![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
SoftEther VPN Server の Build 9582 以降のバージョンは、YAMAHA 社のルータ (RTX シリーズ) との間で、L2TPv3 over IPsec VPN の相互接続 (拠点間レイヤ 2 ブリッジ接続) を行うことができます。
これにより、下図のように、複数の拠点に存在する複数の YAMAHA ルータの LAN ポートの Ethernet セグメントを、センター拠点 (本社やデータセンタなど) の SoftEther VPN Server の仮想 HUB の Ethernet セグメントと常時接続状態にすることができます。
YAMAHA ルータは SoftEther VPN Server に IPv4 (NAT 可) および IPv6 経由で接続する能力を有します。
従来、SoftEther VPN Server にレイヤ 2 ブリッジ接続をすることができる遠隔 VPN 装置としては、SoftEther VPN Bridge をインストールした任意の Windows や Linux 等の VPN サーバーやアプライアンスの他、Cisco ルータ、NEC IX シリーズのルータおよび IIJ SEIL シリーズのルータがありました。しかし、IT スタッフが常駐しない小規模な拠点や海外拠点においては Windows の Linux の VPN サーバーやアプライアンスの管理が困難な場合がありました。Cisco ルータや NEC IX シリーズのルータ、IIJ SEIL シリーズは、ネットワーク機器専門店の店頭や Amazon.co.jp 等で気軽に新品を調達することができないという問題がありました。
今回、SoftEther VPN Server と YAMAHA 社ルータとが L2TPv3 over IPsec で相互接続することができるようになったことにより、ネットワーク機器専門店の店頭や Amazon.co.jp 等で気軽に新品を調達することができる YAMAHA 社のルータを各ブランチ拠点に、SoftEther VPN Server を本社などのセンター拠点に設置し、SoftEther VPN Server で複数の拠点の YAMAHA 社のルータからの接続を集約することができます。
また、SoftEther VPN Server には、接続を受け付ける YAMAHA ルータの台数 (同時接続 L2TPv3 セッション数) の制限がありません。これは多数の YAMAHA ルータによって巨大なオーバーレイネットワークを構築する際に便利です。例えば、YAMAHA RTX810 は、2 台以上の YAMAHA ルータと同時に L2TPv3 トンネルを確立をすることができないため、センター拠点には、ブランチ拠点と同一の台数の RTX810 を並べる必要があります。YAMAHA RTX1210 などの上位機種にも、最大 9 台の YAMAHA ルータとしか L2TPv3 接続を行うことができないという制限があります。これと比較して、SoftEther VPN Server の場合、何十台、何百台もの YAMAHA ルータを 1 台の高性能 SoftEther VPN Server で収容することができます。また、同一の SoftEther VPN Server で複数の仮想 HUB (レイヤ 2 セグメント) を作成し、YAMAHA ルータの ID ごとに振り分けを行うことが可能です。同一の SoftEther VPN Server は、PC やスマートフォンからの VPN 接続など、他の用途を併用させることも可能です。
さらに、SoftEther VPN Server と YAMAHA 社のルータは、両方とも、IPv6 に完全対応しています。したがって、NTT 東日本・西日本が提供する「フレッツ 光ネクスト」(NGN) の IPv6 網内折返し通信を活用し、高速・低遅延な VPN を IPv6 上で構築することが可能です。SoftEther VPN Server が動作するコンピュータの IPv6 アドレスまたはフレッツ上で利用可能な「ネーム」(ダイナミック DNS 名) を YAMAHA ルータにおける宛先 VPN サーバ名として指定することができます。「ネーム」(ダイナミック DNS 名) を指定した場合は、SoftEther VPN Server の IPv6 アドレスがフレッツ網上で変化した場合でも、引き続き VPN 接続を維持することができます。
加えて、SoftEther VPN Server と YAMAHA 社のルータは、両方とも、IEEE802.1Q タグ付き VLAN の透過に対応しています。これを活用することにより、複数のレイヤ 2 セグメントによって構成される、タグ付き VLAN フレームが流れる本社またはデータセンタのトランク接続を、そのまま、ブランチ拠点の YAMAHA ルータの LAN ポートに、タグを付けたままで延伸することができます。それだけではありません。SoftEther VPN Server には、仮想 HUB のユーザーごとのセキュリティポリシーにより IEEE802.1Q タグ付きフレームにおけるタグの取り外し、取り付け (通常の L2 スイッチにおけるアンタグ VLAN ポートと同等の機能) が搭載されています。ユーザーごとに所属する VLAN ID を動的に変更することが可能です。
YAMAHA 社のルータは、RTX1210、RTX5000、RTX3500、RTX810 および RTX1200 が SoftEther VPN Server (Build 9582 以降) への L2TPv3 over IPsec サーバー機能への接続を行う能力を有します。ファームウェアが古い場合は、最新版にアップデートをする必要があります。要求されるファームウェアのバージョンは、YAMAHA 社の Web サイト http://www.rtpro.yamaha.co.jp/RT/docs/l2tpv3/ を参照してください。
YAMAHA ルータの設定を行う前に、まず、SoftEther VPN の IPsec 機能の設定を行う必要があります。
