L2TP/IPsec

$Date: 2024/11/08 14:21:12 $

1. �T�v

L2TP (Layer Two Tunneling Protocol) �́A�l�b�g���[�N�Ԃł�VPN (Virtual Private Network) �ڑ�����������g���l�����O�v���g�R���ł��BL2TP���͈̂Í����̎d�g�݂������܂��񂪁AIPsec�𕹗p���邱�ƂŃf�[�^�̋@�����⊮�S�����m�ۂ���VPN�ڑ�����������L2TP/IPsec������܂��B ���}�n���[�^�[�́AL2TP/IPsec��p���������[�g�A�N�Z�XVPN�̃T�[�o�[�Ƃ��ē��삵�܂��B�X�}�[�g�t�H���Ȃǂɓ��ڂ���Ă���L2TP�N���C�A���g����C���^�[�l�b�g�z���Ƀ��}�n���[�^�[�z���̃v���C�x�[�g�l�b�g���[�N���̒[���Ƃ̃Z�L���A�ȒʐM���”\�ɂ��܂��B

���}�n���[�^�[�ŃT�|�[�g����L2TP/IPsec�ɂ͈ȉ��̐���������܂��B �yL2TP/IPsec��p���������[�g�A�N�Z�XVPN�ڑ��z


�� ���̃h�L�������g�̐擪��

2. �Ή��@��ƃt�@�[���E�F�A���r�W����

���}�n���[�^�[�ł͈ȉ��̋@�킨��уt�@�[���E�F�A�ŁAL2TP/IPsec���T�|�[�g���Ă��܂��B
���r�W�����ɂ���đΉ����Ă��鍀�ڂ��قȂ�܂��B�Ή����ڂ͈ȉ��̂悤�ɂȂ�܂�

�@�� �t�@�[���E�F�A �ő�ڑ��”\��(��1) NAT�g���o�[�T����
�p����
L2TP/IPsec�ڑ�		 �t�@�X�g�p�X�Ή� PPTP�Ƃ�
anonymous�ڑ����p		 �g���l���e���v���[�g�Ή�
vRX Amazon EC2�� ���ׂẴ��r�W���� 0�`1000 (��2) �� �� PPTP��Ή� ��
vRX VMware ESXi��
vRX ������̃N���E�h�� 0�`100 (��2)
RTX3510 ���ׂẴ��r�W���� 1000 (��3) �� �� PPTP��Ή� ��
RTX1300 Rev.23.00.03 100 �� �� �� ��
Rev.23.00.14 �ȍ~ 100 (��3) �� �� �� ��
RTX1220 ���ׂẴ��r�W���� 100 �� �� �� ��
RTX830 Rev.15.02.01 20 �� �� �� ��
Rev.15.02.22 �ȍ~ 20 (��3)
NVR510 Rev.15.01.03 �ȍ~ 4 �� �� �� ��
NVR700W Rev.15.00.02 6 �� �� �� ��
Rev.15.00.10 �ȍ~ 20
RTX1210 Rev.14.01.05 �ȍ~ 100 �� �� �� ��
RTX5000 Rev.14.00.08 3000 �� �� PPTP��Ή� �~
Rev.14.00.12 �ȍ~ �� �� PPTP��Ή� ��
RTX3500 Rev.14.00.08 1000 �� �� PPTP��Ή� �~
Rev.14.00.12 �ȍ~ �� �� PPTP��Ή� ��
FWX120 Rev.11.03.02 30 �� �� �� �~
Rev.11.03.08 �ȍ~ �� �� �� ��
RTX810 Rev.11.01.04 6 �~ �~ �~ �~
Rev.11.01.06 �ȍ~ �� �� �� �~
Rev.11.01.21 �ȍ~ �� �� �� ��
NVR500 Rev.11.00.36 �ȍ~ 4 �� �� �� ��
RTX1200 Rev.10.01.32
Rev.10.01.34		 100 �~ �~ �~ �~
Rev.10.01.36 �ȍ~ �� �� �� �~
Rev.10.01.59 �ȍ~ �� �� �� ��
SRT100 Rev.10.00.60 10 �~ �~ PPTP��Ή� �~
Rev.10.00.61 �ȍ~ �� �� PPTP��Ή� �~
RTX3000 Rev.9.00.60 �ȍ~ 1000 �� �~ PPTP��Ή� ��
RTX1500 Rev.8.03.92 �ȍ~ 100 �� �~ �� �~
RTX1100 30 �� �~ �� �~
RT107e 6 �� �~ PPTP��Ή� �~

