リモートアクセスサーバ

L2TP/IPsecによるリモートアクセスサーバ（PPPAC: PPP Access Concentrator）機能を提供します。

表 1. 仕様概要
項目	値
AC設定数	8
VPNプロトコル	L2TPv2（ L2TP/IPsec）, SSTP
認証レルム	ローカル認証, アカウントリスト認証, RADIUS認証
認証メソッド	CHAP, PAP, MS-CHAPv2
同時接続数	1024
ユーザ設定数	ローカル認証：64 アカウントリスト認証：約1000（リストファイルのサイズによる制限）

表 2. IPv4/IPv6対応状況
機能	IPv4	IPv6	備考
VPNセッション	○	○
VPN上の通信	○	×

ユーザ認証

認証レルム

リモートアクセスユーザの認証ポリシーを設定できます。

ローカル認証レルム

リモートアクセスユーザの認証情報をコンフィグ内に設定します。

ユーザ名（1-32文字）とパスワード（1-64文字）の他、IPアドレスの割当方法について設定できます。

ユーザに割り当てるIPアドレス(Framed-IP-Address)を指定可能。RFC791 の定めるClass A、B、C のアドレスで、かつClassfulネットワークにおけるブロードキャストアドレスではないアドレスを指定可能
ユーザに割り当てるIPアドレスに対するネットマスク(Framed-IP-Netmask)を指定可能
割り当てる IPアドレスをユーザが選択するよう設定(user-select) 可能
割り当てる IPアドレスをNASが選択するよう設定(nas-select) 可能

アカウントリスト認証レルム

リモートアクセスユーザの認証情報をリストファイル化して外部ファイルサーバに設置し、定期的に取得します。

関連情報：アカウントリストの書式

リストファイル取得用のURLに指定可能なプロトコルは httpおよびhttps
- https を使用した場合に、SSLのサーバ認証は行わない
リスト取得のタイムアウトは20秒
リスト取得がタイムアウトした場合、1分間隔で 10回再取得を試みる。再取得に成功、あるいは10回すべて取得失敗した場合、次回取得は指定された定期取得間隔の時間経過後となる
定期的な取得に失敗したとき、およびアカウントリストの内容にエラーがあったとき、以前にリストを取得済みであればそれを使用し続ける
取得済のリストが存在するとき、URLを変更すると変更後のURLでの取得に成功するまでの間は、取得済のリストを使用し続ける
取得済のリストが存在するとき、URLの設定を削除した場合（アカウントリストを使用しない設定に変更した場合）は取得済みリストのアカウント情報を破棄する
システム起動後または設定変更後に、最初にリストの取得が成功するまでの間のユーザ認証は認証エラーとなる

RADIUS認証レルム

外部のRADIUSサーバにユーザ認証（Authentication）およびユーザごとの利用統計情報の管理（Accounting）を委任することができます。

クライアント証明書による認証を行うにはRADIUS認証を使用する必要があります。

委任先のRADIUS認証サーバとして、次の製品での動作確認を実施済みです。

SEIL/X4, SEIL/x86 Ayame, SEILアプライアンスシリーズ CA10（認証方式は CHAP, PAP のみ）
Windows Server 2019
FreeRADIUS 3.0.20

委任先のRADIUSアカウンティングサーバとして、次の製品での動作を実施済みです。

Windows Server 2019
FreeRADIUS 3.0.20


項目	値
連携先RADIUS認証サーバの設定数	4
連携先RADIUSアカウンティングサーバの設定数	4
RADIUSリクエスト応答タイムアウト	1～300秒
RADIUSリクエスト再試行回数	1～20回

表 3. Access-Request でセットされるアトリビュート
アトリビュート	値
NAS-IP-Address	本装置からRADIUへリクエストを送信する時の送信元IPアドレス
NAS-Service-Type	2 = Framed
NAS-Framed-Protocol	1 = PPP
Calling-Station-Id	L2TPで Calling-Number が通知された場合にその値

表 4. Access-Accept で受け取れるアトリビュート
アトリビュート	値
Framed-IP-Address	ユーザに指定するIP アドレス
Framed-IP-Netmask	ユーザに指定するサブネットマスク
Session-Timeout	セッションを切断する時間の指定
Idle-timeout	データパケットが送受信されない場合にセッションを切断する時間の指定

表 5. Accounting-Request でセットされるアトリビュート
アトリビュート	Start	Stop	値
NAS-IP-Address (RFC2865)	○	○	本装置からRADIUへリクエストを送信する時の送信元IPアドレス
NAS-Port-Type (RFC2865)	○	○	5 = Virtual
NAS-Port (RFC2865)	○	○	PPP接続の識別番号
Calling-Station-Id (RFC2865)	○	○	L2TP で Calling-Number が通知された場合に、Calling-Number
Tunnel-Medium-Type (RFC2868)	○	○	1 = IPv4 (L2TP の場合、または PPTP の場合に限る)
Tunnel-Client-Endpoint (RFC2868)	○	○	トンネル対向のアドレス(L2TP または PPTP の場合に限る)
Tunnel-Server-Endpoint (RFC2868)	○	○	トンネルを終端した本機のアドレス(L2TP または PPTP の場合に限る)
Tunnel-Assignment-ID (RFC2868)	○	○	トンネルの識別番号(L2TP または PPTP の場合に限る)
Acct-Tunnel-Connection (RFC2867)	○	○	コールの識別番号(L2TP または PPTP の場合に限る)
User-Name (RFC2865)	○	○	PPPユーザ名
Service-Type (RFC2865)	○	○	2 = Framed
Framed-Protocol (RFC2865)	○	○	1 = PPP
Framed-IP-Address (RFC2865)	○	○	トンネル対向に割り当てたIPアドレス
Acct-Status-Type (RFC2866)	○	○	Start の場合 1 = Start。Stop の場合 2 = Stop
Acct-Delay-Time (RFC2866)	○	○	Startまたは Stop してからの経過秒数
Acct-Input-Octets (RFC2866)	−	○	入力オクテット数
Acct-Output-Octets (RFC2866)	−	○	出力オクテット数
Acct-Session-Id (RFC2866)	○	○	セッション識別子 (先頭8文字でブートを識別し、続く8文字でPPP接続を識別)
Acct-Authentic (RFC2866)	○	○	1 = RADIUS
Acct-Session-Time (RFC2866)	−	○	セッションの時間
Acct-Input-Packets (RFC2866)	−	○	入力パケット数
Acct-Output-Packets (RFC2866)	−	○	出力パケット数
Acct-Terminate-Cause (RFC2866)	−	○	切断理由
Acct-Input-Gigawords (RFC2869)	−	○	入力ギガワード(オクテット数を64bit表現した場合の上位32bit)
Acct-Output-Gigawords (RFC2869)	−	○	出力ギガワード(オクテット数を64bit表現した場合の上位32bit)

