■Ubuntu Server / SoftEther VPN サーバーの構築 (その5)

Ubuntu Server マシンで SoftEther VPN サーバーが稼動しましたので、次はスマートホンから L2TP/IPsec 接続できるようにしたいと思います。


1. IPsec/L2TP/EtherIP/L2TPv3 サーバー機能

SoftEther VPN サーバーの設定で行なっていますが、サーバー管理マネージャより「IPsec/L2TP/EtherIP/L2TPv3 サーバー機能」に入り、「L2TP サーバー機能を有功にする (L2TP over IPsec)」にチェックを入れ、「IPsec 事前共有鍵」を設定しておきます。


2. ユーザーの追加

L2TP/IPsec 接続用のユーザーを追加しておきます。


3. ファイアウォールの設定

ファイアウォールを設定します。設定方法は省略しますが、出来上がりはこんな感じです。
 

$ sudo ufw status
Status: active

To
Action
From
--
-----
----
23/tcp
ALLOW
192.168.0.100
Samba
ALLOW
192.168.0.0/24
5555
ALLOW
192.168.0.100
443
ALLOW
Anywhere
500/udp
ALLOW
Anywhere
1701/udp
ALLOW
Anywhere
4500/udp
ALLOW
Anywhere


4. ルーターの設定

フィルターの設定をします。
 

# ip filter 1050 pass * 192.168.1.10 tcp,udp * https
# ip filter 1051 pass * 192.168.1.10 esp * *
# ip filter 1052 pass * 192.168.1.10 udp * 500
# ip filter 1053 pass * 192.168.1.10 udp * 1701
# ip filter 1054 pass * 192.168.1.10 udp * 4500
# pp select 1
pp1# ip secure filter in ...... 1050 1051 1052 1053 1054 ......
pp1# pp select none


IP マスカレードの設定です。
 

# nat descriptor masquerade static 1 10 192.168.1.10 tcp https
# nat descriptor masquerade static 1 11 192.168.1.10 esp
# nat descriptor masquerade static 1 12 192.168.1.10 udp 500
# nat descriptor masquerade static 1 13 192.168.1.10 udp 4500


参考URL:L2TP/IPsec

ちなみにこれらのポートの用途は次のようです。
 
https : SoftEther VPN が使用しているポート
esp : IPsec のプロトコル
500/udp : IPsec の暗号鍵交換のプロトコル
1701/udp : L2TP の待ち受けポート
4500/udp : NAT traversal NAT越えを解決する手法

また、SoftEther VPN では、IP マスカレードに https を設定しなくてもよいはずなのですが、俺の環境では SoftEther VPN クライアントからの接続が 10分毎に切断されるという症状があったために設定しています。現在はこれで安定しています。


5. スマートホンの設定

俺のスマートホンは Android 2.3.5 です。
「設定」-「無線とネットワーク」-「VPN 設定」-「VPN の追加」に入り、「L2TP/IPSec PSK VPN を追加」を選択します。
 
  1. 「VPN 名」は任意の名称を入力
  2. 「VPN サーバーの設定」は、VPN サーバーのダイナミック DNS ホスト名を入力
  3. 「IPSecIPsec 事前共有鍵の設定」に VPN サーバーで設定した IPsec 事前共有鍵を入力
  4. 「セキュリティ保護」はチェックなし
  5. 「DNS 検索ドメイン」は設定しません。
  6. 設定ができたら、作成した VPN 名をタップします。
  7. 「認証情報ストレージパスワード」を求められますので、初めてなら適当なパスワードを入力します。次からこのパスワードが必要になりますので忘れないように。
  8. 「ユーザー名」には作成したユーザー名を入力します。ユーザー名だけでも接続できますが、基本的には「ユーザー名@仮想HUB名」とします。
  9. パスワードを入力して OK すると、VPN サーバーに接続されます。

接続できないとき、俺の場合はファイアウォール、ルーターのフィルターや IP マスカレードの設定が間違っていたことがほとんどでした。このあたりをきちんと見直してみましょう。
接続ができれば、ES ファイルマネジャーなどのアプリを使用して家 LAN 内のパソコンの共有フォルダにアクセスできるようになります。
 

コメント
コメントする








   
この記事のトラックバックURL
トラックバック

■calendar

S M T W T F S
      1
2345678
9101112131415
16171819202122
23242526272829
30      
<< September 2018 >>

■search this site.

■recommend

毎日貯まるポイントサイト ECナビ

■recommend





■Twitter

■recommend

■recommend

■selected entries

■categories

■archives

■recent comment

■recent trackback

■links

■profile

■others

■mobile

qrcode

■powered

無料ブログ作成サービス JUGEM