(��1)IPsec�ɂ��VPN�ݒ��PPTP�ɂ��VPN�ݒ��L2TP/IPsec�ɂ��VPN�ݒ�𕹗p����ꍇ�͂��̍��v���ɂȂ�܂��B(vRX�V���[�Y������)
(��2)VPN�I�v�V�������C�Z���X�K�p�󋵂ɂ��ϓ����܂��B
(��3)�g�����C�Z���X���C���|�[�g���邱�ƂŊg���”\�ł��B�ڍׂ��g�����C�Z���X�̋Z�p�������Q�Ƃ��Ă��������B

�� ���̃h�L�������g�̐擪��

3. �p��̒�`

LAC (L2TP Access Concentrator)
L2TP�g���l���̒[�_�ł���AL2TP/IPsec�R�l�N�V�����̊J�n��v������[���BL2TP�N���C�A���g������ɊY�����܂��B
LNS (L2TP Network Server)
L2TP�g���l����LAC�ɑΛ�����[�_�ł���AL2TP/IPsec�R�l�N�V�����̊J�n�v�����󂯕t����[���B�����[�g�A�N�Z�XVPN�ɂ����ă��}�n���[�^�[�����̖����ƂȂ�܂��B
ZLB (Zero-Length Body) ���b�Z�[�W
L2TP�w�b�_�݂̂ō\�����ꂽL2TP�̐��䃁�b�Z�[�W�BL2TP�̐��䃁�b�Z�[�W�ɑ΂���m�F�����Ƃ��ėp�����܂��B

�� ���̃h�L�������g�̐擪��

4. L2TP/IPsec�̏ڍ�

�� ���̃h�L�������g�̐擪��

5. L2TP/IPsec�Ɋ֘A�����R�}���h

�y�V�݃R�}���h�z �y�d�l�g���R�}���h�z �y�֘A�R�}���h�z

�� ���̃h�L�������g�̐擪��

6. L2TP/IPsec�̐ݒ��

L2TP/IPsec��p���ăC���^�[�l�b�g�z���Ƀ��}�n���[�^�[�̃v���C�x�[�g�l�b�g���[�N�֐ڑ�����ꍇ�̐ݒ����ȉ��Ɏ����܂��B

�ݒ��1�F�����L2TP�N���C�A���g(�A�h���X�Œ�)�̐ڑ����󂯕t����ꍇ


�ݒ��2�F������L2TP�N���C�A���g(�A�h���X�s��)�̐ڑ����󂯕t����ꍇ


�ݒ��3�FNAT�g���o�[�T���𗘗p����L2TP�N���C�A���g�̐ڑ����󂯕t����ꍇ


�ݒ��4�FL2TP/IPsec��anonymous�ڑ���PPTP��anonymous�ڑ��𕹗p����ꍇ


�ݒ��5�F�e���v���[�g�𗘗p����L2TP�N���C�A���g�̐ڑ����󂯕t����ꍇ


�ݒ��6�FAWS��̃��}�n���z���[�^�[�ɐڑ�����ꍇ

AWS�iAmazon Web Services)��̃��}�n���z���[�^�[(vRX)�̉��̃v���C�x�[�g�l�b�g���[�N�֐ڑ�����ꍇ�̐ݒ��ł��B
AWS�ł�vRX�̐ݒ�⑀��ɂ‚��Ắu���}�n���z���[�^�[vRX���[�U�[�K�C�h�v���Q�Ƃ��Ă��������B

