2016年06月14日
このエントリーをはてなブックマークに追加
まず Yamaha ルーターは Windows 機器との L2TP/IPsec はサポートしていないという話を聞きました。
Yamaha L2TP/IPsec
※このHTMLの「L2TP/IPsecのクライアント設定」項目内に、「※Microsoft社製Windows OSのL2TP/IPsec接続はサポートしません。」という記載がありました。

で、できないのかと言われれば、そんなことはありません。できました。特に不具合なども聞いていません。Webではトラブル例が散在されますが・・。

とりあえずヤマハの参考サイトは以下の通り
L2TP/IPsecを利用してリモートアクセスする

この通りに設定を行ったと、部下から聞きました。しかしWindows端末やモバイル端末から L2TP ができない。そのように言われたのです。
エラーログは以下の通り。

2016/05/31 XX:XX:58: [IKE] initiate info exchange (notification)
2016/05/31 XX:XX:58: [IKE] respond IPsec phase to X.X.X.X
2016/05/31 XX:XX:58: [IKE] respond ISAKMP phase to X.X.X.X
2016/05/31 XX:XX:55: [IKE] initiate info exchange (notification)
2016/05/31 XX:XX:55: [IKE] respond IPsec phase to X.X.X.X
2016/05/31 XX:XX:54: [IKE] respond ISAKMP phase to X.X.X.X
2016/05/31 XX:XX:47: [IKE2] SA:1/IKE deleted

ここで、ヤマハのルーターを見てみると、以下の通り一瞬ではありますが、 sa の情報が確認できました。

# show ipsec sa gateway 1 detail
SA[1] 寿命: 4秒
自分側の識別子: X.X.X.X
相手側の識別子: X.X.X.X
プロトコル: IKE
アルゴリズム: 3DES-CBC, SHA-1, MODP 1024bit
NATトラバーサル: あり, キープアライブ: なし
SPI: f9 87 fd 23 2c 49 5b ee 6c cb f4 a0 0a e6 55 72
鍵 : ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------

このことから、FWの設定は間違ってないだおろうし、暗号化の種類もきっと間違っていない・・・。
そのように想像できました。しかしつながらなかったのです。

で、結局すごく単純なミスでした。
ipsec transport の設定のミスです。

ipsec transport コマンドは以下のような書式です。
ipsec transport id policy_id [proto [src_port_list [dst_port_list]]]

ここで id と policy_id の勘違いでした。policy_id は ipsec の設定で利用している番号を利用する必要があります。nat descriptor masquerade static でも似たような感じです。

正しくは
ipsec transport 1 101 udp 1701 とするところを
ipsec transport 101 1 udp 1701

としていたのです。そのため policy_id 1 の設定が無いためにエラーとなっていました。
しかしL2TPは僕自身はあまり用途が無かったので設定をしていませんでした。とても勉強になりました。


stock_value at 12:03│Comments(0)TrackBack(0)技術:2016年 

トラックバックURL

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