YAMAHAルータ RTX への L2TP/IPSec 接続

Apple 製品 と Windows の違い (クライアント側)

Apple製品（iPhone と MacOS )は、デフォルトでNATトラバーサル可能となってる
Windows10/11 はレジストリ設定をいれないと対応しない

iPhoneでつながってもWin11でつながらないときは、この点を見直すと良い

Windows の NATトラバーサル設定

レジストリ設定

公式

https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/networking/configure-l2tp-ipsec-server-behind-nat-t-device

BUFFALOツール

このようなツール提供もあるみたい (未検証)

https://www.buffalo.jp/support/download/detail/?dl_contents_id=61518

そもそもL2TP

L2TP (Layer Two Tunneling Protocol)

• トンネリングプロトコル （暗号化機能は持たない）
• 暗号化機能を IPSec で提供
• RTX は リモートアクセスVPNのサーバーとして動作。クライアントとしては動作しない。またLAN間接続にも使えない
• 複数のL2TPクライアントから接続を受け付ける場合には、IPsec事前共有鍵が統一されている必要があり （GUIで設定すると、確かに1つしか設定できない）

https://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/

...
L2TPコネクションの待ち受けにはUDPの1701番ポートが使用されます
...

そもそも NATトラバーサル

NATの内側でIPsecを利用するときに生じる制約や運用の難しさを改善

• IPSec の ESPパケットを UDP でカプセル化する
• 上記により、ESPパケットを特別扱い不要になる

https://www.infraexpert.com/study/ipsec15.html

YAMAHAさんの仕様

https://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat-traversal.html

Win11 クライアントの設定

参考1 : CLI

https://qiita.com/kazuhiro1982/items/772dd854da83d4b5ff28

https://qiita.com/kazuhiro1982/items/03169a38fdef28ec1187

参考2 : GUI

https://sanuki-tech.net/and-more/2021/0611/

https://sanuki-tech.net/and-more/2021/0829/

トラブルシューティング

ルータ側 コマンド

https://network.yamaha.com/setting/router_firewall/ts_router/vpnl2tp_connect

• show status pp anonymous
• show status l2tp

ルータ側ログ (1)

クライアントからのVPN接続時に、次のログは出力されるが認証に進まない。

=> 私のケースでは、クライアント側のNATトラバーサル設定が出来てなかったので、それを行う事で解消しました

202x/mm/dd 16:39:04: [IKE] initiate info exchange (notification)
202x/mm/dd 16:39:04: [IKE] respond IPsec phase to 111.222.333.xxx