拠点間VPNゲートウェイ:IKEv1 L2TPv3/IPsec VPN(L2VPN)で接続する拠点側VPN装置の設定(YAMAHA RTX)
拠点側VPN装置にYAMAHA RTXシリーズを使用した場合の設定です。
下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ:VPNコネクション:作成
構成
拠点間VPNゲートウェイを利用し、ニフクラとお客様拠点をL2TPv3/IPsec VPN接続するためには、以下の項目を事前にご確認ください。
以降の設定手順、確認手順では下記を検証環境、構成例として用います。
検証環境
| 製品 | YAMAHA RTXシリーズ |
| ソフトウェア | Rev.10.01.53以上 |
構成例
| 拠点間VPNゲートウェイのIPアドレス | 198.51.100.123 |
| 拠点VPN装置のIPアドレス | 203.0.113.234 |
| 共有鍵 | 0582877a-3907-4357-8763-d32e9050eb08 |
設定手順
設定を空にします。
工場出荷状態のYAMAHA RTX1200には初期設定として以下の設定がされているのでこれらを解除します。# no ip lan1 address # no dhcp service server # no dhcp server rfc2131 compliant except remain-silent # no dhcp scope 1 192.168.100.2-192.168.100.191/24ブリッジを作成しlan1とL2TPv3仮想インターフェースを加える設定をします。
※「192.168.1.254/24」は、実際のお客様ネットワーク側のIPアドレスに置き換えてください。
# bridge member bridge1 lan1 tunnel1 # ip bridge1 address 192.168.1.254/24NATディスクリプタの設定を行います。
IPsecで必要となるESP/UDP500/UDP4500をブリッジインターフェースのIPアドレスに向けるよう設定します。# nat descriptor type 1 masquerade # nat descriptor address outer 1 203.0.113.234 # nat descriptor address inner 1 auto # nat descriptor masquerade static 1 1 192.168.1.254 esp # nat descriptor masquerade static 1 2 192.168.1.254 udp 500 # nat descriptor masquerade static 1 3 192.168.1.254 udp 4500 #pp select 1 pp1#ip pp nat descriptor 1 pp1#no pp select 1 #L2TPv3とIPsecの設定を行います。
# tunnel select 1 tunnel1# tunnel encapsulation l2tpv3 tunnel1# tunnel endpoint address 192.168.1.254 198.51.100.123 tunnel1# ipsec tunnel 101 tunnel1# ipsec sa policy 101 1 esp aes-cbc sha-hmac tunnel1# ipsec ike duration ike-sa 1 28800 tunnel1# ipsec ike duration ipsec-sa 1 3600 tunnel1# ipsec ike encryption 1 aes-cbc tunnel1# ipsec ike group 1 modp1024 tunnel1# ipsec ike hash 1 sha tunnel1# ipsec ike keepalive use 1 on dpd tunnel1# ipsec ike local address 1 192.168.1.254 tunnel1# ipsec ike pfs 1 on tunnel1# ipsec ike pre-shared-key 1 text 0582877a-3907-4357-8763-d32e9050eb08 tunnel1# ipsec ike remote address 1 198.51.100.123 tunnel1# l2tp always-on on tunnel1# l2tp hostname YAMAHA-RT1 tunnel1# l2tp tunnel auth off tunnel1# l2tp tunnel disconnect time off tunnel1# l2tp keepalive use on 20 3 tunnel1# l2tp keepalive log on tunnel1# l2tp syslog on tunnel1# l2tp local router-id 203.0.113.234 tunnel1# l2tp remote router-id 198.51.100.123 tunnel1# l2tp remote end-id niftycloud tunnel1# tunnel enable 1 tunnel1# no tunnel select # ipsec auto refresh on # ipsec transport 1 101 udp 1701 # l2tp service on l2tpv3saveで設定を保存します。
# save Saving ... CONFIG0 Done . #
確認手順
show status l2tpコマンドを実行します。
下記のように表示されれば正常に確立できています。
# show status l2tp
------------------- L2TP INFORMATION -------------------
Number of control table using
Tunnel Control: 1, Session Control: 1
TUNNEL[1]:
Tunnel State: established
Version: L2TPv3
Local Tunnel ID: 42398
Remote Tunnel ID: 52365
Local IP Address: 192.168.1.254
Remote IP Address: 198.51.100.123
Local Src port: 1701
Remote Src port: 1701
Vendor: xelerance.com
Hostname: vyos
Next Transmit sequence(Ns): 80
Next Receive sequence(Nr) : 27
Tunnel has 1 session.
Session Information
Session State: established
Local Session ID: 52005
Remote Session ID: 1679
Circuit Status local:UP peer:UP
25 minutes 32 seconds connection.
Received: 59 packets [3438 octets]
Transmitted: 331 packets [44249 octets]