上記の画面における「EtherIP / L2TPv3 over IPsec サーバー機能有効」をチェックしてから、「サーバー機能の詳細設定」ボタンをクリックして「追加」ボタンを押してください。すると、以下のような画面が表示されます。
「EtherIP / L2TPv3 サーバ機能の詳細設定」ウィンドウでは、L2TPv3 クライアント (ルータ等) が VPN Server に対して IPSec 接続を行おうとする際に提示される ISAKMP (IKE) Phase1 の ID 文字列と、接続先の仮想 HUB と仮想 HUB のユーザの設定の関連付けを事前に登録することが出来ます。
もしこのような事前の関連付けがなければ、複数台の L2TPv3 クライアントを 1 台の VPN Server に IPSec 経由で接続しようとした場合に、どの L2TPv3 ルーターがどの仮想 HUB に接続するべきか、接続する際に使用するユーザオブジェクトはどれを使用するかと言ったような項目が VPN Server 側で把握できないことになります。
そのため、L2TPv3 プロトコルによって VPN Server に IPSec で接続する際には IPSec の鍵交換プロトコル (ISAKMP / IKEv1) の Phase 1 の ID 交換の際にルータから提示される ID を元に、どこの仮想 HUB にどのユーザとしてブリッジ接続を行うのかを定義しておかなければなりません。
たとえば、ここでは「YAMAHA1_ID」という ID が提示されたルータからの L2TPv3 接続を、仮想 HUB 「VLAN」におけるユーザ「l2tpv3」として接続させる設定を行った状態 (以下の画面のような定義が追加されているという状態) であると仮定して、以下の説明を行います。なお、本番運用に移行する際には、VPN Server 側で定義する ID 文字列を YAMAHA ルータ側で「ipsec ike local name 1」コマンドで設定する、ユニークな文字列と同一のものに変更しておくことがセキュリティ上好ましいと言えます。
(ユーザ「l2tpv3」は仮想 HUB 「VLAN」にあらかじめ登録しておく必要があります)
なお、ISAKMP (IKEv1) の Phase 1 ID として「*」 (アスタリスク) を指定することも可能です。この場合には、他の定義に一致しないすべての VPN ルータからの接続を許可します。このため設定が容易になりますが、IPSec の事前共通鍵を知っているすべてのユーザからの接続を許可することになりますので、注意が必要です。
1 台または複数台の YAMAHA ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。
なお、この設定例においては、YAMAHA ルータには固定の IP アドレス (グローバル IP アドレス、または NAT 背後のプライベート IP アドレスのいずれでも差し支えありません) を割当てていることを前提としています。YAMAHA ルータに可変の IP アドレスを割当てる場合や、PPPoE 等で ISP から IP アドレスを自動取得するような場合の設定例については後述します。
以下の環境を想定した設定例です。ユーザーの環境に合わせて、適宜読み替えてください。
上記のような場合の YAMAHA ルータにおけるコンフィグレーション例は以下のようになります。
# 本体初期化後の初期設定 (デフォルトの IP アドレスや DHCP サーバーの設定を消去)
login timer 300
no dhcp service
no dhcp server rfc2131 compliant except remain-silent
no dhcp scope 1
no ip lan1 address
# WAN ポートの IP アドレスを設定
ip routing on
ip lan2 address 2.3.4.5/24
ip route default gateway 2.3.4.254
# VPN トンネルを設定
ipsec auto refresh on
ipsec transport 1 101 udp 1701
tunnel select 1
tunnel encapsulation l2tpv3
# VPN Server のアドレスの指定: IPv4 アドレスを直接指定する場合
tunnel endpoint address 1.2.3.4
# VPN Server のアドレスの指定: IPv4 DNS ホスト名を指定する場合
tunnel endpoint name test.softether.net fqdn
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike restrict-dangling-sa 1 off
ipsec ike nat-traversal 1 on keepalive=30 force=off
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on dpd 10 6 0
ipsec ike pre-shared-key 1 text vpn
ipsec ike local name 1 YAMAHA1_ID fqdn
ipsec ike duration isakmp-sa 1 691200 rekey 90%
ipsec ike duration ipsec-sa 1 691200 rekey 90%
# VPN Server のアドレスの指定: IPv4 アドレスを直接指定する場合
ipsec ike remote address 1 1.2.3.4
# VPN Server のアドレスの指定: IPv4 DNS ホスト名を指定する場合
ipsec ike remote address 1 test.softether.net
l2tp always-on on
l2tp tunnel disconnect time off
l2tp keepalive use on 5 10
l2tp keepalive log on
l2tp syslog on
