L2TPv3を利用した、VPN接続の基本的な設定手順を説明します。
L2TPv3を利用すると、遠隔の各拠点配下のネットワークを同一のLayer-2セグメントとして扱うことができます。
ここでは、次のような構成のネットワークを前提に説明します。
- インターネット接続の設定は完了しているものとします(接続方式は問いませんが、双方共に、固定のグローバルアドレスでの疎通が取れる必要があります)。
VMware仮想コンピュータ上でL2TPv3を設定する場合の注意
仮想スイッチのプロパティにて、
の値に「拒否」が設定されている場合には「承諾」に変更してください。
注: SEILをブリッジとして構成する場合は、同一の仮想ネットワークを構成する全ての仮想スイッチで設定が必要です
- 設定パラメータを用意する
表 1. 用意する設定パラメータの例(SEIL A)
項目 |
値 |
備考 |
トンネル始点アドレス |
10.0.1.1 |
インターネットに接続しているグローバルアドレス |
hostname |
seil-a |
任意文字列(対向から指定) |
router-id |
10.0.1.1 |
IPv4アドレス形式の文字列 |
password |
opensesame |
任意文字列(対向と一致) |
remote-end-id |
L2TP-VPN |
任意文字列(対向と一致) |
表 2. 用意する設定パラメータの例(SEIL B)
項目 |
値 |
備考 |
トンネル始点アドレス |
10.0.2.2 |
インターネットに接続しているグローバルアドレス |
hostname |
seil-b |
任意文字列(対向から指定) |
router-id |
10.0.2.2 |
IPv4アドレス形式の文字列 |
password |
opensesame |
任意文字列(対向と一致) |
remote-end-id |
L2TP-VPN |
任意文字列(対向と一致) |
注:
- router-idは、実際に使用するIPv4/IPv6アドレスと一致する必要はありません(IPv6環境での設定であってもIPv4アドレス形式の値を指定します)。
- L2TPv3接続パラメータの設定
- SEIL A
# l2tp hostname seil-a
# l2tp router-id 10.0.1.1
# l2tp add SEIL-B hostname seil-b router-id 10.0.2.2 password opensesame
#
- SEIL B
# l2tp hostname seil-b
# l2tp router-id 10.0.2.2
# l2tp add SEIL-A hostname seil-a router-id 10.0.1.1 password opensesame
#
- それぞれ、自身の hostname 及び router-id を設定します。
- 接続先情報として、対向装置の hostname、router-id、及び共通のpasswordを追加(add)します。設定名(SEIL-B,SEIL-A)は任意の文字列です。
- L2TPインタフェースの設定
- SEIL A
# interface l2tp0 tunnel 10.0.1.1 10.0.2.2
# interface l2tp0 l2tp SEIL-B remote-end-id L2TP-VPN
#
- SEIL B
# interface l2tp0 tunnel 10.0.2.2 10.0.1.1
# interface l2tp0 l2tp SEIL-A remote-end-id L2TP-VPN
#
- ここではL2TPインタフェースとしてl2tp0を使用します。tunnel にはトンネルの始点(自身のIPアドレス)と終点(対向のIPアドレス)を設定します。
- l2tp0インタフェースで使用する接続パラメータとして、それぞれ"l2tp add"コマンドで設定した設定名を指定します。
- ブリッジグループの設定(共通)
# bridge group add BG1 stp off
# bridge interface l2tp0 group BG1 stp off
# bridge interface lan0 group BG1 stp off
#
- ブリッジグループとして"BG1"を追加します。2拠点間の接続ではSTPは不要です(3拠点以上のメッシュ構成では必要です)。
- l2tp0インタフェース、及びlan0インタフェースをブリッジグループに関連付けます。
以上で設定は終了です。L2TPv3接続は自動的に開始され、各拠点配下のネットワークが同一のLayer-2セグメントとして利用できます。
注: インターネット上でのVPNに使用する場合には、IPsecによりVPN通信を保護する設定を追加することをお勧めします。