L2TP/IPsec

L2TPv2, L2TP/IPsec

接続確認済みのリモートアクセスクライアント

Windows

Windows 7, Windows 8, Windows 10, Windows 11

Mac OS X

Mac OS 10.8, Mac OS 10.9, Mac OS 10.11, Mac OS 10.12

iOS

iOS 10.3.2

Android

機種やバージョンによりL2TP/IPsecクライアント機能を搭載していない場合があります。

SEILシリーズ

SA-Wシリーズ

注: 動作を保証するものではありません

PPP

PPP の認証プロトコルとして PAP、CHAP、MA-CHAPv2 が利用可能
MPPE による PPP フレームの暗号化に対応
LCP による keepalive が可能
- keepaliveの送信間隔（定常時）と再送間隔（失敗時）を設定可能
- 3秒以内に応答が無い場合は失敗とし、3回連続で失敗した場合はセッションを切断する
IPCP によるアドレスのセットアップが可能
- アドレスプール機能により割り当てアドレスの管理が可能

無通信時切断タイマー

無通信時間が指定期間に達したときクライアントを切断可能

手動切断

clear pppac session コマンドの実行によりセッションのクリア（切断）が可能

MRU

PPPACインタフェースのMRUを設定可能

PPP接続時に双方のMRUを比較しMTUを決定します。

L2TP HELLOによるセッションキープアライブ

接続中のリモートアクセスクライアントの応答状況を監視し、無応答のセッションを切断できます。

キープアライブ仕様

セッションを開始すると、HELLOメッセージの送信を開始し、ZLB (Zero-Length Body)メッセージの応答を待つ
応答が得られるまで2秒間隔でHelloパケットを送信する
応答があった場合は監視アップと判定し、次回は60秒後（10～3600秒で設定可能）にHelloパケットの送信を開始する
60秒間（10～300秒で設定可能）継続して応答が無い場合は監視ダウンと判定し、StopCCNメッセージを送信してセッションを終了する

ダイアルインの受け入れ

本機能を有効化するとProxy LCP AVPおよびProxy Authentication AVPを受け入れることができます。

本機能は「IIJ認証アウトソースサービス」が提供するVPDN機能との相互接続を想定し動作を確認しています。

注: 接続対向がホスト名を要求する場合は、hostnameキーに設定された値を送信します。

表 6. 対応するAVP
AVP	Type
Last Received LCP CONFREQ	28
Last Sent LCP CONFREQ	27
Proxy Authen Challenge	31
Proxy Authen ID	32
Proxy Authen Name	30
Proxy Authen Response	33
Proxy Authen Type	29

IPsecによる通信の保護

IKEの事前共有鍵を設定すると、接続先とのL2TPv2通信をIPsecで保護します。

IPsec/IKEのパラメータはプリセットされた値を使用します。

表 7. IKE Phase-1プロポーザル
DHグループ	暗号アルゴリズム	ハッシュアルゴリズム	ライフタイム
MODP2048	AES256	SHA-1	8時間
MODP1024	AES256	SHA-1	8時間
MODP1536	AES256	SHA-1	8時間
MODP1024	3DES	SHA-1	8時間
MODP1024	3DES	MD5	8時間

表 8. IKE Phase-2プロポーザル
PFSグループ	暗号アルゴリズム	メッセージ認証アルゴリズム	ライフタイム
なし	AES256, AES128, 3DES	HMAC-SHA-1, HMAC-MD5	1時間

表 9. IPsecセキュリティポリシー
送信元IPアドレス : ポート番号	送信先 : ポート番号	プロトコル	AH	ESP	モード	ポリシー
自身のIPアドレス : 1701	any : any	UDP	なし	あり	トランスポート	IPsec必須
any : any	自身のIPアドレス : 1701	UDP	なし	あり	トランスポート	IPsec必須

表 10. IKEの調整項目
項目	値
鍵交換モード	メインモード
ポート番号	UDP 500, 4500
値の同一性確認の厳密さ	イニシエータに従う
INITIAL-CONTACTメッセージ	送信する
自己識別子	IPアドレス
相手識別子	IPアドレス
Nonce値の大きさ	16 bytes
DPD（Dead Peer Detection）	無効
パディング値のランダム化	有効
パディング長のランダム化	無効
ランダム化したパディング長の最大値	20 bytes
パディングの末尾のパディング長の検査	無効
パディングの末尾のパディングに自身の長さを含める	有効
再送回数	5回
再送間隔	10秒
Phase-1のタイムアウト	30秒
Phase-2のタイムアウト	30秒
1回の送信で送るパケット数	1個

SSTP