L2TP/IPsec-VPN

L2TP/IPsec接続によるVPNを行うための設定です。

docomoのspモード経由のWiFiテザリングで使用しようと思って設定したけど、docomoはL2TPも使えないという仕様だそうです。USBテザリングならPPTPもL2TPも両方使えます。 ←これ間違いでしたspモードでは両方使えません。

ちなみに、auとsoftbankはWiFiテザリングでもPPTPもL2TPも両方が使えるよう・・・です。

↑いつからかわからないけど、docomo-iphoneでPPTPも、L2TPも使えるようになった。（2016.12）

RTX1100側の設定

既にPPTP-VPNの設定があるものとして、そのPPTP-VPNの 「tunnel 30」 を修正して L2TP/IPsec-VPN接続を行います。要点だけ書いてあます。

pp select anonymous

...

ip pp mtu 1258

tunnel select 30

tunnel encapsulation l2tp

ipsec tunnel 30

ipsec sa policy 30 30 esp aes-cbc sha-hmac

ipsec ike keepalive log 30 off

ipsec ike keepalive use 30 off

ipsec ike local address 30 192.168.200.254

ipsec ike nat-traversal 30 on

ipsec ike pre-shared-key 30 text IKE-KEY

ipsec ike remote address 30 any

l2tp tunnel disconnect time off

ip tunnel tcp mss limit auto

tunnel enable 30

...

nat descriptor masquerade static 1 5 192.168.200.254 udp 4500

ipsec transport 30 30 udp 1701

l2tp service on

クライアント側の設定

Windows2000/XPを使用する場合、PPTP-VPNと同じようにPPTPのネットワーク接続を作成します。作成後、プロパティで編集し「セキュリティ」タブ＞「IPSec設定（P)」＞「認証に事前共有キーを使う（U)」にチェックを入れ、「キー（K)」欄にipsec ike pre-shard-key で設定した事前共有キーを入力します。

次に、「ネットワーク」タブ＞「VPNの種類（E)」欄を「自動」から「L2TP IPSec VPN」へ変更します。

更に、WindowsXPを使用する場合には、nat-traversalに対応する為にレジストリの修正を行います。「AssumeUDPEncapsulationContextOnSendRule」には、' 2 ' を設定します。

ipsec sa policy で設定する暗号アルゴリズムと認証アルゴリズムは、Windowsの種類によって使用できるものに違いがあるので要チェックです。

RTX1100の設定中、どうしてもクライアントが接続できない場合、RTX1100側で sa の削除を行うと接続出来る場合があます。誤った設定でのsaを保持してしまっていると正しい設定になっていても接続できない不具合が発生します。その場合には、show ipsec sa でL2TPのsaを確認し、ipsec sa delete で L2TPのsa を削除します。

つまり設定を変更するたびに、saを確認して削除してからクライアントの接続を行うのが間違いないです。

また、どうしてもクライアントが接続できない場合、ipsec refresh sa で、全ての sa を再作成するのも方法の一つです。その代わりにIPsec-VPNを使用している場合、一時的に切断されてしまいます。

エラー734：PPPリンク制御プロトコルが終了しました。

pp anonymousの設定に、ppp ccp no-encryption reject が入っているとつながりません。