�� ���̃h�L�������g�̐擪��

7. L2TP/IPsec�̃N���C�A���g�ݒ�

7-1. ����m�F�ς݃N���C�A���g�ꗗ

�y�d�v�z
Android 12�ȍ~�ł́AL2TP/IPsec���g�p�ł��Ȃ��Ȃ������߁A ���}�n���[�^�[��Android 12�ȍ~�̃N���C�A���g�Ԃł�L2TP/IPsec�ڑ��͂ł��܂���B

L2TP/IPsec�̓���m�F�ς݃N���C�A���g�Ƃ��Ĉȉ��̂��̂�����܂��B

�ʐM���Ǝ� �@�� OS�o�[�W����
NTT�h�R�� Xperia arc SO-01C Android 2.3.2
Galaxy S2 SC-02C Android 2.3.3
Galaxy S4 SC-04E Android 4.2.2
Galaxy S5 SC-04F Android 4.4.2
Android 5.0
Android 6.0.1
XPERIA XZ SO-01J Android 8.0.0(*)
KDDI Xperia acro IS11S Android 2.3.3
iPhone 4S iOS 9.3.6(*)
iPhone 5 iOS 7.0.4
iPhone 5S iOS 12.4(*)
iPhone 6 iOS 12.4.1(*)
SoftBank iPhone 4 iOS 4.3.3
iOS 5.0
iPad 2 iOS 4.3.3
iOS 5.0
iOS 6.0.1
- SonyTablet Android 4.2.2(*)
Nexus 4 Android 4.3
Nexus7 2013 Android 6.0.1(*)
ASUS ZenPad 3 8.0 Android 6.1.1(*)
Nexus9 2014 Android 7.1.1(*)
iPad Air 2 (WiFi���f��) iOS 8.1.3
iPad mini 16G (WiFi���f��) iOS 9.3.5(*)
iPad Pro 32G (WiFi���f��) iOS 12.4.1(*) 
(*)2019�N9�����_�̕��Ђɂ����鎎�����ʂɊ�Â��܂��B
�܂��A(*)���Ȃ�OS�o�[�W�����ɂ‚��܂��Ă�2016�N9�����_�̕��Ђɂ����鎎�����ʂɊ�Â��܂��B

���e�[���̏�����Ԃ���A�v���P�[�V�����������C���X�g�[�����Ă��Ȃ���ԂŁA
  �e�[�����烄�}�n���[�^�[�ւ�L2TP/IPsec�̐ڑ�������m�F�������̂ł��B
  ���쌟�؂ɂ͊e�[���ɕW�����ڂ���Ă���L2TP/IPsec�ڑ���p���Ă��܂��B
  ���ۂ̂����p�ɂ������ẮA���q�l�‹��ł̓�������؂̏�A�����p���������B

��Microsoft�А�Windows OS��L2TP/IPsec�ڑ��̓T�|�[�g���܂���B

�����쌟�؂ł́A�ڑ��E�ʐM�E�ؒf������ɍs���邱�Ƃ��m�F���Ă��܂��B
  �����Ԃ̐ڑ������͍s���Ă���܂���B

��Android 6, Android 4�n��Android 7�n�̈ꕔ��OS�ł́A�ؒf���Ƀ��[�^�[�ɑ΂��Đؒf���b�Z�[�W�𑗐M���Ȃ����̂�����܂��B
  ���̂��߁A���[�^�[���ŃZ�b�V�������c���Ă��܂��A���̐ڑ��������Ɏ󂯂邱�Ƃ��ł��Ȃ��Ȃ�܂��B
  �΍�Ƃ��āA���[�^�[���ő����ɐؒf�����m�ł���悤L2TP�L�[�v�A���C�u��L���ɂ��邱�Ƃ�E�߂܂��B
���[�^�[���Őݒ�”\�ȃp�����[�^�l�ł���AIPsec�Í����A���S���Y���A�F�؃A���S���Y��
�����PPP�̔F�ؕ�����3�p�����[�^�ɂ‚��āA�ڑ��m�F���ʂ͈ȉ��̂悤�ɂȂ�܂��B
�ڑ��m�F�ɂ́A�ȉ���p���Ă��܂��B

