RTX810 では IP アドレスの割り振りが簡単だったが、RTX1210 では、WEB 設定から IP アドレスの割り振りが無くなっていた。
内部の DHCP サーバーから割り振るよう設定を見直した。
前提
- 接続は tunnel3を使用
- 事前共有キーは kyouyuu-password を使用
- ユーザー名は hogehoge パスワードは vpn-password を使用
- LAN1 の HUB の先に DHCP サーバーがある
- NATディスクリプター番号は1を使用
- RTX1210 の内部アドレスは 192.168.0.1 ネットワークは 192.168.0.0/24 LAN1
- RTX1210 の外部は LAN2 に接続
- UDP 1701 は、IPsec を使用しない時のポートみたいだが、入れないと動かなかったので入れてある
- IN の静的フィルターでは AH と ESP と UDP のうちの 500,4500,1701 があけてある
- OUT の動的フィルターでは IKE L2TP が入れてある
pp select anonymous
pp bind tunnel3
pp auth request mschap-v2
pp auth username hogehoge vpn-password
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp remote address dhcpc lan1
ip pp remote address pool dhcpc lan1
ip pp mtu 1258
pp enable anonymous
tunnel select 3
tunnel encapsulation l2tp
ipsec tunnel 3
ipsec sa policy 3 3 esp 3des-cbc sha-hmac
ipsec ike keepalive use 3 off
ipsec ike nat-traversal 3 on
ipsec ike pre-shared-key 3 text kyouyuu-password
ipsec ike remote address 3 any
l2tp tunnel disconnect time off
ip tunnel tcp mss limit auto
tunnel enable 3
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
nat descriptor masquerade static 1 3 192.168.0.1 udp 4500
nat descriptor masquerade static 1 4 192.168.0.1 udp 1701
Windows 側では
接続名 | 任意の名前 |
サーバー名またはアドレス | 接続先の FDQN か IP アドレス |
VPNの種類 | 事前共有キーを使った L2TP/IPsec |
事前共有キー | kyouyuu-password |
サインイン情報の種類 | ユーザー名とパスワード |
ユーザー名 | hogehoge |
パスワード | vpn-password |
サインイン情報を保存する | チェック |
「コントロールパネル」の「ネットワークとインターネット」の「ネットワーク接続」で任意の名前を付けた接続の設定を変更(右クリップでプロパティを開き)
セキュリティタブは、チャレンジハンド成句承認プロトコル(CHAP)はチェックせず、Microsoft CHAP Version2 はチェック
ネットワークタブでは TCP/IPv4 のプロパティで IP アドレスを自動的に取得するを選択して、DNS サーバーのアドレスに接続先のネットワーク内の DNS サーバーを指定する
TCP/IPv6のチェックは外しておいた方がいいと思われる
RTX1210 の DHCP を使用している場合は、
ip pp remote address dhcpc lan1
を
ip pp remote address dhcp
にする。
そもそも
ip pp remote address pool dhcpc lan1
の行は要らないと思われるが。