IX2215 と RouterBoard の IPSec L2TP設定例

次の構成でVPNを構築する機会があったので備忘録として書きます。

  • Site to Siteというよりメンテナンス目的でRB4011側からIX2215のセグメントへ通信したいだけだったのでL2TP Clientで接続。そのためNAT Masqueradeを使用する。
  • センター側は NEC IX2215
  • クライアント側は Mikrotik RB4011iGS+RM
  • センター側のIPセグメントは 10.1.1.0/24

Dudeで書いたマップから抜粋すると、赤枠で囲ったような感じの構成を想定しています。

 

 

 

 

 

IX2215側の設定

これはNECのサイトにWindowsクライアントを対象とした設定例があるので、基本的にそれに従えばOKです。

VPNクライアントとの接続(L2TP/IPsec, Windows 7/8)

自分の現状と照らし合わせつつ、追加で入れなきゃいけないコンフィグ部分は、主には次のものですね。

  • ip access-list
  • ike nat-traversal
  • ike proposal
  • ipsec autokey-proposal
  • ike plolicy
  • ppp profile
    このブログではセンター側のIPセグメントを10.1.1.0/24としているので、
    icpcp provide-ip-address range 10.1.1.245 10.1.1.1.246 と設定します。
  • interface Tunnel0.0
  • interface GigaEthernet の ip proxy-arp

ただし、NECページの設定例では、固定グローバルIPアドレスをWAN側インターフェースに直接割り当てる特殊な状況が前提になっていて、一般的なPPPoE+NAT Masqueradeの構成ではないので、そのままは適用できないシーンが多いのではないかと思う。

ip access-list に次の内容が必要です。”IX2215 WAN” には、IX2215のWAN側インターフェースに割り当てられるグローバルIPアドレスを入れます。このアクセスリストを設定して適用しておかないと、Phase1と2の通信が通らないので接続できない状態になります。※IX2015のEtherIP設定でも言及したやつです。

ip access-list flt-ipsec permit udp src any sport eq 500 dest "IX2215 WAN" dport any
ip access-list flt-ipsec permit udp src any sport eq 4500 dest "IX2215 WAN" dport any

加えて、PPPoEインターフェースとして設定した部分に ip napt static を追加します。

interface GigaEthernet0.1
ip napt static "IX2215 WAN" udp 500
ip napt static "IX2215 WAN" udp 4500

 

RB4011iGS+RM側の設定

Winboxで設定を進めることを前提として書きます。

PPP -> Profiles

 

 

 

 

 

 

 

 

IX2215側で設定した 10.1.1.245 – 10.1.1.246 のIPを受け取るために、Local Address にdefault-dhcpを指定します。

また、Change TCP MSSyes に設定します。NECのサイトにも解説がありますが、IPSecなどのトンネルインターフェースを使用する場合、適切なMTU並びにMSSが状況により異なる場合があるので、調整する必要がありますが、Change TCP MSSをyesにすると自動でやってくれます。

Interface -> L2TP Client

 

 

 

 

 

 

 

 

  • Connect To: IX2215のグローバルIPアドレスか、Aレコードを入れる。
  • User:ppp profile で設定したユーザー名
  • Password:ppp profile で設定したユーザー名に紐づくパスワード
  • Profile:先程作成したプロファイルを指定する。
  • Use IPSec:チェックを入れ、IPSec Secret に IX2215 の ike policy で設定したシークレットパスワードを入れる。
  • Allow:chapにだけチェックを入れる。

 

IP -> Firewall -> NAT

 

 

 

 

 

 

 

 

RB4011側のIPセグメントが、10.1.1.0/24と通信できるようにNATの設定を追加します。Out Interce には、先程作成したL2TP Clientインターフェースを選択します。

 

 

 

 

 

 

 

 

Actionタブで Action: masquerade を選択します。

IP -> Routes

 

 

 

 

 

 

最後にルートを追加します。Gatewayには、L2TP Clientインターフェースを指定します。