blog.monophile.net

コンピュータのこととかのメモ。

山本 一彰 | Takaaki Yamamoto

東京工業大学において計算機科学と応用数学を学び、 情報科学芸術大学院大学[IAMAS]においてメディア表現を専攻し修了。 2015年にコンビネータ論理を基に計算完備な計算手法 "論理珠算"を開発し、 それを含む体系である"算道"を構成した。 その成果により、 第19回 文化庁メディア芸術祭 アート部門 新人賞 (文部科学大臣賞) を2016年に受賞。 現在はインフラエンジニアとして生計をたててている。

技術

各種システムの設計/構築/運用を承ります。

Configuration Management Ansible, Terraform, cloud-init
Cloud Platform AWS, Azure, GCP, Openstack
Openstack Keystone, Glance, Cinder(Ceph), Neutron(VLAN), Nova(QEMU), Horizon
Virtualization QEMU+KVM, LXD/LXC, Docker
OS Ubuntu, Debian GNU/Linux, CentOS, ...
Storage Ceph, GlusterFS, ZFS, btrfs, ...
Networks Tunnel(IPSec, L2TP, VXLAN, GRE), WirelessAP, ...
DB MySQL, MariaDB(Galera Cluster), MongoDB
Mail postfix, dovecot
WebApps WordPress, GitLab, MatterMost, Redmine, RainLoop, ...
Monitoring Nagios, Munin
Misc certbot, dnsmasq, ...

技術(習得中)

Orchestration Kubernetes
Openstack swift, manila, trove
OS CoreOS(Container Linux), Vyatta(VyOS), ...
Networks IPv6, BGP(quagga, calico), flannel, fan, ...
DB/KVS Redis, etcd
Monitoring Prometheus, Zabbix
DNS CoreDNS, PowerDNS
Misc MAAS, Blockchain

投稿

RTX1200でIPsec/L2TP

概要

YAMAHA RTX1200を買ったので、IPsec/L2TPの設定をしてみた。

前提

  • RTX1200グローバルアドレス(lan3): aa.aa.aa.aa/aa
  • RTX1200ローカルアドレス(lan1): 192.168.1.1/24
  • IPsec 事前共有鍵: pskpskpsk
  • クライアント(ユーザ名, パスワード): (user00, password00), (user01, password01)
  • クライアントに払い出されるIP: 192.168.1.101-192.168.110

基本設定

ip lan1 address 192.168.1.1/24
ip lan3 address aa.aa.aa.aa/aa

IPsec トランスポートモード

同時接続台数が10台のため、template機能を使って設定する。

  • TUNNEL_NUM: 1-10
  • GATEWAY: 1-10
  • POLICY_ID: 1-10
  • TRANSPORT_ID: 1-10
tunnel select 1
 tunnel template 2-10
 tunnel encapsulation l2tp
 ipsec tunnel 1
  ipsec sa policy 1 1 esp aes-cbc sha-hmac
  ipsec ike keepalive use 1 off
  ipsec ike local address 1 192.168.1.1
  ipsec ike nat-traversal 1 on
  ipsec ike pre-shared-key 1 text pskpskpsk
  ipsec ike remote address 1 any
 l2tp tunnel disconnect time off
 l2tp keepalive use on 10 3
 ip tunnel tcp mss limit auto
 tunnel enable 1
 ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport template 1 2-10

なお、同時接続台数が1のときは↓を設定すれば良い。

tunnel select TUNNEL_NUM
 tunnel encapsulation l2tp
 ipsec tunnel POLICY_ID
  ipsec sa policy POLICY_ID GATEWAY esp aes-cbc sha-hmac
  ipsec ike keepalive use GATEWAY off
  ipsec ike local address GATEWAY 192.168.1.1
  ipsec ike nat-traversal GATEWAY on
  ipsec ike pre-shared-key GATEWAY text pskpskpsk
  ipsec ike remote address GATEWAY any
 l2tp tunnel disconnect time off
 l2tp keepalive use on 10 3
 ip tunnel tcp mss limit auto
 tunnel enable TUNNEL_NUM
 ipsec auto refresh on
ipsec transport TRANSPORT_ID POLICY_ID udp 1701

pp anonymous

上記で設定したtunnelインターフェース番号1-10を指定する。

pp select anonymous
 pp bind tunnel1-tunnel10
 pp auth request chap-pap
 pp auth username user00 password00
 pp auth username user01 password01
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ip pp remote address pool 192.168.1.101-192.168.1.110
 ip pp mtu 1258
 pp enable anonymous

masquerade

RTX1200をデフォルトゲートウェイにしたい場合は、マスカレードの設定が必要。

nat descriptor type 1 masquerade
nat descriptor address outer 1 aa.aa.aa.aa
nat descriptor address inner 1 192.168.1.1-192.168.1.254
nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 udp 4500
nat descriptor masquerade static 1 3 192.168.1.1 esp
nat descriptor masquerade static 1 10 192.168.1.1 tcp 22
nat descriptor masquerade static 1 11 192.168.1.1 tcp telnet
nat descriptor masquerade static 1 12 192.168.1.1 tcp www

l2tp

最後にL2TPのサービスをオンにすると、IPsec/L2TPの完成。

l2tp service on