2.4.4. L2TP/IPsec(L2TPv2)を使用して本社ネットワークにリモート接続する(モバイル回線、マルチユーザ、コマンド設定)

  • 概要

対応機種は、WA1511/WA1512/WA2611-AP/WA2611E-AP/WA2612-AP/WA2511E です。
販売終了機種はこちら→→→ 販売終了機種
本事例は、リモートのPCまたはタブレット端末からL2TP/IPsecで本社ネットワークに
セキュアな接続を行う構成です。外出先からリモートで接続して、自分の業務用PCに
リモートデスクトップ接続するテレワーク用途等での利用が可能です。
1ユーザを固定アドレス払い出し、3ユーザまで自動アドレス払い出しを行います。
本機能を利用するためには、本体のバージョンをVer 8.6以降にアップデートする必要があります。

本社ネットワークはモバイル回線を利用します。
SIMのAPN、ユーザ名、パスワードは事前にご契約された通信事業者にご確認ください。
PCのL2TP/IPsec設定方法はこちら→ L2TP/IPsec(L2TPv2)利用時のWindows10端末の設定
iOSのL2TP/IPsec設定方法はこちら→ L2TP/IPsec(L2TPv2)利用時のiOS端末の設定
AndroidのL2TP/IPsec設定方法はこちら→ L2TP/IPsec(L2TPv2)利用時のAndroid端末の設定
L2TPv2接続動作確認済みリストはこちら→ L2TP/IPsec(L2TPv2) 動作確認済み端末一覧
  • ネットワーク構成図

img1

  • WA1512 サンプルコンフィグ

設定項目

コンフィグ

ホスト名の設定

hostname wa1512

ログインユーザ名、
ログインパスワードの設定

username (ログインユーザ名) password plain (ログインパスワード) administrator

Web-GUIログイン名、
ログインパスワードの設定

http-username (Web-GUIログイン名) password plain (Web-GUIログインパスワード) administrator

DHCPサーバの設定

ip dhcp-server enable
ip dhcp-server profile default
assignable-range 192.168.10.1 50
default-gateway auto
dns-server auto
subnet-mask auto

L2TPプロファイルの設定

ppp profile lns
authentication request chap-pap
user-list L2TPユーザ名(固定用) password plain L2TPパスワード(固定用)
user-list L2TPユーザ名(自動用) password plain L2TPパスワード(自動用)
ipcp provide-remote-dns 192.168.10.254
ipcp provide-ip-address range 192.168.20.1 3 ※自動用
ipcp provide-static-ip-address L2TPユーザ名(固定用) 192.168.20.100 ※固定用

WANインタフェースの設定

interface MobileEthernet0.0
ip address dhcp
ip tcp adjust-mss auto
ipsec map ipsecprof0
ipsec map ipsecprof1
ipsec map ipsecprof2
ipsec map ipsecprof3
ip napt enable
ip napt reserve icmp ※pingによる疎通確認後に削除推奨
ip napt reserve esp
ip napt reserve udp 500
ip napt reserve udp 4500
mobile id IP (APN)
mobile username (ユーザ名)
mobile password plain (パスワード)
auto-connect
no shutdown

LANインターフェースの設定

interface GigaEthernet1.0
ip address 192.168.10.254/24
proxy-arp enable
ip dhcp-server binding default
no shutdown

L2TPv2インターフェース0の設定

interface L2TPE0
ip address unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ppp profile lns
l2tp mode lns
l2tp client-isolation enable
no shutdown

L2TPv2インターフェース1の設定

interface L2TPE1
ip address unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ppp profile lns
l2tp mode lns
l2tp client-isolation enable
no shutdown

L2TPv2インターフェース2の設定

interface L2TPE2
ip address unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ppp profile lns
l2tp mode lns
l2tp client-isolation enable
no shutdown

L2TPv2インターフェース3の設定

interface L2TPE3
ip address unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ppp profile lns
l2tp mode lns
l2tp client-isolation enable
no shutdown

ルーティングの設定

ip route default MobileEthernet0.0

DNSプロキシの設定

proxy-dns ip enable
proxy-dns server default MobileEthernet0.0 dhcp

IKEプロポーザルの設定(Win10/iOS)

ike proposal ikeprop
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha1
lifetime 28800
dh-group 2048-bit

IKEプロポーザルの設定(Android)

ike proposal ikeprop2
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256
lifetime 28800
dh-group 1024-bit

IKEポリシーの設定

ike policy ikepol1
mode main
dpd-keepalive enable ph1 20 3
proposal ikeprop ikeprop2
pre-shared-key plain (事前共有鍵)
nat-traversal enable keepalive 20

IPsecプロポーザルの設定

ipsec proposal ipsecprop
protocol esp enc-algo des-cbc aes256-cbc auth-algo hmac-sha1-96 hmac-sha2-256
lifetime 28800

IPsecポリシーの設定

ipsec policy ipsecpol
proposal ipsecprop

IPsecプロファイル0の設定

ipsec profile ipsecprof0
mode transport
ipsec policy ipsecpol
ike policy ikepol1
source MobileEthernet0.0
peer any

IPsecプロファイル1の設定

ipsec profile ipsecprof1
mode transport
ipsec policy ipsecpol
ike policy ikepol1
source MobileEthernet0.0
peer any

IPsecプロファイル2の設定

ipsec profile ipsecprof2
mode transport
ipsec policy ipsecpol
ike policy ikepol1
source MobileEthernet0.0
peer any

IPsecプロファイル3の設定

ipsec profile ipsecprof3
mode transport
ipsec policy ipsecpol
ike policy ikepol1
source MobileEthernet0.0
peer any

NetMeisterの設定

nm ip enable
nm account (アカウント名) password plain (パスワード)
nm sitename example-office

Webサーバの設定

https-server ip enable
https-server ip permit 192.168.10.0/24
https-server ip permit 192.168.20.0/24
https-server ip redirect enable

L2TP LEDの設定

led vpn l2tp
  • サンプルコンフィグのダウンロード

WA1512のサンプルコンフィグのダウンロードはこちら サンプルコンフィグ.
  • コンフィグの適用方法

コンフィグの適用方法はこちら→ CLIによるコンフィグの適用方法

  • 動作確認済みSIM

動作確認済みのSIMはこちら

注意

本事例は、設定例を示したものであり、動作を保証するものではありません。
ご利用いただく場合には、検証の上ご利用ください。