blog.monophile.net

Takaaki Yamamoto

東京工業大学において計算機科学と応用数学を学び、情報科学芸術大学院大学[IAMAS]においてメディア表現を専攻し修了。 現在は digitiminimi Inc. において、インフラエンジニアとして生計をたててている。 また、計算を主題に制作を行い、現代音楽作品や公共インスタレーション作品など技術提供を行う。 三輪眞弘に師事する。

List

RTX1200でIPsec/L2TP

概要

YAMAHA RTX1200を買ったので、IPsec/L2TPの設定をしてみた。

前提

基本設定

ip lan1 address 192.168.1.1/24
ip lan3 address aa.aa.aa.aa/aa

IPsec トランスポートモード

同時接続台数が10台のため、template機能を使って設定する。

tunnel select 1
 tunnel template 2-10
 tunnel encapsulation l2tp
 ipsec tunnel 1
  ipsec sa policy 1 1 esp aes-cbc sha-hmac
  ipsec ike keepalive use 1 off
  ipsec ike local address 1 192.168.1.1
  ipsec ike nat-traversal 1 on
  ipsec ike pre-shared-key 1 text pskpskpsk
  ipsec ike remote address 1 any
 l2tp tunnel disconnect time off
 l2tp keepalive use on 10 3
 ip tunnel tcp mss limit auto
 tunnel enable 1
 ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport template 1 2-10

なお、同時接続台数が1のときは↓を設定すれば良い。

tunnel select TUNNEL_NUM
 tunnel encapsulation l2tp
 ipsec tunnel POLICY_ID
  ipsec sa policy POLICY_ID GATEWAY esp aes-cbc sha-hmac
  ipsec ike keepalive use GATEWAY off
  ipsec ike local address GATEWAY 192.168.1.1
  ipsec ike nat-traversal GATEWAY on
  ipsec ike pre-shared-key GATEWAY text pskpskpsk
  ipsec ike remote address GATEWAY any
 l2tp tunnel disconnect time off
 l2tp keepalive use on 10 3
 ip tunnel tcp mss limit auto
 tunnel enable TUNNEL_NUM
 ipsec auto refresh on
ipsec transport TRANSPORT_ID POLICY_ID udp 1701

pp anonymous

上記で設定したtunnelインターフェース番号1-10を指定する。

pp select anonymous
 pp bind tunnel1-tunnel10
 pp auth request chap-pap
 pp auth username user00 password00
 pp auth username user01 password01
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ip pp remote address pool 192.168.1.101-192.168.1.110
 ip pp mtu 1258
 pp enable anonymous

masquerade

RTX1200をデフォルトゲートウェイにしたい場合は、マスカレードの設定が必要。

nat descriptor type 1 masquerade
nat descriptor address outer 1 aa.aa.aa.aa
nat descriptor address inner 1 192.168.1.1-192.168.1.254
nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 udp 4500
nat descriptor masquerade static 1 3 192.168.1.1 esp
nat descriptor masquerade static 1 10 192.168.1.1 tcp 22
nat descriptor masquerade static 1 11 192.168.1.1 tcp telnet
nat descriptor masquerade static 1 12 192.168.1.1 tcp www

l2tp

最後にL2TPのサービスをオンにすると、IPsec/L2TPの完成。

l2tp service on