L2TP/IPsec接続によるVPNを行うための設定です。
docomoのspモード経由のWiFiテザリングで使用しようと思って設定したけど、docomoはL2TPも使えないという仕様だそうです。USBテザリングならPPTPもL2TPも両方使えます。 ←これ間違いでしたspモードでは両方使えません。
ちなみに、auとsoftbankはWiFiテザリングでもPPTPもL2TPも両方が使えるよう・・・です。
↑いつからかわからないけど、docomo-iphoneでPPTPも、L2TPも使えるようになった。(2016.12)
RTX1100側の設定
既にPPTP-VPNの設定があるものとして、そのPPTP-VPNの 「tunnel 30」 を修正して L2TP/IPsec-VPN接続を行います。要点だけ書いてあます。
pp select anonymous
...
ip pp mtu 1258
tunnel select 30
tunnel encapsulation l2tp
ipsec tunnel 30
ipsec sa policy 30 30 esp aes-cbc sha-hmac
ipsec ike keepalive log 30 off
ipsec ike keepalive use 30 off
ipsec ike local address 30 192.168.200.254
ipsec ike nat-traversal 30 on
ipsec ike pre-shared-key 30 text IKE-KEY
ipsec ike remote address 30 any
l2tp tunnel disconnect time off
ip tunnel tcp mss limit auto
tunnel enable 30
...
nat descriptor masquerade static 1 5 192.168.200.254 udp 4500
ipsec transport 30 30 udp 1701
l2tp service on
クライアント側の設定
Windows2000/XPを使用する場合、PPTP-VPNと同じようにPPTPのネットワーク接続を作成します。作成後、プロパティで編集し「セキュリティ」タブ>「IPSec設定(P)」>「認証に事前共有キーを使う(U)」にチェックを入れ、「キー(K)」欄にipsec ike pre-shard-key で設定した事前共有キーを入力します。
次に、「ネットワーク」タブ>「VPNの種類(E)」欄を「自動」から「L2TP IPSec VPN」へ変更します。
更に、WindowsXPを使用する場合には、nat-traversalに対応する為にレジストリの修正を行います。「AssumeUDPEncapsulationContextOnSendRule」には、' 2 ' を設定します。
ipsec sa policy で設定する暗号アルゴリズムと認証アルゴリズムは、Windowsの種類によって使用できるものに違いがあるので要チェックです。
RTX1100の設定中、どうしてもクライアントが接続できない場合、RTX1100側で sa の削除を行うと接続出来る場合があます。誤った設定でのsaを保持してしまっていると正しい設定になっていても接続できない不具合が発生します。その場合には、show ipsec sa でL2TPのsaを確認し、ipsec sa delete で L2TPのsa を削除します。
つまり設定を変更するたびに、saを確認して削除してからクライアントの接続を行うのが間違いないです。
また、どうしてもクライアントが接続できない場合、ipsec refresh sa で、全ての sa を再作成するのも方法の一つです。その代わりにIPsec-VPNを使用している場合、一時的に切断されてしまいます。
エラー734:PPPリンク制御プロトコルが終了しました。
pp anonymousの設定に、ppp ccp no-encryption reject が入っているとつながりません。