2.23. スマートデバイス対応(L2TP LNS機能)の設定
スマートフォンなどに実装されているL2TP/IPsecのクライアントを利用して、UNIVERGE IX-R/IX-V シリーズ配下のネットワークにインターネット経由でリモートアクセスすることが可能です。
2.23.1. L2TP LNS機能の概要
UNIVERGE IX-R/IX-V シリーズでサポートしているL2TP LNS機能は、スマートデバイスと接続するための機能として実装しています。対応状況は以下のとおりです。
L2TP LNSの接続はIPsec(IKEv1かつIPv4)との併用が必須です。
NATトラバーサルに対応しており、プライベートアドレス環境でも利用可能です。
L2TP-MIB(RFC3371)はサポートしていません。
Radius連携はサポートしておりません。
2.23.2. 動作確認端末
動作確認した端末は以下のとおりです。
Windows 10
Windows 11
iPhone(iOS)
端末の設定は、端末ごとに設定方法が異なるため、端末側の設定は別途設定マニュアルを参照してください。
2.23.3. 注意事項
NATが多段になっている環境(プライベートアドレスが払い出される環境で、さらにNATルータを介して接続する環境)では、以下の制限があります。
IPsecのNATトラバーサルはpeerアドレスとIDで端末を区別しますが、スマートデバイスはIDがIPアドレスで固定されている装置が多く、同一のグローバルアドレス内で同じIPアドレスの端末が存在する場合、原理的に端末を区別できないため同時利用できません。
2.23.4. L2TP LNS/IPsecの基本設定
L2TP, IPsec, PPPの機能を組み合わせて実現します。設定例は以下のとおりです。
ike nat-traversal ! ike proposal ike-prop1 encryption aes-256 hash sha group 1024-bit ike proposal ike-prop2 encryption aes hash sha group 2048-bit ike proposal ike-prop3 encryption aes hash sha group 1024-bit ike proposal ike-prop4 encryption 3des hash sha group 1024-bit ! ike policy ike-policy peer any key SECRET ike-prop1,ike-prop2,ike-prop3,ike-prop4 ! ipsec autokey-proposal ipsec-prop1 esp-aes-256 esp-sha ipsec autokey-proposal ipsec-prop2 esp-aes esp-sha ipsec autokey-proposal ipsec-prop3 esp-3des esp-sha ipsec dynamic-map ipsec-policy ipv4 ipsec-prop1,ipsec-prop2,ipsec-prop3 ! ppp profile lns authentication request chap authentication password user1 pass1 authentication password user2 pass2 authentication password user3 pass3 lcp pfc lcp acfc ! user1に192.168.1.1を払い出し ipcp provide-static-ip-address user1 192.168.1.1 ! その他のユーザーは空いているアドレスを払い出し ipcp provide-ip-address range 192.168.1.2 192.168.1.253 ! interface GigaEthernet0.0 ! WAN側 ip address dhcp receive-default ip napt enable ip napt static GigaEthernet0.0 udp 500 ip napt static GigaEthernet0.0 udp 4500 ip napt static GigaEthernet0.0 50 no shutdown ! interface GigaEthernet1.0 ! LAN側 ip address 192.168.0.254/24 ip proxy-arp no shutdown ! interface Loopback0.0 ip address 192.168.1.254/24 ! interface Tunnel0.0 ppp binding lns tunnel mode l2tp-lns ipsec ip unnumbered Loopback0.0 ip tcp adjust-mss auto ipsec policy transport ipsec-policy no shutdown ! interface Tunnel1.0 ppp binding lns tunnel mode l2tp-lns ipsec ip unnumbered Loopback0.0 ip tcp adjust-mss auto ipsec policy transport ipsec-policy no shutdown
2.23.4.1. L2TP LNS/IPsecトンネルの設定
同時接続するユーザーの数だけトンネルインタフェースをL2TP LNS/IPsecモードに変更する必要があります。
以下のコマンドでトンネルインタフェースをL2TPモードに設定してください。
項目
説明
tunnel mode l2tp-lns ipsec
トンネルをL2TP/IPsec対応に変更
2.23.4.2. IPsecの設定
アドレスが不定の端末とL2TP LNS/IPsecで接続するために、設定例のようにダイナミックポリシーマップを1つ設定し、すべてのL2TP LNS/IPsecトンネルインタフェースに割り当ててください。
項目
説明
ipsec dynamic-map
ダイナミックポリシーマップの設定
IPsecは通常接続先ごとに1つのポリシー設定が必要ですが、L2TP LNS/IPsecでダイナミックポリシーマップを利用する場合にかぎり、1つのポリシーで複数の端末と接続することができます。この設定では1つの事前共有鍵を全ユーザーで利用します。
IPsecの設定内容についてはIPsecの章を参照してください。なお、プロポーザルの設定は、すべての端末が接続できる条件を指定する必要があります。特に理由がなければ設定例と同様の設定にしてください。
端末にはプライベートアドレスが払い出される場合があるため、NATトラバーサルの設定も必ず有効にしてください。
2.23.4.3. PPPの設定
L2TPはPPPを利用するプロトコルです。認証や端末に払い出すアドレスはPPPで設定します。ユーザーごとの認証の設定と、接続された端末にアドレスを払い出す以下の設定が必要です。
ユーザー名は複数設定可能です。使用するユーザー分の設定を行ってください。1つのユーザー名を複数の端末で使用することもできます。
項目
説明
ipcp provide-ip-address range
アドレスの複数払い出し設定
ipcp provide-static-ip-address
アドレス固定払い出し設定
2.23.5. 接続情報の取得
L2TPで接続された情報は、以下のコマンドで参照できます。
通常のIPsecと異なり、接続されるトンネルが不定なことに注意してください。
項目
説明
show interfaces
インタフェース情報の表示
show l2tp active
接続中のL2TPトンネルの情報表示
show l2tp history
L2TPトンネルの情報とL2TP接続履歴の表示
show l2tp statistics
L2TP統計情報表示