   �����Њ‹��ł̐ڑ��m�F���ʂł���A���q�l�̊‹��Őڑ���ۏ؂�����̂ł͂���܂���B
     �����p�̍ۂɂ͎��O�ɏ\���Ȍ��؂����肢�������܂��B

7-2. iOS�[���ɕW�����ڂ��ꂽL2TP/IPsec�N���C�A���g�̐ݒ�菇


   �����ׂĂ�iOS�[�������L�ݒ�菇�ʂ��L2TP/IPsec�N���C�A���g��ݒ�ł���Ƃ͌���܂���B
     �ڂ����ݒ��iOS�[���̃}�j���A�����Q�Ƃ��Ă��������B
   ���܂��A�摜�́uiPhone 6�v���g�p���Ă��܂��B
  1. �z�[����ʂ���u�ݒ�v��I�����܂��B
  2. �ݒ��ʂ���u��ʁv��I�����܂��B
  3. ��ʉ�ʂ���uVPN�v��I�����܂��B
  4. �uVPN�\����lj�...�v��I�����܂��B
    ->
    ->

  5. �\���̒lj��y�[�W�̃^�C�v�ŁuL2TP�v��I�����A�ȉ��̂悤�Ɋe���ڂ�ݒ肵�܂��B
    ��Ƃ���L2TP�N���C�A���g�̖��O���uYamaha-vpn�v�Ƃ��܂��B
    �e���ڂ���͂�����u�ۑ��v���^�b�v���܂��B
    ����L2TP�N���C�A���g�̖��O(�C�ӂ̕�����)
    �T�[�o�ڑ���̃z�X�g����������IP�A�h���X
    �A�J�E���gPPP�F�؂ɗp����A�J�E���g
    RSA SecurID�I�t
    �p�X���[�hPPP�F�؂ɗp����p�X���[�h
    �V�[�N���b�gIPsec�̎��O���L��
    ���ׂĂ̐M���𑗐M�I��
    �v���L�V�I�t

  6. VPN�ڑ�(Yamaha-vpn)���쐬����܂��̂ŁA�쐬����VPN��I�����ăI���ɂ��܂��B
    L2TP/IPsec���ڑ������ƁA�u�󋵁v�Ɂu�ڑ��ς݁v�ƕ\������܂��B
    ->

7-3. Android�[���ɕW�����ڂ��ꂽL2TP/IPsec�N���C�A���g�̐ݒ�菇


   �����ׂĂ�Android�[�������L�ݒ�菇�ʂ��L2TP/IPsec�N���C�A���g��ݒ�ł���Ƃ͌���܂���B
     �ڂ����ݒ��Android�[���̃}�j���A�����Q�Ƃ��Ă��������B
   ���܂��A�摜�́uXPERIA XZ SO-01J�v���g�p���Ă��܂��B
  1. ���j���[��ʂ���u�ݒ�v��I�����܂��B
  2. �ݒ��ʂ���u�l�b�g���[�N�ƃC���^�[�l�b�g�v��I�����܂��B
  3. �l�b�g���[�N�ƃC���^�[�l�b�g�̐ݒ��ʂ���uVPN�v��I�����܂��B
  4. VPN�ݒ��ʂ���u+�v���^�b�`���܂��B
    ->
    ->

  5. �^�C�v�ŁuL2TP/IPsec PSK�v��I�����A�ȉ��̂悤�Ɋe���ڂ�ݒ肵�܂��B
    ��Ƃ���L2TP�N���C�A���g�̖��O���uYamaha-vpn�v�Ƃ��܂��B
    �e���ڂ���͂�����ۑ��������܂��B
    ���OVPN�̖��O(�C�ӂ̕�����)
    �T�[�o�[�A�h���X�ڑ���̃z�X�g����������IP�A�h���X
    L2TP�Z�L�����e�B�ی�(���g�p)
    IPsec ID(���g�p)
    IPSec���O���L��IPsec�̎��O���L��
    ���[�U�[��PPP�F�؂ŗp���郆�[�U��
    �p�X���[�hPPP�F�؂ŗp����p�X���[�h