l2tp remote end-id vpn
tunnel enable 1
l2tp service on l2tpv3
# lan1 を VPN トンネルとの間で L2 ブリッジする
bridge member bridge1 lan1 tunnel1
# L2 ブリッジに IPv4 アドレスを付ける
# VPN 接続先のセグメント内で通用する IPv4 アドレスであれば望ましい
# (その場合は VPN 経由でこのルータのプライベート IP にアクセスし
# telnet でログインすることもできるようになる)
# が、VPN 接続先のセグメントと関係がない IPv4 アドレスでも良い。
# この仮想の IPv4 アドレスは、後述の heartbeat2 コマンドにより定期的に
# パケットを VPN に対して送出することにより VPN トンネルを維持しよう
# とするために使用される。本来は設定しなくても良いが、
# 設定することを推奨する。
ip bridge1 address 10.255.255.253/22
# heartbeat2 コマンドにより、VPN を通じて定期的に無意味なパケットが
# 送信される。これにより VPN トンネルが維持される。
heartbeat2 myname keepalive
heartbeat2 transmit 1 auth keepalive 10.255.255.255
heartbeat2 transmit interval 30
heartbeat2 transmit enable 1
# YAMAHA ファームウェアのバグであると思われる原因により、
# 上記の設定を投入しても、再起動するまでの間、L2TPv3 接続が始動しない
# 場合がある。そのため、設定を保存し、一旦再起動をする。
save
restart
1 台または複数台の YAMAHA ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。
なお、この設定例においては、YAMAHA ルータにはインターネット接続のための動的な IP アドレス (グローバル IP アドレス、または NAT 背後のプライベート IP アドレスのいずれでも差し支えありません) が DHCP サーバーから割当られることを前提としています。
以下の環境を想定した設定例です。ユーザーの環境に合わせて、適宜読み替えてください。
上記のような場合の YAMAHA ルータにおけるコンフィグレーション例は以下のようになります。
# 本体初期化後の初期設定 (デフォルトの IP アドレスや DHCP サーバーの設定を消去)
login timer 300
no dhcp service
no dhcp server rfc2131 compliant except remain-silent
no dhcp scope 1
no ip lan1 address
# WAN ポートを DHCP 自動取得に設定
ip routing on
ip lan2 address dhcp
ip route default gateway dhcp lan2
dns server dhcp lan2
# VPN トンネルを設定
ipsec auto refresh on
ipsec transport 1 101 udp 1701
tunnel select 1
tunnel encapsulation l2tpv3
# VPN Server のアドレスの指定: IPv4 アドレスを直接指定する場合
tunnel endpoint address 1.2.3.4
# VPN Server のアドレスの指定: IPv4 DNS ホスト名を指定する場合
tunnel endpoint name test.softether.net fqdn
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike restrict-dangling-sa 1 off
ipsec ike nat-traversal 1 on keepalive=30 force=off
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on dpd 10 6 0
ipsec ike pre-shared-key 1 text vpn
ipsec ike local name 1 YAMAHA1_ID fqdn
ipsec ike duration isakmp-sa 1 691200 rekey 90%
ipsec ike duration ipsec-sa 1 691200 rekey 90%
# VPN Server のアドレスの指定: IPv4 アドレスを直接指定する場合
ipsec ike remote address 1 1.2.3.4
# VPN Server のアドレスの指定: IPv4 DNS ホスト名を指定する場合
ipsec ike remote address 1 test.softether.net
l2tp always-on on
l2tp tunnel disconnect time off
l2tp keepalive use on 5 10
l2tp keepalive log on
l2tp syslog on
l2tp remote end-id vpn
tunnel enable 1
l2tp service on l2tpv3
# lan1 を VPN トンネルとの間で L2 ブリッジする
bridge member bridge1 lan1 tunnel1
# L2 ブリッジに IPv4 アドレスを付ける
# VPN 接続先のセグメント内で通用する IPv4 アドレスであれば望ましい
# (その場合は VPN 経由でこのルータのプライベート IP にアクセスし
# telnet でログインすることもできるようになる)
# が、VPN 接続先のセグメントと関係がない IPv4 アドレスでも良い。
# この仮想の IPv4 アドレスは、後述の heartbeat2 コマンドにより定期的に
# パケットを VPN に対して送出することにより VPN トンネルを維持しよう
# とするために使用される。本来は設定しなくても良いが、
# 設定することを推奨する。
ip bridge1 address 10.255.255.253/22
