L2TP/IPsec接続を行う

概要

L2TP/IPsec接続対応端末からRooster NSXに対し、L2TP/IPsec接続を行います。

L2TP/IPsecはデータの機密性や完全性を確保したVPNを実現します。Rooster NSXと端末間で情報を暗号化して送受信するため、インターネットを通じて安全に情報をやり取りできます。

通信の確認を行った機器、OSバージョン

弊社で接続が確認できた端末及びOSバージョンと、接続できた暗号化アルゴリズムの組み合わせは下記のとおりです。

※下記端末との接続を保証するものではありません。また、機種、OSバージョン等によってはRooster NSXとのL2TP/IPsec接続が行えない場合がございます。

iOS端末

機種情報:

機種名 iPhone 7 plus
OSバージョン 12.1.3

暗号化アルゴリズムの組み合わせ:

ハッシュ 暗号アルゴリズム PFSグループ
sha1 aes256 modp2048
sha1 aes256 modp1536
sha1 aes256 modp1024

Windows端末

機種情報:

OSバージョン Windows10 pro バージョン1803

 

暗号アルゴリズムの組み合わせ:

ハッシュ 暗号アルゴリズム PFSグループ
sha1 aes256 modp2048
sha1 3des modp2048
sha1 3des modp1024

Android端末

機種情報:

機種名 AQUOS sense2 SH-M08
OSバージョン Android 8.1

暗号化アルゴリズムの組み合わせ:

ハッシュ 暗号アルゴリズム PFSグループ
sha512 aes256 modp1024

 

構成

情報

NSX1の情報

ETH0のIPアドレス 192.168.62.1
L2TP/IPsecサーバのIPアドレス 192.168.1.1

 

端末1の情報

L2TP/IPsec接続で割り当てられるIPアドレス 192.168.1.20

インターネット接続情報

接続種別 ppp
ドメイン名 suncomm.suncomm.net

前提条件

設定手順

Rooster NSXの設定

  1. PC1からRooster NSXに接続します。
    接続方法については、「WebUI設定の使い方(入り方)」をご参照ください。
  2. 接続に使用するインタフェースを作成します。
    ネットワーク->インタフェース設定ページを開きます。
    「インタフェースの新規作成…」をクリックします。

    設定ページで以下のように設定を行います。

    新しいインターフェースの名前 l2tp1
    新しいインターフェースのプロトコル VPN
    複数のインターフェースを使用してブリッジを作成します チェックしない
    インターフェースの指定 新しいインターフェースを選択しl2tp1を入力

    設定後、「送信」をクリックします。

  3. ファイアーウォールの設定を行います。
    ネットワーク->ファイアーウォール設定ページを開きます。
    「一般設定」タブからゾーンの「追加」をクリックします。

    ゾーン設定ページで下記のように設定を行います。
    設定後、「保存」をクリックします。

    名前 L2tpIpsec
    受信 許可
    送信 許可
    転送 拒否
    マスカレード チェックしない
    MSSクランプ チェックしない
    対象ネットワーク  l2tp1 (2.で追加したインターフェース)

     

    「トラフィック・ルール」タブを開きます。
    ゾーンwanに対して下記の4つのトラフィックルールを追加します。
    設定後、「保存」をクリックします。

    追加ルール名 ipsec-input-esp isakmp-input-500 isakmp-input-4500 l2tp-input-1701
    プロトコル esp udp udp udp
    送信元ゾーン WAN WAN WAN WAN
    宛先ゾーン デバイス(input) デバイス(input) デバイス(input) デバイス(input)
    宛先ポート 全て 500 4500 1701

     

     

     

     

  4. L2TP/IPsecサーバの設定を行います。
    ネットワーク->L2TP/IPsecサーバ設定ページを開きます。
    設定ページで以下のように設定を行います。
    設定後、「保存」をクリックします。
    L2TP/IPsecサーバセクション:

    L2TP/IPsec serverを有効にする チェックを入れる
    自装置アドレス ppp0
    ハッシュアルゴリズム sha1 ※接続したい端末に応じて変更してください。
    暗号化アルゴリズム aes256 ※接続したい端末に応じて変更してください。
    PFSグループ modp2048 ※接続したい端末に応じて変更してください。
    IPsec事前共有鍵 test ※お客様の環境に合わせて適切に変更してください。
    認証プロトコル MSCHAP-V2
    割り当て開始IP 192.168.1.20
    割り当て個数[個]  30
    割り当てるインターフェース l2tp1

    認証セクション:

    ユーザー名  user
    パスワード password ※お客様の環境に合わせて適切に変更してください
    固定IPアドレス割り当て 空欄のまま

    保存を実行後、画面右上の「保存されていない変更:」をクリックします。

    「保存&適用」をクリックします。

    ※本設定例で示したIPsec事前共通鍵、ユーザー名、パスワードは一例です。暗号強度等の観点から、お客様の環境に合わせ、適切に設定を変更していただくようお願いいたします。

  5. 設定を保存します。
    再起動後も設定を保持するため、「設定の保存」をクリックします。
    詳細については、「設定を保存する」をご参照ください。

端末の設定

iOS端末の場合

    1. 接続設定を行います。

設定画面から「一般」→「VPN」をタップします。

 

「VPN構成を追加」をタップします。

以下のように設定を行い、「完了」をタップします。

タイプ L2TP
説明 l2tp-ipsec
サーバ suncomm.suncomm.net
アカウント user ※お客様の環境に合わせて適切に変更してください
RSA SecurID チェックを入れない
パスワード password ※お客様の環境に合わせて適切に変更してください
シークレット test ※お客様の環境に合わせて適切に変更してください
全ての信号を送信 チェックを入れる
    1. 接続を行います。

「VPN」設定ページから、状況項目のスライドバーをタップして接続を開始します。

Windows端末の場合

    1. 接続設定を行います。

「設定」から「ネットワークとインターネット」を開きます。

「VPN」をクリックし、「VPN接続を追加する」を選択します。

以下のように設定を行い、「保存」をクリックします。

VPNプロバイダ ビルトイン
接続名 l2tp-ipsec
サーバー名又はアドレス suncomm.suncomm.net
VPNの種類 事前共有キーを使ったL2TP/IPsec
事前共有キー  test ※お客様の環境に合わせて適切に変更してください
サインイン情報の種類 ユーザー名とパスワード
ユーザー名 user ※お客様の環境に合わせて適切に変更してください
パスワード password ※お客様の環境に合わせて適切に変更してください

「アダプターのオプションを変更する」をクリックします。

追加されたアダプタ「l2tp-ipsec」を右クリックし、プロパティを開きます。
セキュリティタブからMs-chap-v2を許可します。

    1. 接続を行います。

VPNページで、「接続」をクリックします。

Android端末の場合

    1. 接続設定を行います。

「設定」から「無線とネットワーク」欄の「もっと見る」を開きます。

「VPN」をタップしてVPN設定ページを開きます。

画面右上の「+」マークをタップして設定を追加します。

以下のように設定を行い、「保存」をタップします。

名前 l2tp-ipsec
タイプ L2TP/IPsec PSK
サーバーアドレス suncomm.suncomm.net
L2TPセキュリティ保護 空欄のまま
IPsec ID 空欄のまま
IPsec事前共有鍵 test ※お客様の環境に合わせて適切に変更してください
ユーザー名 user ※お客様の環境に合わせて適切に変更してください
パスワード password ※お客様の環境に合わせて適切に変更してください
    1. 接続を行います。

追加した設定をタップします。

「接続」をタップして接続を開始します。