前回の記事「CentOS 6.x で StrongSwan を使った L2TP over IPsec 環境を作る」では、さくら VPS の CentOS 6.6 上に L2TP over IPsec サーバを作りました。この環境と常時、L2TP over IPsec を接続したままにする為、ゲートウェイルータになっている Mikrotik 製ルータを L2TP over IPsec のクライアントとして設定してみました。
前提条件
構成は以下の通りです。「LAN → サーバ側のプライベートネットワーク」向きの通信は送信元アドレスを L2TP インターフェイスで NAT(マスカレード)させています。
主要なバージョン情報は以下の通りです。Linux 側の設定は上述した前回の記事から、ほぼ変更ありません。
- Linux 側(L2TP over IPsec サーバ)
- CentOS 6.6 x86_64
- strongswan-5.2.0-7.el6.x86_64
- xl2tpd-1.3.6-2.el6.x86_64
- Mikrotik 側(L2TP over IPsec クライアント)
- RouterBoard 951G-2HnD
- RouterOS 6.29.1
L2TP over IPsec のパラメータは以下とします。
| 項目 | 値 |
|---|---|
| Linux のグローバルアドレス | X.X.X.X |
| Mikrotik のグローバルアドレス | PPPoE により、動的に割り当て |
| サーバのプライベートアドレス | 172.16.1.1 |
| クライアントに割り当てられるアドレス範囲 | 172.16.100 〜 172.16.1.200 |
| IPSec の事前共有鍵 | IPSEC-PSK |
| L2TP のユーザ名 | L2TP-USER |
| L2TP のパスワード | L2TP-PASSWORD |
Mikrotik に L2TP over IPsec クライアント設定を実施する
設定は以下の通りです。本番環境で利用するには、セキュリティへの配慮が必要です。
/interface l2tp-client
add connect-to=X.X.X.X disabled=no keepalive-timeout=disabled max-mru=1410 max-mtu=1410 name=L2TP-CLIENT password=L2TP-PASSWORD user=L2TP-USER
/ip firewall nat
add action=masquerade chain=srcnat dst-address=172.16.1.1 out-interface=L2TP-CLIENT
/ip ipsec peer
add address=X.X.X.X/32 nat-traversal=no secret=IPSEC-PSK
/ip ipsec policy
add dst-address=172.16.1.0/24 protocol=ipsec-esp sa-dst-address=X.X.X.X sa-src-address=0.0.0.0 src-address=192.168.253.0/24 tunnel=yes参考
今回は「サーバは Linux、クライアントは Mikrotik」の構成です。両端を Mikrotik にする場合は以下の記事が参考になります。
コメント