# heartbeat2 コマンドにより、VPN を通じて定期的に無意味なパケットが
# 送信される。これにより VPN トンネルが維持される。
heartbeat2 myname keepalive
heartbeat2 transmit 1 auth keepalive 10.255.255.255
heartbeat2 transmit interval 30
heartbeat2 transmit enable 1
# YAMAHA ファームウェアのバグであると思われる原因により、
# 上記の設定を投入しても、再起動するまでの間、L2TPv3 接続が始動しない
# 場合がある。そのため、設定を保存し、一旦再起動をする。
save
restart
1 台または複数台の YAMAHA ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。
なお、この設定例においては、YAMAHA ルータはインターネットにまず PPPoE を用いて ISP にダイヤルアップ接続し、次に ISP 経由で IP アドレスを取得する場合を想定しています。
以下の環境を想定した設定例です。ユーザーの環境に合わせて、適宜読み替えてください。
上記のような場合の YAMAHA ルータにおけるコンフィグレーション例は以下のようになります。
# 本体初期化後の初期設定 (デフォルトの IP アドレスや DHCP サーバーの設定を消去)
login timer 300
no dhcp service
no dhcp server rfc2131 compliant except remain-silent
no dhcp scope 1
no ip lan1 address
# PPPoE ポートの設定 (lan2 ポートを物理ポートとして利用)
pp select 1
pp keepalive interval 30 retry-interval=1 count=6
pp keepalive use lcp-echo
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pppoe tcp mss limit 1414
pp auth accept pap chap
# PPPoE のユーザー名とパスワードをここに記述
pp auth myname pppoe_username@isp.net PPPoEPassword
ppp lcp mru on 1454
ppp ipcp msext on
ppp ipcp ipaddress on
ppp ccp type none
pp enable 1
ip route default gateway pp 1
dns server pp 1
# VPN トンネルを設定
ipsec auto refresh on
ipsec transport 1 101 udp 1701
tunnel select 1
tunnel encapsulation l2tpv3
# VPN Server のアドレスの指定: IPv4 アドレスを直接指定する場合
tunnel endpoint address 1.2.3.4
# VPN Server のアドレスの指定: IPv4 DNS ホスト名を指定する場合
tunnel endpoint name test.softether.net fqdn
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike restrict-dangling-sa 1 off
ipsec ike nat-traversal 1 on keepalive=30 force=off
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on dpd 10 6 0
ipsec ike pre-shared-key 1 text vpn
ipsec ike local name 1 YAMAHA1_ID fqdn
ipsec ike duration isakmp-sa 1 691200 rekey 90%
ipsec ike duration ipsec-sa 1 691200 rekey 90%
# VPN Server のアドレスの指定: IPv4 アドレスを直接指定する場合
ipsec ike remote address 1 1.2.3.4
# VPN Server のアドレスの指定: IPv4 DNS ホスト名を指定する場合
ipsec ike remote address 1 test.softether.net
l2tp always-on on
l2tp tunnel disconnect time off
l2tp keepalive use on 5 10
l2tp keepalive log on
l2tp syslog on
l2tp remote end-id vpn
tunnel enable 1
l2tp service on l2tpv3
# lan1 を VPN トンネルとの間で L2 ブリッジする
bridge member bridge1 lan1 tunnel1
# L2 ブリッジに IPv4 アドレスを付ける
# VPN 接続先のセグメント内で通用する IPv4 アドレスであれば望ましい
# (その場合は VPN 経由でこのルータのプライベート IP にアクセスし
# telnet でログインすることもできるようになる)
# が、VPN 接続先のセグメントと関係がない IPv4 アドレスでも良い。
# この仮想の IPv4 アドレスは、後述の heartbeat2 コマンドにより定期的に
# パケットを VPN に対して送出することにより VPN トンネルを維持しよう
# とするために使用される。本来は設定しなくても良いが、
# 設定することを推奨する。
ip bridge1 address 10.255.255.253/22