  6. VPN(Yamaha-vpn)���쐬����܂��̂ŁA�쐬����VPN��I�����܂��B
    ���[�U���ƃp�X���[�h�̓��͂����߂���̂ŁAPPP�F�؂ŗp���郆�[�U���ƃp�X���[�h����͂��܂��B
    �u�ڑ��v���^�b�v�����L2TP/IPsec�ڑ����J�n����܂��B
    ->

�� ���̃h�L�������g�̐擪��

8. SYSLOG���b�Z�[�W�ꗗ

�{�@�\�ɂ����ďo�͂����SYSLOG���b�Z�[�W���ȉ��Ɏ����܂��B
���ۂɏo�͂���郁�b�Z�[�W�ɂ� "[L2TP]" �Ƃ����v���t�B�b�N�X���t������܂��B

���x�� �o�̓��b�Z�[�W �Ӗ�
INFO opend port 1701/udp UDP�̃|�[�g�ԍ�1701���J��
closed port 1701/udp UDP�̃|�[�g�ԍ�1701���
TUNNEL[XX] connected from IP�A�h���X L2TP�N���C�A���g����R�l�N�V�����m���v��(SCCRQ)����M
TUNNEL[XX] tunnel �g���l���ԍ� established L2TP�g���l�����m��
TUNNEL[XX] session �Z�b�V�����ԍ� established L2TP�Z�b�V�������m��
TUNNEL[XX] disconnecting tunnel �g���l���ԍ� L2TP�g���l���̐ؒf���������s��
TUNNEL[XX] disconnect tunnel �g���l���ԍ� complete L2TP�g���l���̍폜������
TUNNEL[XX] disconnect session �Z�b�V�����ԍ� complete L2TP�Z�b�V�����̍폜������
state timer for waiting L2TP���䃁�b�Z�[�W expired L2TP���䃁�b�Z�[�W�̎�M�҂��^�C�}�[�������������߁AL2TP�g���l���̐ؒf�������J�n
disconnect timer expired tunnel �g���l���ԍ� L2TP�ؒf�^�C�}�[�������������߁AL2TP�g���l���̐ؒf�������J�n
keepalive timer expired tunnel �g���l���ԍ� L2TP�L�[�v�A���C�u�Őڑ���̃_�E�������o�������߁AL2TP�g���l���̐ؒf�������J�n
authentication error tunnel �g���l���ԍ� L2TP�g���l���F�؃G���[�ɂ��AL2TP�g���l���̐ؒf�������J�n
DEBUG can't find tunnel number L2TP�ڑ��Ŏg�p�����g���l���C���^�t�F�[�X���݂‚���Ȃ��B
ipsec ike remote address�R�}���h�Őڑ������IP�A�h���X���Œ肵�Ă���Ƃ��ɁA
tunnel endpoint address�R�}���h�Őڑ������IP�A�h���X��ݒ肢�Ȃ��ꍇ�Ȃǂɏo�͂���܂��B
can't find valid pp interface L2TP�ڑ��Ŏg�p�����g���l���C���^�t�F�[�X���o�C���h���ꂽPP�C���^�t�F�[�X���݂‚���Ȃ��B
pp bind�R�}���h�ɂ���ăg���l���C���^�t�F�[�X���o�C���h����Ă��Ȃ��ꍇ��A
�o�C���h���ꂽ PP�C���^�t�F�[�X�����łɎg�p����Ă���ꍇ�ɏo�͂���܂��B
DEBUG
(l2tp syslog on�ݒ莞)

