L2TP over IPsec (L2TP/IPsec) の通信で用いるIPsecの設定の簡易化を行います。
- 設定可能なパラメータ
- L2TP/IPsec簡易設定の有効、無効
- IKE事前共有鍵
- IPsec-SAのライフタイム
- IPsecセキュリティポリシーを設定した場合は、そのIPsecセキュリティポリシーを優先して適用します。
- IKEプロポーザルは、IKE Peer の設定に address dynamic が設定されている場合、その IKE Peer の設定を優先して使用します。
- NAT Traversal機能はデフォルトで有効になります。
表 1. IKEプロポーザル
優先順位 |
DHグループ |
暗号アルゴリズム |
ハッシュアルゴリズム |
ライフタイム |
1 |
MODP2048 |
AES256 |
SHA-1 |
28800(8h) |
2 |
MODP1024 |
AES256 |
SHA-1 |
28800(8h) |
3 |
MODP1536 |
AES128 |
SHA-1 |
28800(8h) |
4 |
MODP1024 |
3DES |
SHA-1 |
28800(8h) |
5 |
MODP1024 |
3DES |
SHA-1 |
3600(1h) |
6 |
MODP1024 |
3DES |
MD5 |
28800(8h) |
表 2. IPsec-SAプロポーザル
優先順位 |
PFSグループ |
暗号アルゴリズム |
メッセージ認証アルゴリズム |
ライフタイム(変更可) |
1 |
MODP2048 |
AES256 |
HMAC-SHA-1 |
3600(1h) |
2 |
MODP1024 |
AES256 |
HMAC-MD5 |
3600(1h) |
3 |
MODP1536 |
AES128 |
HMAC-SHA-1 |
3600(1h) |
4 |
MODP1024 |
AES128 |
HMAC-MD5 |
3600(1h) |
5 |
MODP1024 |
3DES |
HMAC-SHA-1 |
3600(1h) |
6 |
MODP1024 |
3DES |
HMAC-MD5 |
3600(1h) |
表 3. IPsecセキュリティポリシー
送信元IPアドレス : ポート番号 |
送信先 : ポート番号 |
プロトコル |
AH |
ESP |
モード |
ポリシー |
自身のIPアドレス : 1701 |
any : any |
UDP |
なし |
あり |
トランスポート |
IPsec必須 |
any : any |
自身のIPアドレス : 1701 |
UDP |
なし |
あり |
トランスポート |
IPsec必須 |