IX2015のリプレースが出来るかなぁと思って、
RouterboardをIPSec L2TPクライアントとして、
リモートVPNアクセスさせてみます。
今回はSoftetherVPNを使いましたが、
他のVPNサーバでもつながると思います。
IPSec L2TPサーバにする方法は
RouterBoardでL2TP/IPSec
設定例
IPSec L2TPサーバ・・・SoftetherVPN
VPNサーバアドレス・・・203.0.113.100
ユーザー名・・・neko6-rb
パスワード・・・vpnsecret
事前共有キー・・・jiendayo
VPN内ネットワーク・・・・192.168.1.0/24
RouterboardはNAT配下です。
ハードウェア
RouterBOARD RB2011L-IN
http://vigonetlabs.net/user_data/mikrotik.php
https://routerboard.com/RB2011iL-IN
CPU・・・MIPS 600 MHz
RAM・・・64MB
ハードウェア暗号化チップなどは乗っていないので、
CPUぶん回し系です。。。
[admin@MikroTik] > system routerboard print
routerboard: yes
model: 2011LS
serial-number: *********
firmware-type: ar9344
factory-firmware: 3.04
current-firmware: 3.33
upgrade-firmware: 3.33
ROSのバージョン
[admin@MikroTik] > system package print Flags: X - disabled # NAME VERSION 0 routeros-mipsbe 6.37.1 1 system 6.37.1 2 X ipv6 6.37.1 3 wireless 6.37.1 4 hotspot 6.37.1 5 dhcp 6.37.1 6 mpls 6.37.1 7 routing 6.37.1 8 ppp 6.37.1 9 security 6.37.1 10 advanced-tools 6.37.1
なぜかワイヤレスが入ってるなw
L2TP-Clientの設定
[admin@MikroTik] > interface l2tp-client print
Flags: X - disabled, R - running
0 R name="l2tp-out1" max-mtu=1400 max-mru=1400 mrru=disabled
connect-to=203.0.113.100 user="neko6-rb" password="vpnsecret"
profile=profile1 keepalive-timeout=60 use-ipsec=yes
ipsec-secret="jiendayo" allow-fast-path=no add-default-route=no
dial-on-demand=no allow=pap,chap,mschap1,mschap2
ポイントは、「user-ipsec」を使うこと。
あとは、とりあえず、MTUを小さくしておくw
NAT配下かどうかは、自動認識っぽい。
「add-default-route=yes」とすると、
VPN経路をデフォルトルートとしてくれます。
L2TP-Clientで使うプロファイルの設定
プロファイル名・・・profile1
[admin@MikroTik] > ppp profile print
Flags: * - default
0 * name="default" use-mpls=default use-compression=default
use-encryption=default only-one=default change-tcp-mss=yes
use-upnp=default address-list="" on-up="" on-down=""
1 name="profile1" local-address=dhcp use-mpls=default use-compression=default
use-encryption=default only-one=default change-tcp-mss=default
use-upnp=default address-list="" on-up="" on-down=""
ここで、「local-address=dhcp」としておくと、
インターフェイスにはVPN内のDHCPサーバからIPアドレスを取得します。
NATの設定
Firewallの設定もしておけばいいかと思います。
[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
1 chain=srcnat action=masquerade dst-address-list="" out-interface=l2tp-out1
log=no log-prefix=""
NATだけなら、
「chain=srcnat」「action=masquerade」「out-interface=l2tp-out1」
繋がると
[admin@MikroTik] > ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 2 D 192.168.1.11/32 1.0.0.1 l2tp-out1
となり、DHCPにしたので、インターフェイスにIPアドレスが振られます。
(NETWORKがよくわからない。。。)
Routeは自動で追加されます。
[admin@MikroTik] > ip route print detail
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
1 ADC dst-address=1.0.0.1/32 pref-src=192.168.1.11 gateway=l2tp-out1
gateway-status=l2tp-out1 reachable distance=0 scope=10
2 A S dst-address=192.168.1.0/24 gateway=l2tp-out1
gateway-status=l2tp-out1 reachable distance=1 scope=30 target-scope=10
ここの「dst-address=1.0.0.1/32」がちょっとよくわからない。。。
IPSecの設定は必要なく、
「user-ipsec」で自動でやってくれるので、大変らくちん。
速度ですが、
RB2011L-INはCPUをぶん回すので、あまりでません。
CPU100%張り付きで20Mbpsくらいです。
iperf -c 192.168.1.254 -w 66k ------------------------------------------------------------ Client connecting to 192.168.1.254, TCP port 5001 TCP window size: 66.0 KByte ------------------------------------------------------------ [ 3] local 192.168.1.11 port 60259 connected with 192.168.1.254 port 5001 [ ID] Interval Transfer Bandwidth [ 3] 0.0-10.1 sec 25.6 MBytes 21.4 Mbits/sec
IX2015のほうが速い。。。
さすがハードウェア処理。。。