�ڑ�����ؒf�܂ł�
��A�̃��O��		 
 recv message AVPs :                              -+
   (0)message type SCCRQ                           | SCCRQ�̎�M����
   (2)protocol version 1 revision 0                |
   (7)hostname anonymous                           | (�ԍ�) ���� �ݒ�l
   (3)framing capability Abit:1 Sbit:0             | �ԍ�... AVP�̑����ԍ�
   (9)assigned tunnel id 61471                     | ����... AVP�̎��
   (10)receive window size 1                       | �ݒ�l... AVP�Œʒm���ꂽ���
 recv SCCRQ in idle from 203.0.113.1              -+
 TUNNEL[1] connected from 203.0.113.1                L2TP�ڑ����m�F(INFO)
 send message AVPs :                              -+
   set (0)message type SCCRP                       | SCCRP�̑��M����
   set (2)protocol version 1 revision 0            |
   set (3)framing capability sync                  | set (�ԍ�) ���� �ݒ�l
   set (4)bearer capability 0                      |
   set (6)firmware revision 0x500                  | �ԍ�... AVP�̑����ԍ�
   set (7)hostname RTX1200                         | ����... AVP�̎��
   set (8)vendorname YAMAHA Corporation            | �ݒ�l... AVP�Ɋi�[���đ���ɒʒm������
   set (9)assigned tunnel id 32882                 |
   set (10)receive window size 1                   |
 send SCCRP to 203.0.113.1                        -+
   recv message AVPs :                            -+
   (0)message type SCCCN                           | SCCCN�̎�M����
 recv SCCCN in wait_ctl_conn from 203.0.113.1     -+
 send ZLB to 203.0.113.1                             ZLB�̑��M����
 TUNNEL[1] tunnel 32882 established                  L2TP�g���l���̊m��(INFO)
   recv message AVPs :                            -+
   (0)message type ICRQ                            | ICRQ�̎�M����
   (14)assigned session id 6819                    |
   (15)call serial number 1548737386               |
 recv ICRQ in idle from 203.0.113.1               -+
   send message AVPs :                            -+
   set (0)message type ICRP                        | ICRP�̑��M����
   set (14)assigned session id 16892               |
 send ICRP to 203.0.113.1                         -+
   recv message AVPs :                            -+
   (0)message type ICCN                            | ICCN�̎�M����
   (24)tx connect speed 100Mbit/s                  |
   (19)framing type 3                              |
 recv ICCN in wait_connect from 203.0.113.1       -+
 send ZLB to 203.0.113.1                             ZLB�̑��M����
 TUNNEL[1] session 16892 established                 L2TP�Z�b�V�����̊m��(INFO)

  recv message AVPs :                             -+
   (0)message type StopCCN                         | StopCCN�̎�M����
   (9)assigned StopCCN tunnel id 61471             |
   (1)result code 6                                |
 recv StopCCN in established from 203.0.113.1     -+
 send ZLB to 203.0.113.1                             ZLB�̑��M����
 TUNNEL[1] disconnect session 16892 complete         L2TP�Z�b�V�����̍폜����(INFO)
 TUNNEL[1] disconnect tunnel 32882 complete          L2TP�g���l���̍폜����(INFO)
DEBUG
(l2tp keepalive use on�ݒ莞)		 
 set (0)message type HELLO
 keepalive HELLO send to 203.0.113.1                 HELLO�̑��M����
 recv ZLB from 203.0.113.1                           HELLO�ɑ΂���ZLB����M

 set (0)message type HELLO                        -+
 keepalive HELLO send to 203.0.113.1               | L2TP�L�[�v�A���C�u�̃^�C�}�[��
 keepalive timeout count=6                         | �������ă^�C���A�E�g�񐔂��J�E���g
 set (0)message type HELLO                         |
 keepalive HELLO send to 203.0.113.1               |
 keepalive timeout count=5                         |
  ���                                              |
 set (0)message type HELLO                         |
 keepalive HELLO send to 203.0.113.1               | L2TP�L�[�v�A���C�u�ɂ���ă_�E�������m
 keepalive timeout count=1                        -+
 disconnecting tunnel 4795                           L2TP�g���l���̐ؒf�J�n(INFO)
   send Message AVPs :                            -+
   set (0)message type StopCCN                     | StopCCN�̑��M����
   set (9)assigned tunnel id 4795                  |
   set (1)resultcode 2                             |
 send StopCCN to 203.0.113.1                      -+

�� ���̃h�L�������g�̐擪��

9. �֘A�Z�p����