DSAS��ȯ�Ԥ�����

Androidü���ˤϡ�ɸ���VPN��³��ǽ����ܤ���Ƥ��ޤ���

������Ǥ�L2TP/IPsec�����Ǥϡ�x509������ˤ��ǧ�ڤ����ݡ��Ȥ���Ƥ��ơ�ü�����Ȥ˸��̤ξ������ȯ�Ԥ���ʤɤ���ˡ�ǥ������ƥ��ι⤤VPN��³��Ԥ����Ȥ��Ǥ��ޤ���

KLab�Ǥϡ������Ѥ�ǧ�ڶɤ��Ѥ��Ƥ��ơ��Ұ�����ʬ�Υ桼��̾�����ä����饤����Ⱦ��������Ƥ�褦�ˤʤäƤ��ޤ���
�����ѥ����ȤؤΥ֥饦���ǤΥ��������Τۤ��������̵�����������ݥ���Ȥ�WPA2 Enterprise EAP-TLSǧ�ڤ��б������ơ����饤����Ⱦ�����ˤ�붯�Ϥ�ǧ�ڤ���Ѥ��Ƥ��ޤ���
����������������̩��ή�Фκݤˤϡ�ǧ�ڶ�¦��CRL�ˤ�������򼺸������뤳�Ȥ��Ǥ���褦�������Ƥ��ޤ���

�ܵ����Ǥϡ����饤����Ⱦ������Ȥä�Androidü�������L2TP/IPsec VPN��³���Ƥߤ����Ȼפ��ޤ���

Android 2.2�ϤޤǤ�ü���Ǥϡ�����

��ǰ�ʤ��顢Android 2.2�ϤޤǤ�ü���Ǥϡ��Ȥ߹��ޤ�Ƥ��� racoon(ipsec-tools)�����꤬���ꡢx509������ˤ��ǧ�ڤ��¼�Ū�˻Ȥ��ʤ����֤Ǥ�����ͳ�ϰʲ��ΤȤ���Ǥ���

IPsec�Ǥϡ�IKE��ǧ�ڥե�����1�ˤơ����ߤ���ID��򴹤��ޤ���
����ID�ˤϡ���ID_IPV4_ADDR�ס���ID_FQDN�פʤɤ����Ĥ��μ��ब���ꡢx509�������ǧ�ڤ˻Ȥ����ˤϡ�������μ���̾��Ȥ���ID_DER_ASN1_DN�פȤ���ID�����פ�Ȥ����Ȥ��Ǥ��ޤ���

�ܵ����Τ褦�ˡ���³��IP���ɥ쥹����ꤻ��x509�������Ȥ��Ķ��Ǥϡ�ID_DER_ASN1_DN�����פ�ID��Ȥ��Τ��٥��ȤǤ�����Android 2.2�Ϥ�racoon�Ǥϡ���L2TP/IPsec CRT VPN�פ�����Ǥ��Ƥ���ID_IPV4_ADDR�����פ�ID�������Ф����Τ���Ƥ��ޤ��ޤ���

x509������ˤ��ǧ�ڤǡ�ID_IPV4_ADDR����ID�˻Ȥ����Ȥϲ�ǽ�Ǥ��������ξ��ϻ��Ѥ���������subjectAltName��ĥ���Υե�����ɤˡ�IP:192.168.0.1�������ͤ�ޤ�Ƥ���ɬ�פ�����ޤ���
�����ƥ�Х���ü���Ǥϡ�����ꥢ����ưŪ�˳�����Ƥ���IP���ɥ쥹��Ȥ��ޤ����顢������IP���ɥ쥹���򵭺ܤ�����������Ѱդ��뤳�Ȥ��񤷤��Ǥ���
���Τ��ᡢAndroid 2.2�ޤǤ�OS����ܤ���ü���Ǥϡ�������ˤ��IPsec�ϼ¼��Ȥ��ʤ��ΤǤ���

��������ϡ��Х���ݡ�������Ƥ��ơ�Android 2.3�Ǥϲ�������Ƥ��ޤ��� ���Τ��ᡢ�ʹߤ�Android 2.3�Ϥ�OS����ܤ���ü��������Ȥ��ޤ���

ǧ�ڤ˻Ȥ��������CA

ǧ�ڤ˻Ȥ����饤����Ⱦ����񡦥����о�����ȯ�Ԥ���CA�ˤϡ�Androidü���μ����塢�����Ĥ������󤬤��뤿�����դ�ɬ�פǤ���

• �����о�����Υ����͡���ˤϡ������Ф�FQDN�òµ­ºÜ¤ï¿½ï¿½ï¿½

���̤�Web�������Ѥξ������Ʊ�ͤˡ������͡���˵��ܤ��줿FQDN�ȡ�ü����������̤����Ϥ�����³�襵����̾�ϰ��פ���ɬ�פ�����ޤ���

• �����о�����ϡ����󥰥�롼��CA����ȯ�Ԥ���

�����о�����䥯�饤����Ⱦ������ȯ�Ը��ϡ������륪�쥪��ǧ�ڶɤ�Ȥ����Ȥ��Ǥ��ޤ��������ʽ�̾���Ƥ���롼��CA����ľ��ȯ�Ԥ���ɬ�פ�����ޤ���

Androidü����IPsec�ν����Ǥϡ�ü���ӥ�ȥ���ξ����񥹥ȥ��ϻȤ�줺��������̤ǻ��ꤷ�����饤����Ⱦ������CA�����������ǧ�ڤ˻Ȥ��ޤ����Ǥ����顢�����о�����θ��ڤ�ɬ�פʥ롼�Ⱦ�����ϡ�CA������Ȥ��ƥ���ݡ��Ȥ��Ƥ�������ɤ����Ȥˤʤ�ޤ���
��������Androidü����CertInstaller�Ǥϡ�ʣ���ξ������ޤȤ�ƥ���ݡ��ȤǤ��ʤ����ͤ餷����PEM�ե����ޥåȤξ������ʣ��Ϣ�뤷���ե�����򥤥�ݡ��Ȥ��褦�Ȥ��Ƥ⡢��CA������1��פ�ɽ������ơ���־������ޤ�ƥ���ݡ��Ȥ��뤳�Ȥ��Ǥ��ޤ���
IPsec��ǧ�ڥץ��ȥ�����Ǥ����Ǥ��������������1������Τ��ᡢ����ݡ��Ȥ����롼�Ⱦ����񤫤�ľ�ܥ����о������ȯ�Ԥ��뤷���꤬����ޤ���
(IKE�Υץ����ȥ���ͤǤϡ�ʣ���ξ�����ڥ������ɤ����뤳�Ȥ��Ǥ��ޤ��� �ºݤ�strongSwan�˲�¤��ä��Ƽ¸����Ƥߤޤ��������ʤ��racoon¦��1���ܤξ�����ڥ������ɰʳ���̵�뤹������ˤʤäƤ������Ἲ�Ԥ��ޤ���������)

• ���饤����Ⱦ�����ˤĤ��Ƥϡ���ͳ�٤Ϲ⤤

���饤����Ⱦ�����θ��ڤϡ�������¦�λŻ��Ǥ��Τǡ������Ф�ɬ�פ���־�����򥤥󥹥ȡ��뤹��ФɤΤ褦�ʾ�����Ǥ���Ѥ��뤳�Ȥ��Ǥ��ޤ���

openswan��strongswan�Ǥϡ����饤����Ȥ�ID_DER_ASN1_DN�����פ�ID�˥磻��ɥ����ɤ����Ǥ��뤿�ᡢ������μ���̾�ˤĤ��Ƥ⼫ͳ�٤�����ޤ���
��rightid = "C=JP, ST=Tokyo, O=KLab Inc., CN=*�פ����ꤹ��С��ƥ桼���˸��̤�ȯ�Ԥ��Ƥ����C=JP, ST=Tokyo, O=KLab Inc., CN=USERNAME�פΤ褦�ʼ���̾�ξ�����򤹤٤ƻȤ���褦�ˤʤ�ޤ���

ü���ؤξ�������̩���Υ���ݡ�����ˡ

����ݡ��Ȥ��륯�饤����Ⱦ��������̩���� ��.p12�׳�ĥ�Ҥ�PKCS#12������CA������ϡ�.crt�׳�ĥ�Ҥ�PEM�����⤷����DER�����ˤ��ơ�SD�����ɤΥ롼�Ȥ�download�ǥ��쥯�ȥ���֤��ޤ���
Androidü����CertInstaller�ϡ�.p12�פޤ��ϡ�.crt�פγ�ĥ�Ҥ��դ����ե�����Τߥ���ݡ��Ȥ��褦�Ȥ��ޤ��Τǡ�ɬ������γ�ĥ�Ҥˤ���ɬ�פ�����ޤ���

����ݡ��Ȥϡ�����Ρָ����Ͼ���ȥ������ƥ��ץ�˥塼�Ρ�SD�����ɤ��饤�󥹥ȡ���פ���Ԥ��ޤ���

���줾���ɤ߹��ߤǤ���Ⱦ�����̾��ʹ����ޤ���������ϸ�ۤ�VPN�����Ԥ��ݡ�����������֥�˥塼�Ǥ�̾���ˤʤ�ޤ��Τǡ��狼��䤹��̾�������ꤷ�Ƥ����ޤ���

Androidü���Ǥϡ�����ݡ��ȺѤߤξ�����ΰ���ɽ�������Υ��󥿥ե����������¤��Ƥ��ʤ��Τǡ�������̾�ˤϡ֥��ꥢ���ֹ�ܥ����͡��������������θ��Τ��̤��䤹��̾���ˤ���Ȥ褤�Ǥ��礦��

�����Х����ɤν���

Androidü�������VPN��³���������륵����¦�ι��ۤ�Ԥ��ޤ���

���Ѥ��륽�եȥ������ϡ��ʲ��ΤȤ���Ǥ���

• openswan-2.6.36
• xl2tpd-1.3.0 (��ҤΥ��塼�˥󥰤Τ���˥ѥå�Ŭ�Ѥ���)
• ppp-2.4.5

���줾�졢�ӥ�ɥ��ץ��������̤ʤ�Τ���ꤹ��ɬ�פϤ���ޤ���

�����ͥ��ESP���ݡ��Ȥϡ�linux-3.0.4��ɸ��Τ�Τ���Ѥ��Ƥ��ޤ���
�ޤ���Linux�Ǥ�IPsec�����ϡ�openswan�Τۤ���strongswan�⤢��ޤ�����strongswan�Ǥ�VPN���Ǹ�κ���³����꤯�����ʤ��Ȥ������꤬ȯ���������ᡢopenswan����Ѥ��ޤ���

Androidü�������L2TP/IPsec��³�Ǥϡ�VPN���ǻ��˥�����¦��SA�򤦤ޤ�������Ƥ���ʤ��Ȥ������꤬����褦�ǡ�������¦��lifetime���֤ޤ�SA���ĤäƤ��ޤ��ޤ���strongswan����Ѥ����SA���ĤäƤ���֤Ϻ���³(2���ܤ�SA)�����褺�̿���ǽ�ˤʤäƤ��ޤ��ޤ�����

openswan������ե�����(ipsec.conf)�ϰʲ��ΤȤ���Ǥ���

config setup
    interfaces = %defaultroute
    syslog = auth.error
    plutodebug = "control"
    uniqueids = no
    nat_traversal = yes

conn Android-L2TP-IPsec
    auto = add
    type = transport
    keyexchange = ike
    auth = esp
    authby = rsasig
    pfs = no
    keyingtries = 1
    ikelifetime = 8h
    keylife = 8h
    rekeymargin = 10m
    left = %defaultroute
    leftid = "C=JP, ST=Tokyo, O=KLab inc., (ά)"
    leftrsasigkey = %cert
    leftcert = Android_IPsec_Server.pem
    leftupdown = "/bin/true"
    leftprotoport = 17/1701
    right = %any
    rightca = "C=JP, ST=Tokyo, O=KLab Inc., (ά)"
    rightid = "C=JP, ST=Tokyo, O=KLab Inc., (ά)"
    rightrsasigkey = %cert
    rightprotoport = 17/%any

