2.23. スマートデバイス対応(L2TP LNS機能)の設定

スマートフォンなどに実装されているL2TP/IPsecのクライアントを利用して、UNIVERGE IX-R/IX-V シリーズ配下のネットワークにインターネット経由でリモートアクセスすることが可能です。

2.23.1. L2TP LNS機能の概要

UNIVERGE IX-R/IX-V シリーズでサポートしているL2TP LNS機能は、スマートデバイスと接続するための機能として実装しています。対応状況は以下のとおりです。

  • L2TP LNSの接続はIPsec(IKEv1かつIPv4)との併用が必須です。

  • NATトラバーサルに対応しており、プライベートアドレス環境でも利用可能です。

  • L2TP-MIB(RFC3371)はサポートしていません。

  • Radius連携はサポートしておりません。

2.23.2. 動作確認端末

動作確認した端末は以下のとおりです。

  • Windows 10

  • Windows 11

  • iPhone(iOS)

端末の設定は、端末ごとに設定方法が異なるため、端末側の設定は別途設定マニュアルを参照してください。

2.23.3. 注意事項

NATが多段になっている環境(プライベートアドレスが払い出される環境で、さらにNATルータを介して接続する環境)では、以下の制限があります。

IPsecのNATトラバーサルはpeerアドレスとIDで端末を区別しますが、スマートデバイスはIDがIPアドレスで固定されている装置が多く、同一のグローバルアドレス内で同じIPアドレスの端末が存在する場合、原理的に端末を区別できないため同時利用できません。

2.23.4. L2TP LNS/IPsecの基本設定

L2TP, IPsec, PPPの機能を組み合わせて実現します。設定例は以下のとおりです。

リスト 2.23.1 設定例
ike nat-traversal
!
ike proposal ike-prop1 encryption aes-256 hash sha group 1024-bit
ike proposal ike-prop2 encryption aes hash sha group 2048-bit
ike proposal ike-prop3 encryption aes hash sha group 1024-bit
ike proposal ike-prop4 encryption 3des hash sha group 1024-bit
!
ike policy ike-policy peer any key SECRET ike-prop1,ike-prop2,ike-prop3,ike-prop4
!
ipsec autokey-proposal ipsec-prop1 esp-aes-256 esp-sha
ipsec autokey-proposal ipsec-prop2 esp-aes esp-sha
ipsec autokey-proposal ipsec-prop3 esp-3des esp-sha
ipsec dynamic-map ipsec-policy ipv4 ipsec-prop1,ipsec-prop2,ipsec-prop3
!
ppp profile lns
  authentication request chap
  authentication password user1 pass1
  authentication password user2 pass2
  authentication password user3 pass3
  lcp pfc
  lcp acfc
  ! user1に192.168.1.1を払い出し
  ipcp provide-static-ip-address user1 192.168.1.1
  ! その他のユーザーは空いているアドレスを払い出し
  ipcp provide-ip-address range 192.168.1.2 192.168.1.253
!
interface GigaEthernet0.0
  ! WAN側
  ip address dhcp receive-default
  ip napt enable
  ip napt static GigaEthernet0.0 udp 500
  ip napt static GigaEthernet0.0 udp 4500
  ip napt static GigaEthernet0.0 50
  no shutdown
!
interface GigaEthernet1.0
  ! LAN側
  ip address 192.168.0.254/24
  ip proxy-arp
  no shutdown
!
interface Loopback0.0
  ip address 192.168.1.254/24
!
interface Tunnel0.0
  ppp binding lns
  tunnel mode l2tp-lns ipsec
  ip unnumbered Loopback0.0
  ip tcp adjust-mss auto
  ipsec policy transport ipsec-policy
  no shutdown
!
interface Tunnel1.0
  ppp binding lns
  tunnel mode l2tp-lns ipsec
  ip unnumbered Loopback0.0
  ip tcp adjust-mss auto
  ipsec policy transport ipsec-policy
  no shutdown

2.23.4.1. L2TP LNS/IPsecトンネルの設定

同時接続するユーザーの数だけトンネルインタフェースをL2TP LNS/IPsecモードに変更する必要があります。

以下のコマンドでトンネルインタフェースをL2TPモードに設定してください。

項目

説明

tunnel mode l2tp-lns ipsec

トンネルをL2TP/IPsec対応に変更

2.23.4.2. IPsecの設定

アドレスが不定の端末とL2TP LNS/IPsecで接続するために、設定例のようにダイナミックポリシーマップを1つ設定し、すべてのL2TP LNS/IPsecトンネルインタフェースに割り当ててください。

項目

説明

ipsec dynamic-map

ダイナミックポリシーマップの設定

IPsecは通常接続先ごとに1つのポリシー設定が必要ですが、L2TP LNS/IPsecでダイナミックポリシーマップを利用する場合にかぎり、1つのポリシーで複数の端末と接続することができます。この設定では1つの事前共有鍵を全ユーザーで利用します。

IPsecの設定内容についてはIPsecの章を参照してください。なお、プロポーザルの設定は、すべての端末が接続できる条件を指定する必要があります。特に理由がなければ設定例と同様の設定にしてください。

端末にはプライベートアドレスが払い出される場合があるため、NATトラバーサルの設定も必ず有効にしてください。

2.23.4.3. PPPの設定

L2TPはPPPを利用するプロトコルです。認証や端末に払い出すアドレスはPPPで設定します。ユーザーごとの認証の設定と、接続された端末にアドレスを払い出す以下の設定が必要です。

ユーザー名は複数設定可能です。使用するユーザー分の設定を行ってください。1つのユーザー名を複数の端末で使用することもできます。

項目

説明

ipcp provide-ip-address range

アドレスの複数払い出し設定

ipcp provide-static-ip-address

アドレス固定払い出し設定

2.23.5. 接続情報の取得

L2TPで接続された情報は、以下のコマンドで参照できます。

通常のIPsecと異なり、接続されるトンネルが不定なことに注意してください。

項目

説明

show interfaces

インタフェース情報の表示

show l2tp active

接続中のL2TPトンネルの情報表示

show l2tp history

L2TPトンネルの情報とL2TP接続履歴の表示

show l2tp statistics

L2TP統計情報表示