# heartbeat2 コマンドにより、VPN を通じて定期的に無意味なパケットが
# 送信される。これにより VPN トンネルが維持される。
heartbeat2 myname keepalive
heartbeat2 transmit 1 auth keepalive 10.255.255.255
heartbeat2 transmit interval 30
heartbeat2 transmit enable 1
# YAMAHA ファームウェアのバグであると思われる原因により、
# 上記の設定を投入しても、再起動するまでの間、L2TPv3 接続が始動しない
# 場合がある。そのため、設定を保存し、一旦再起動をする。
save
restart
1 台または複数台の YAMAHA ルータを各拠点に設置し、本社に設置した SoftEther VPN Server に対して VPN 接続を行う場合における設定方法を示します。
各拠点の YAMAHA ルータと SoftEther VPN Server のすべてに IPv6 アドレスが割当てられている場合を想定しています。IPv6 インターネットのほかに、「フレッツ 光ネクスト」の IPv6 網内折り返しが可能な環境でも VPN の構築ができます。
以下の環境を想定した設定例です。ユーザーの環境に合わせて、適宜読み替えてください。
上記のような場合の YAMAHA ルータにおけるコンフィグレーション例は以下のようになります。
# 本体初期化後の初期設定 (デフォルトの IP アドレスや DHCP サーバーの設定を消去)
login timer 300
no dhcp service
no dhcp server rfc2131 compliant except remain-silent
no dhcp scope 1
no ip lan1 address
# WAN ポートを IPv6 アドレス自動取得に設定
ipv6 routing on
ipv6 lan2 address auto
ipv6 lan2 dhcp service client ir=on
# VPN トンネルを設定
ipsec auto refresh on
ipsec transport 1 101 udp 1701
tunnel select 1
tunnel encapsulation l2tpv3
# VPN Server のアドレスの指定: IPv6 アドレスを直接指定する場合
tunnel endpoint address 2001:AF80::1234
# VPN Server のアドレスの指定: IPv6 DNS ホスト名を指定する場合
tunnel endpoint name test123.aoi.flets-east.jp fqdn
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike restrict-dangling-sa 1 off
ipsec ike nat-traversal 1 on keepalive=30 force=off
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on dpd 10 6 0
ipsec ike pre-shared-key 1 text vpn
ipsec ike local name 1 YAMAHA1_ID fqdn
ipsec ike duration isakmp-sa 1 691200 rekey 90%
ipsec ike duration ipsec-sa 1 691200 rekey 90%
# VPN Server のアドレスの指定: IPv6 アドレスを直接指定する場合
ipsec ike remote address 1 2001:AF80::1234
# VPN Server のアドレスの指定: IPv6 DNS ホスト名を指定する場合
ipsec ike remote address 1 test123.aoi.flets-east.jp
l2tp always-on on
l2tp tunnel disconnect time off
l2tp keepalive use on 5 10
l2tp keepalive log on
l2tp syslog on
l2tp remote end-id vpn
tunnel enable 1
l2tp service on l2tpv3
# lan1 を VPN トンネルとの間で L2 ブリッジする
bridge member bridge1 lan1 tunnel1
# L2 ブリッジに IPv4 アドレスを付ける
# VPN 接続先のセグメント内で通用する IPv4 アドレスであれば望ましい
# (その場合は VPN 経由でこのルータのプライベート IP にアクセスし
# telnet でログインすることもできるようになる)
# が、VPN 接続先のセグメントと関係がない IPv4 アドレスでも良い。
# この仮想の IPv4 アドレスは、後述の heartbeat2 コマンドにより定期的に
# パケットを VPN に対して送出することにより VPN トンネルを維持しよう
# とするために使用される。本来は設定しなくても良いが、
# 設定することを推奨する。
ip bridge1 address 10.255.255.253/22
# heartbeat2 コマンドにより、VPN を通じて定期的に無意味なパケットが
# 送信される。これにより VPN トンネルが維持される。
heartbeat2 myname keepalive
heartbeat2 transmit 1 auth keepalive 10.255.255.255
heartbeat2 transmit interval 30
heartbeat2 transmit enable 1
# YAMAHA ファームウェアのバグであると思われる原因により、
# 上記の設定を投入しても、再起動するまでの間、L2TPv3 接続が始動しない
# 場合がある。そのため、設定を保存し、一旦再起動をする。
save
restart
![[heart]](image/face/heart.png)
03.png
02.png
01.png