�ɤ߹��������λ���(leftcert)����ID���ϴĶ��˹�碌��Ĵ������ɬ�פ�����ޤ���

�����о������/etc/ipsec.d/certs�ˡ���̩����/etc/ipsec.d/private�����饤����Ⱦ�����θ��ڤ�ɬ�פ����CA�������/etc/ipsec.d/cacerts�ˤ��줾�����֤��ޤ���
�ե�����̾�ϡ�OpenSSLή�Υϥå�������ˤ��ʤ��Ƥ⼫ưŪ���ɤ߹���Ǥ���ޤ���
�ޤ�����̩�������沽��ɬ�פʥѥ���ɤ�/etc/ipsec.secrets�˰ʲ��Τ褦�˵��Ҥ��ޤ���
(leftcert�˻��ꤷ�Ƥ���Android_IPsec_Server.pem���б�������̩������/etc/ipsec.d/private�ʲ���Android_IPsec_Server.key��̾������¸����Ƥ�������Ǥ���)

: RSA Android_IPsec_Server.key "hogefuga"

xl2tpd¦������ե�����(xl2tpd.conf)��ppp���ץ����(ppp-options)�ϰʲ��ΤȤ���Ǥ���
�ȥ�ͥ�˳�����Ƥ�IP���ɥ쥹(local ip��ip range)�⤪���ߤ�����Ǥ���������

[global]
listen-addr                 = 0.0.0.0
port                        = 1701
debug network               = no
debug state                 = no
debug tunnel                = no

[lns default]
pppoptfile                  = /etc/xl2tpd/ppp-options
hostname                    = gw1
exclusive                   = No
local ip                    = 10.100.254.1
ip range                    = 10.100.254.128 - 10.100.254.254
length bit                  = yes
require chap                = yes
refuse pap                  = yes
require authentication      = yes

pppoptfile�Ǥϡ�ǧ�ڲ��ݤ������¾��Androidü�������Τ���DNS�����Ф����ꤷ�ޤ���

auth
refuse-pap
require-chap
ms-dns 10.100.254.1

�嵭����Ǥϡ�CHAPǧ�ڤ�Ԥ�����ˤʤäƤ��ޤ������Ĥ���桼��̾���ѥ���ɤ�/etc/ppp/chap-secrets�˵��Ҥ��ޤ���

USERNAME * "PASSWORD" *

PAP/CHAP�Ȥ��refuse�Ȥ���ȡ�L2TP��Ǥ�ǧ�ڤ��ʤ�����ˤ��뤳�Ȥ��Ǥ��ޤ�����Androidü���Ǥϥ桼��̾���ѥ���ɤ����Ϥ�ɬ�ܤˤʤäƤ��뤿�ᡢ���ߡ��Υѥ���ɤ����Ϥ���ɬ�פ�����ޤ���

Android¦�����VPN��³��Ԥ��ȡ�ü������Τ��٤Ƥ��̿����ȥ�ͥ���ͳ���ƥ����Фإ롼�ƥ��󥰤���ޤ���
������¦�Ǥϡ��ȥ�ͥ뤴�Ȥ�PPP���󥿥ե�����������ޤ��Τǡ�Ŭ�����󥿡��ͥåȤ����Υ����ƥ���Ф��ƥ롼�ƥ��󥰡������������Ĥ��Ƥ�������̿���ǽ�ˤʤ�ޤ���
̾�����˻Ȥ���DNS�����Ф�pppoptfile��ms-dns�ǻ��ꤷ�������Ф����Ѥ���ޤ���

Androidü�������ɤ�VPN����

Androidü���ˡ�VPN��³�Υץ��ե��������ޤ���

����Ρ�̵���ȥͥåȥ���פ����VPN����פȤ��ɤ�ޤ���
��VPN���ɲáפ򥿥åפ��ơ�L2TP/IPsec CRP VPN���ɲáפ����Ӥޤ���

�ƹ��ܤ�ʲ��Τ褦�����ꤷ����¸����ȡ��ץ��ե����뤬����ޤ���

• VPN̾�� Ǥ�դ�̾�������ꤷ�ޤ�
• VPN�����Ф����ꡧ ��³���륵���Ф�FQDN����ꤷ�ޤ�
• L2TP�������ƥ��ݸ�����ꡧ ������ò³°¤ï¿½ï¿½ï¿½ï¿½Þ¤Þ¤Ë¤ï¿½ï¿½Þ¤ï¿½
• ����������ꤹ�롧����ݡ��Ȥ������饤����Ⱦ���������Ӥޤ�
• CA����������ꤹ�롧����ݡ��Ȥ���CA����������Ӥޤ�
• DNS�����ɥᥤ�� ����Υɥᥤ��̾����Ǥ�դ����ꤷ�ޤ�

��¸�塢VPN��˸��줿�ץ��ե�����򥿥åפ��ơ������Ф�chap-secrets�˵��Ҥ����桼��̾���ѥ���ɤ����Ϥ���³���ޤ���

���̾����ˡ�VPN [�ץ��ե�����̾] ����³����ޤ����פȽФ��VPN��³�ϴ�λ�Ǥ���
���Ǥ�����ˤϡ��ץ��ե��������٥��åפ�������Ǥ���ޤ���

VPN��³����̿��Ǥ��ʤ��ʤ�����

ɮ�ԤδĶ��Ǥϡ�Ĺ������³���Ƥ���ȡ������̿���ǽ�ˤʤ�ɾ���ȯ�����ޤ�����

Ĵ�����Ƥߤ��Ȥ���������ꥢ���뤤�����Ⱦ����ˤ�äƤϡ������Ū�˥ѥ��������������ȯ������褦�ǡ�L2TP������¦�����Ū�����äƤ���Hello��å���������������������������ã���Ƥ��ޤä�����˥ȥ�ͥ뤬�Ĥ����Ƥ���Ȥ������֤Ǥ�����

Androidü��¦���顢L2TP�ȥ�ͥ�����Ǥ��ΤǤ���褦�ʥ�å����������ФǤ�����ɤ��ΤǤ�����ü��ɸ������ꥤ�󥿥ե������Ǥϼ¸��Ǥ��ʤ����ᡢ�����Х����ɤǽ����¤��Ĵ����ԤʤäƤߤޤ���

������Ѥ���L2TP������(xl2tpd)�Ǥϡ�Hello��å������ˤ��Keepalive�δֳ�(60��)������ȥ������å������κ����ֳ�(1��)������������(5��)����������������˥ϡ��ɥ����ɤ���Ƥ��ޤ���

���κ������Ǥϡ����Ⱦ������ˤ���̿��ʼ����Ѳ������Х���Ķ��ˤϸ��������ޤ��Τǡ�����ե����뤫��ѥ�᡼�����ѹ��Ǥ���褦�ˤ���ѥå���񤤤Ƥߤޤ�����

���Υѥå���Ŭ�Ѥ���ȡ�����ե������global���������˰ʲ���3�ĤΥѥ�᡼��������Ǥ���褦�ˤʤ�ޤ���

• hello delay (Hello��å������������ֳ�)
• ctrl retrans max (����������)
• ctrl retrans delay (�������)

�ƥѥ�᡼���򤽤줾�졢Hello�����ֳ֤�5ʬ(hello delay = 300)������ȥ�����ѥ��åȤκ����ֳ֤�10��(ctrl retrans delay = 10)�Ǻ�����������18��(ctrl retrans max = 18)�Ȥ���С�����3ʬ�����̿���ǽ�ʻ��֤�ȯ�����Ƥ�ȥ�ͥ���Ĥ���줺�ˤ��ߤޤ���
Ĺ�������ͤ����ꤹ��ȡ�������ü�������ե饤��ˤʤäƤ��ޤäƤ��Ƥ⡢Ĺ���֥�����¦�˥ȥ�ͥ뤬�Ĥ�³���Ƥ��ޤ��������դ�ɬ�פǤ���

���Υѥå��ˤ��ѥ�᡼�����ѹ��ϡ������ޤ����Ǥ������δ��¤Ǥ��Τǡ��μ¤�VPN���ڤ�ʤ��ʤ�櫓�ǤϤ���ޤ��󤬡�¿���θ��̤Ϥ���Ȼפ��ޤ���

Linux 2.6 �����ͥ�Ǥϡ�2.4 �����ͥ�� FreeS/WAN �� IPSec �μ����Ȥϰۤʤäơ�ESP �ǥ��ץ��벽���줿�ѥ��åȤ��Ϥ��ͥåȥ�����󥿥ե������ȡ����ץ��벽���򤫤줿�ѥ��åȤ��Ϥ����󥿥ե�������Ʊ����Τˤ�Τǡ�IPSec �Υ����ͥ���̤äƤ����ѥ��åȡ����̤��Ť餯�ʤäƤ��ޤ���(2.4 �����ͥ�� FreeS/WAN �ξ�硤���ץ��벽���򤫤줿�ѥ��åȤϡ����ѤΥ��󥿥ե����������Ϥ����ˤʤäƤ��ޤ�.) ���������ե��륿��󥰤����ǡ����Υѥ��åȤ� ESP ��������Ϥ����Τ�����Ȥ����η����Ϥ����Τ����̤���Τϡ����Ȥ��ƤȤƤ���פˤʤ�ޤ���

��˷�������񤯤ȡ�2.6 kernel �� IPsec �� NAT ������ƻȤ���硤NAT �������ˤ�äƤ� 2.6.16 �ʸ�Υ����ͥ��Ȥ�ɬ�פ����롤�Ȥ������äǤ���2.6.15 �ϤޤǤΥ����ͥ�Ǥϡ��տޤ����Ȥ���� NAT ��Ŭ�Ѥ���̵�����Ȥ�����ޤ�������ϡ�IPsec �Υ����ͥ���̤�ѥ��åȤ� ESP �ѥ��åȤ˥��ץ��벽����륿���ߥ󥰡��˰ͤ��ΤǤ���

�Ƕᡤ���Ƚ�ΰ�Ĥ���ž�����ΤǤ����������ʻ���� VPN �����ȥ�������Ĵ���ޤ��������κݡ������ͥ�� 2.6 �Ϥ˰ܹԤ��ޤ��������λ��Ƚ�Ǥ������ʤ��� VPN ��³����ɬ�פ�����ޤ���
2.6 �ϤΥ����ͥ�Ǥ� IPsec �Υ����ɤ���ᤫ������ޤ�Ƥ��ޤ������Υ����ɤ� kame ��ή����� usagi �Υ����ɥ١����Ǥ����ĤޤꡤFreeS/WAN �ȤϷ������ۤʤ�����ˤʤ�ޤ����������ۤʤäƤ��Ƥ⡤IPsec �� RFC �˵��ʲ����줿�ץ��ȥ���Ǥ��������Ū�������³�ˤ�����ʤ��ΤǤ�����������ߤ�ǧ�ڤ˸������Ź�Ϥ��Ѥ��褦�Ȥ���Ⱦ������ݤǤ�����

IPsec �� peer Ʊ�Τ�ǧ�ڤ򤹤�Τ˸�������Ȥ���硤x509 ��������Ѥ��� PKI ��Ȥ��Τ�����Ū�Ǥ�����patch(http://www.strongsec.com/freeswan/ �ʤ�) ��Ŭ�Ѥ��Ƥ��ʤ� FreeS/WAN �Ǥϡ�x509 ������򰷤����Ȥ��Ǥ��ޤ��󡥤����ƻ�ǰ�ʤ��顤KLab �� VPN �����ȥ����������Ф� FreeS/WAN �ˤϥѥå��Ϥ����äƤ��ޤ��󡥿����� patch �����Ƥƥ����ͥ����ľ������������(���˳�ȯ����λ���Ƥ���) FreeS/WAN ����� Openswan �� strongSwan ��Ȥ��� 2.4 �����ͥ�Ǥ� x509 ������򰷤��ޤ���������ϸ��� FreeS/WAN ��ư���Ƥ��� VPN �����ȥ����������Фˤϼ��ä���������ޤ��󡥤Ȥ������Ȥǡ�2.6 �����ͥ�� IPsec �����Dz��Ȥ� FreeS/WAN �ˤ��碌�뤳�Ȥˤ��ޤ�����³�����ɤ