MikroTik のルータを L2TP over IPsec のクライアントとして設定するには

前回の記事「CentOS 6.x で StrongSwan を使った L2TP over IPsec 環境を作る」では、さくら VPS の CentOS 6.6 上に L2TP over IPsec サーバを作りました。この環境と常時、L2TP over IPsec を接続したままにする為、ゲートウェイルータになっている Mikrotik 製ルータを L2TP over IPsec のクライアントとして設定してみました。

前提条件¶

構成は以下の通りです。「LAN → サーバ側のプライベートネットワーク」向きの通信は送信元アドレスを L2TP インターフェイスで NAT（マスカレード）させています。

file

主要なバージョン情報は以下の通りです。Linux 側の設定は上述した前回の記事から、ほぼ変更ありません。

Linux 側（L2TP over IPsec サーバ）
- CentOS 6.6 x86_64
- strongswan-5.2.0-7.el6.x86_64
- xl2tpd-1.3.6-2.el6.x86_64
Mikrotik 側（L2TP over IPsec クライアント）
- RouterBoard 951G-2HnD
- RouterOS 6.29.1

L2TP over IPsec のパラメータは以下とします。

項目	値
Linux のグローバルアドレス	X.X.X.X
Mikrotik のグローバルアドレス	PPPoE により、動的に割り当て
サーバのプライベートアドレス	172.16.1.1
クライアントに割り当てられるアドレス範囲	172.16.100 〜 172.16.1.200
IPSec の事前共有鍵	IPSEC-PSK
L2TP のユーザ名	L2TP-USER
L2TP のパスワード	L2TP-PASSWORD

Mikrotik に L2TP over IPsec クライアント設定を実施する¶

設定は以下の通りです。本番環境で利用するには、セキュリティへの配慮が必要です。

/interface l2tp-client
add connect-to=X.X.X.X disabled=no keepalive-timeout=disabled max-mru=1410 max-mtu=1410 name=L2TP-CLIENT password=L2TP-PASSWORD user=L2TP-USER
/ip firewall nat
add action=masquerade chain=srcnat dst-address=172.16.1.1 out-interface=L2TP-CLIENT
/ip ipsec peer
add address=X.X.X.X/32 nat-traversal=no secret=IPSEC-PSK
/ip ipsec policy
add dst-address=172.16.1.0/24 protocol=ipsec-esp sa-dst-address=X.X.X.X sa-src-address=0.0.0.0 src-address=192.168.253.0/24 tunnel=yes

参考¶

今回は「サーバは Linux、クライアントは Mikrotik」の構成です。両端を Mikrotik にする場合は以下の記事が参考になります。

L2TP + IPSEC between 2 Mikrotik routers