
!
proxy-dns ip enable
proxy-dns interface GigaEthernet0.0 priority 254
!
telnet-server ip access-list telnet-acl
telnet-server ip enable
!
ssh-server ip access-list ssh-acl
ssh-server ip enable
!
http-server username admin
http-server ip access-list web-http-acl
http-server ip enable
!
!
!
!
ppp profile web-ppp-l2tp
authentication request chap
authentication password user user1 hogehoge
lcp pfc
lcp acfc
ipcp ip-compression
ipcp provide-ip-address range 192.168.0.101 192.168.0.103
!
device GigaEthernet0
!
device GigaEthernet1
port 1 shutdown
port 2 shutdown
port 3 shutdown
port 4 shutdown
!
interface GigaEthernet0.0
ip address 192.168.0.100/24
ip proxy-arp
no shutdown
!
interface GigaEthernet1.0
no ip address
shutdown
!
interface Loopback0.0
no ip address
!
interface Null0.0
no ip address
!
interface Tunnel124.0
description L2TP_#1
ppp binding web-ppp-l2tp
tunnel mode l2tp-lns ipsec
ip unnumbered GigaEthernet0.0
ip tcp adjust-mss auto
ipsec policy transport web_l2tp_secpolicy
no shutdown
!
interface Tunnel125.0
description L2TP_#2
ppp binding web-ppp-l2tp
tunnel mode l2tp-lns ipsec
ip unnumbered GigaEthernet0.0
ip tcp adjust-mss auto
ipsec policy transport web_l2tp_secpolicy
no shutdown
!
interface Tunnel126.0
description L2TP_#3
ppp binding web-ppp-l2tp
tunnel mode l2tp-lns ipsec
ip unnumbered GigaEthernet0.0
ip tcp adjust-mss auto
ipsec policy transport web_l2tp_secpolicy
no shutdown
!
web-console system information
o lan1 GigaEthernet0.0コンフィグの重要なところだけ説明します。
ike policy web_l2tp_ikepolicy peer any keyは事前共通鍵です。
authentication passwordはL2TP接続時のユーザ名とパスワードを設定しています。
ipcp provide-ip-address rangeはL2TPで接続したときに端末に払い出すアドレスを指定しています。
同時接続3台まで可能にしています。
ike nat-traversal
!
ike proposal web_l2tp_ikeprop1 encryption aes-256 hash sha group 1024-bit
ike proposal web_l2tp_ikeprop2 encryption aes hash sha group 1024-bit
ike proposal web_l2tp_ikeprop3 encryption 3des hash sha group 1024-bit
!
ike policy web_l2tp_ikepolicy peer any key hogehoge web_l2tp_ikeprop1,web_l2tp_ikeprop2,web_l2tp_ikeprop3
!
ipsec autokey-proposal web_l2tp_secprop1 esp-aes-256 esp-sha
ipsec autokey-proposal web_l2tp_secprop2 esp-aes esp-sha
ipsec autokey-proposal web_l2tp_secprop3 esp-3des esp-sha
!
ipsec dynamic-map web_l2tp_secpolicy web_vpnlist web_l2tp_secprop1,web_l2tp_secprop2,web_l2tp_secprop3
!
ppp profile web-ppp-l2tp
authentication request chap
authentication password user user1 hogehoge
lcp pfc
lcp acfc
ipcp ip-compression
ipcp provide-ip-address range 192.168.0.101 192.168.0.103
!HGWと接続するインターフェースでは必ずproxy-arpを設定してください。
proxy-arpの設定がないと外部端末のmacアドレスをLAN側の機器ががarp解決できないため通信できません。
interface GigaEthernet0.0
ip address 192.168.0.100/24
ip proxy-arpなぜproxy-arpが必要かの解説は下記のサイトがわかりやすいです。ぜひ参考にしてみてください。
クライアントの設定
クライアント側の設定です。ここではiphoneの設定例を説明します。
サーバにはグローバルIPを入力してください。グローバルIPはHGWの基本設定で確認できます。
アカウントはauthentication password userで設定したユーザ名(例ではuser1)を入力します。パスワードにはauthentication password userで設定したパスワード(例ではhogehoge)を入力します。シークレットにはike policy web_l2tp_ikepolicy peer any keyで設定したパスワード(例ではhogehoge)を入力します。
あとがき
以上で設定は完了です。auひかりはグローバルIPがほぼ固定らしいのでDDNSなしでとりあえず運用しようと思います。またNEC IXではネットマイスターを使うと下記のようにwebで装置情報を取れるようになっていてグローバルIPアドレスが取得できたりもします。万が一グローバルIPが変わってもネットマイスターから確認することができて便利です。ネットマイスターは無料で使用することができるのでぜひ設定チャレンジしてみてください。
余談
今回ソフトバンク光の速度が夜間遅くなるためauひかりに移行しました。通信速度の比較をのっけときます。
コメント