はじめに

引っ越した先がアパート備え付けのインターネットしか使用不能の難あり物件だった。アクセスフィルタが設定されておらず、全住人が同じサブネットにぶら下がり、その上相互に通信できるように見える。セキュリティ上の懸念も大きく、なんとか自分の契約で回線をひこうとしているがいつになるのかわからない。そこで、NATトラバーサルを用いて実家のRTXルータに拠点間接続を行い、インターネットは実家経由で通信するように設定した。過去に何度も設定しているのに毎回設定方法を忘れてしまうのでメモすることにする。

機器構成抜粋

自宅ルータはNATしたうえでアパートルータにぶら下がる。アパートルータは更にもう一回NATしたうえでインターネットに疎通する。２重ルーター状態。

そこで、NATトラバーサルを用いて実家と疎通させる。

前提条件

• 互いの機器は、インターネットに疎通する設定を完了しているものとする。
• 実家側のルータはPPPoEが疎通しており、グローバルIPが振られているものとする。
• 自宅ルータは二重NATの配下に設置されているものとする。

コード

自宅側RTはNW構成上IPSec通信を受け付けることはできず、通信開始の方向は常に自宅→実家になる。自宅側RTをイニシエータ、実家RTのことをレスポンダと記載する。このような構成では一般的なメインモードを用いることはできず、アグレッシブモードを用いることになる。

IPsec-VPN by Dynamic Global IP

NATトラバーサルの設定については、イニシエータ・レスポンダ双方に設定が必要になるようだ。NATトラバーサルの仕様については、15.47.5 IPsec NAT トラバーサルを利用するための設定　を参照すること。

イニシエータ

注意点は下記の通り。

• レスポンダのIPアドレスは不定なので、FQDNを指定する。YAMAHAの場合、ネットボランチDNSが利用できる。

• アグレッシブモードでの接続のため、local nameを定義しkey idとする。このConfgではrtxとした。

tunnel select 1
 description tunnel RT1
 ipsec tunnel 1
  ipsec sa policy 1 1 esp aes-cbc sha-hmac
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local name 1 rtx key-id
  ipsec ike nat-traversal 1 on
  ipsec ike pre-shared-key 1 text 事前共有鍵
  ipsec ike remote address 1 レスポンダのFQDN
 ip tunnel tcp mss limit auto
 tunnel enable 1

レスポンダ

• イニシエータのIPアドレスが不定のため、どのIPアドレスからでもアクセスを許可するように、ipsec ike remote nameを指定する。
• 接続試行してきたイニシエータを判別するため、ipsec ike remote nameを指定する。これは、イニシエータで設定したkey idと同一にする。 このConfgではrtxとした。

tunnel select 2
 description tunnel RT2
 ipsec tunnel 2
  ipsec sa policy 2 2 esp aes-cbc sha-hmac
  ipsec ike keepalive log 2 off
  ipsec ike keepalive use 2 on heartbeat
  ipsec ike nat-traversal 2 on
  ipsec ike pre-shared-key 2 *
  ipsec ike remote address 2 any
  ipsec ike remote name 2 rtx key-id
 ip tunnel tcp mss limit auto
 tunnel enable 2

まとめ

RTXルータでは、レスポンダが変動アドレスかつ、イニシエータがNAT配下にあるという条件でも、比較的柔軟に接続できて便利である。設定事例も充実しており非常にありがたい。