L2TPv3によるVPN接続の設定手順

L2TPv3を利用した、VPN接続の基本的な設定手順を説明します。

L2TPv3を利用すると、遠隔の各拠点配下のネットワークを同一のLayer-2セグメントとして扱うことができます。

ここでは、次のような構成のネットワークを前提に説明します。

図: 構成イメージ

注: 説明のため、10.0.0.0/24をグローバルアドレスとして表現しています。

VMware仮想コンピュータ上でL2TPv3を設定する場合の注意

仮想スイッチのプロパティにて、セキュリティ > 無差別モード の値に「拒否」が設定されている場合には「承諾」に変更してください。

注: SEILをブリッジとして構成する場合は、同一の仮想ネットワークを構成する全ての仮想スイッチで設定が必要です
  1. 設定パラメータを用意する
    表 1. 用意する設定パラメータの例(SEIL A)
    項目 備考
    トンネル始点アドレス 10.0.1.1 インターネットに接続しているグローバルアドレス
    hostname seil-a 任意文字列(対向から指定)
    router-id 10.0.1.1 IPv4アドレス形式の文字列
    password opensesame 任意文字列(対向と一致)
    remote-end-id L2TP-VPN 任意文字列(対向と一致)
    表 2. 用意する設定パラメータの例(SEIL B)
    項目 備考
    トンネル始点アドレス 10.0.2.2 インターネットに接続しているグローバルアドレス
    hostname seil-b 任意文字列(対向から指定)
    router-id 10.0.2.2 IPv4アドレス形式の文字列
    password opensesame 任意文字列(対向と一致)
    remote-end-id L2TP-VPN 任意文字列(対向と一致)
    注:
    • router-idは、実際に使用するIPv4/IPv6アドレスと一致する必要はありません(IPv6環境での設定であってもIPv4アドレス形式の値を指定します)。
  2. L2TPv3接続パラメータの設定
    1. SEIL A
      # l2tp hostname seil-a
      # l2tp router-id 10.0.1.1
      # l2tp add SEIL-B hostname seil-b router-id 10.0.2.2 password opensesame
      #
    2. SEIL B
      # l2tp hostname seil-b
      # l2tp router-id 10.0.2.2
      # l2tp add SEIL-A hostname seil-a router-id 10.0.1.1 password opensesame
      #
    • それぞれ、自身の hostname 及び router-id を設定します。
    • 接続先情報として、対向装置の hostname、router-id、及び共通のpasswordを追加(add)します。設定名(SEIL-B,SEIL-A)は任意の文字列です。
  3. L2TPインタフェースの設定
    1. SEIL A
      # interface l2tp0 tunnel 10.0.1.1 10.0.2.2
      # interface l2tp0 l2tp SEIL-B remote-end-id L2TP-VPN
      #
    2. SEIL B
      # interface l2tp0 tunnel 10.0.2.2 10.0.1.1
      # interface l2tp0 l2tp SEIL-A remote-end-id L2TP-VPN
      #
    • ここではL2TPインタフェースとしてl2tp0を使用します。tunnel にはトンネルの始点(自身のIPアドレス)と終点(対向のIPアドレス)を設定します。
    • l2tp0インタフェースで使用する接続パラメータとして、それぞれ"l2tp add"コマンドで設定した設定名を指定します。
  4. ブリッジグループの設定(共通)
    # bridge group add BG1 stp off
    # bridge interface l2tp0 group BG1 stp off
    # bridge interface lan0 group BG1 stp off
    #
    • ブリッジグループとして"BG1"を追加します。2拠点間の接続ではSTPは不要です(3拠点以上のメッシュ構成では必要です)。
    • l2tp0インタフェース、及びlan0インタフェースをブリッジグループに関連付けます。

以上で設定は終了です。L2TPv3接続は自動的に開始され、各拠点配下のネットワークが同一のLayer-2セグメントとして利用できます。

注: インターネット上でのVPNに使用する場合には、IPsecによりVPN通信を保護する設定を追加することをお勧めします。