アライドファン.comは、佐々木ネットワークテクノロジーズが運営する、ネットワーク技術情報サイトです。

手順3. L2TPの設定

次に、インターネット上に仮想的にレイヤ2レベルのVPNトンネルを作成するプロトコル「L2TP」の設定を行う。

PPPテンプレートの設定

L2TPを着信したときに動的に作成されるダイナミックPPPインターフェースの設定を行う。
相手を認証するためのプロトコルとしては、通常CHAP（Challenge Handshake Authentication Protocol）を使用する。
なおデフォルトでは、5〜15分のランダムな間隔でCHAPの再認証が行われるようになっている。この再認証時にVPN接続が切られてしまう場合があるので、安定性を重視する場合はCHAPの再認証を無効にする。
また、TCP/IPヘッダーを圧縮して転送効率を向上させるために、VJ圧縮は有効とする。
接続時にクライアントに割り当てるIPアドレスには、前の手順で設定したIPアドレスプール「VPNC」を使うものとする。 実際に入力するコマンドは以下の通り。

create ppp template=1 bap=off ippool="VPNC" vjc=on authentication=chap rechallenge=off echo=30

L2サーバ機能の起動

続いて、以下のコマンドにより、L2TPモジュールとL2TPサーバ機能の起動を行う。
L2TPサーバーは、LAC/LNSの兼用モードを使用する。
実際に入力するコマンドは以下の通り。

enable l2tp enable l2tp server=both

PPPテンプレートの指定

L2TP経由でVPNクライアント(LAC)が接続してきたときに使用するPPPテンプレートを指定する。LACのIPアドレスは不定なので、どのIPアドレスからでも接続を受け入れるように設定しなければならない。
実際に入力するコマンドは以下の通り。

add l2tp ip=0.0.0.0-255.255.255.255 ppptemplate=1

手順4. ファイアウォールの設定

次に、ファイアウォールの設定を行う。
ファイアウォールには、VPNクライアントがL2TP経由で接続してきたときに動的に作成されるPPPインターフェースのための設定が必要となる。
ここでは、基本的なファイアウォールの設定が既に終わっていることを前提とする。

ダイナミックIFの定義

最初に、ダイナミックインターフェーステンプレートの名称を定義する。
名称は任意であるが、ここでは「vpnif」と定義する。
実際に入力するコマンドは以下の通り。

create firewall policy="fw01" dynamic=vpnif

上記例により、ファイアウォールポリシー「fw01」に対して、ダイナミックインターフェーステンプレート「vpnif」が作られる。

ダイナミックIFユーザ定義

次に、前の手順で作成したダイナミックインターフェーステンプレートが利用可能となるユーザの設定を行う。
手順2で登録したユーザが全てダイナミックPPPインターフェースを利用可能とするには、以下のコマンドを入力する。

add firewall policy="fw01" dynamic=vpnif user=ANY

上記例では、全てのユーザがダイナミックインターフェーステンプレート「vpnif」を利用することができるようになる。
なお、user=ANYの代わりに、個別にユーザIDを設定することもできる。

ダイナミックIFの設定

次に、ダイナミックIFがファイアウォールの内側となるように設定を行う。
設定に使用するコマンドは以下の通り。

add firewall policy="fw01" int=dyn-vpnif type=private

上記設定により、リモート接続先−内部の間の通信が可能となる。
なお、リモート接続先からARルータを経由し、さらに別のVPN接続先に通信を行う場合は、別の設定が必要となる。詳細はこちら。

NAT設定の追加

リモート接続先からルータを経由してインターネットへのアクセスを行う場合は、NAT機能の設定が必要となる。
リモート接続端末の種類によっては、VPNリモート接続が確立した時点でデフォルトルートがVPNトンネル側に向くので、この手順によってルータ側でインターネットアクセスへのルートを確保しないと、VPN接続時点でリモート端末からのインターネットアクセスができなくなってしまう。
設定に使用するコマンドは以下の通り。

add firewall poli="fw01" nat=enhanced int=dyn-vpnif gblin=ppp0

上記設定により、リモート接続先からのインターネットアクセスが、ルータのWAN側のグローバルアドレス（上記例ではppp0に割り当てられたグローバルアドレス）に変換されるようになる。

その３へ続く

設定作業のご依頼はこちら