リモートアクセスサーバ
L2TP/IPsecによるリモートアクセスサーバ(PPPAC: PPP Access Concentrator)機能を提供します。
項目 | 値 |
---|---|
AC設定数 | 1 |
VPNプロトコル | L2TPv2( L2TP/IPsec), SSTP |
認証レルム | ローカル認証, アカウントリスト認証, RADIUS認証 |
認証メソッド | CHAP, PAP, MS-CHAPv2 |
同時接続数 | 256 |
ユーザ設定数 |
|
機能 | IPv4 | IPv6 | 備考 |
---|---|---|---|
VPNセッション | ○ | ○ | |
VPN上の通信 | ○ | × |
ユーザ認証
認証レルム
リモートアクセスユーザの認証ポリシーを設定できます。- ローカル認証レルム
- リモートアクセスユーザの認証情報をコンフィグ内に設定します。
- アカウントリスト認証レルム
- リモートアクセスユーザの認証情報をリストファイル化して外部ファイルサーバに設置し、定期的に取得します。
- RADIUS認証レルム
- 外部のRADIUSサーバにユーザ認証(Authentication)およびユーザごとの利用統計情報の管理(Accounting)を委任することができます。
L2TP/IPsec
L2TPv2, L2TP/IPsec
- 接続確認済みのリモートアクセスクライアント
- Windows
- Windows 7, Windows 8, Windows 10, Windows 11
- PPP
-
- PPP の認証プロトコルとして PAP、CHAP、MA-CHAPv2 が利用可能
- MPPE による PPP フレームの暗号化に対応
- LCP による keepalive が可能
- keepaliveの送信間隔(定常時)と再送間隔(失敗時)を設定可能
- 3秒以内に応答が無い場合は失敗とし、3回連続で失敗した場合はセッションを切断する
- IPCP によるアドレスのセットアップが可能
- アドレスプール機能により割り当てアドレスの管理が可能
- 無通信時切断タイマー
- 無通信時間が指定期間に達したときクライアントを切断可能
- 手動切断
- clear pppac session コマンドの実行によりセッションのクリア(切断)が可能
- MRU
- PPPACインタフェースのMRUを設定可能
- PPP接続時に双方のMRUを比較しMTUを決定します。
L2TP HELLOによるセッションキープアライブ
接続中のリモートアクセスクライアントの応答状況を監視し、無応答のセッションを切断できます。
- キープアライブ仕様
-
- セッションを開始すると、HELLOメッセージの送信を開始し、ZLB (Zero-Length Body)メッセージの応答を待つ
- 応答が得られるまで2秒間隔でHelloパケットを送信する
- 応答があった場合は監視アップと判定し、次回は60秒後(10~3600秒で設定可能)にHelloパケットの送信を開始する
- 60秒間(10~300秒で設定可能)継続して応答が無い場合は監視ダウンと判定し、StopCCNメッセージを送信してセッションを終了する
ダイアルインの受け入れ
本機能を有効化するとProxy LCP AVPおよびProxy Authentication AVPを受け入れることができます。
本機能は「IIJ認証アウトソースサービス」が提供するVPDN機能との相互接続を想定し動作を確認しています。
注:
接続対向がホスト名を要求する場合は、
hostname
キーに設定された値を送信します。
AVP | Type |
---|---|
Last Received LCP CONFREQ | 28 |
Last Sent LCP CONFREQ | 27 |
Proxy Authen Challenge | 31 |
Proxy Authen ID | 32 |
Proxy Authen Name | 30 |
Proxy Authen Response | 33 |
Proxy Authen Type | 29 |
IPsecによる通信の保護
IKEの事前共有鍵を設定すると、接続先とのL2TPv2通信をIPsecで保護します。
IPsec/IKEのパラメータはプリセットされた値を使用します。
DHグループ | 暗号アルゴリズム | ハッシュアルゴリズム | ライフタイム |
---|---|---|---|
MODP2048 | AES256 | SHA-1 | 8時間 |
MODP1024 | AES256 | SHA-1 | 8時間 |
MODP1536 | AES256 | SHA-1 | 8時間 |
MODP1024 | 3DES | SHA-1 | 8時間 |
MODP1024 | 3DES | MD5 | 8時間 |
PFSグループ | 暗号アルゴリズム | メッセージ認証アルゴリズム | ライフタイム |
---|---|---|---|
なし | AES256, AES128, 3DES | HMAC-SHA-1, HMAC-MD5 | 1時間 |
送信元IPアドレス : ポート番号 | 送信先 : ポート番号 | プロトコル | AH | ESP | モード | ポリシー |
---|---|---|---|---|---|---|
自身のIPアドレス : 1701 | any : any | UDP | なし | あり | トランスポート | IPsec必須 |
any : any | 自身のIPアドレス : 1701 | UDP | なし | あり | トランスポート | IPsec必須 |
項目 | 値 |
---|---|
鍵交換モード | メインモード |
ポート番号 | UDP 500, 4500 |
値の同一性確認の厳密さ | イニシエータに従う |
INITIAL-CONTACTメッセージ | 送信する |
自己識別子 | IPアドレス |
相手識別子 | IPアドレス |
Nonce値の大きさ | 16 bytes |
DPD(Dead Peer Detection) | 無効 |
パディング値のランダム化 | 有効 |
パディング長のランダム化 | 無効 |
ランダム化したパディング長の最大値 | 20 bytes |
パディングの末尾のパディング長の検査 | 無効 |
パディングの末尾のパディングに自身の長さを含める | 有効 |
再送回数 | 5回 |
再送間隔 | 10秒 |
Phase-1のタイムアウト | 30秒 |
Phase-2のタイムアウト | 30秒 |
1回の送信で送るパケット数 | 1個 |
SSTP
SSTP
- 接続確認済みのリモートアクセスクライアント
- Windows
- Windows 8.1, Windows 10, Windows 11
- PPP
-
- PPP の認証プロトコルとして PAP、CHAP、MA-CHAPv2 が利用可能
- MPPE による PPP フレームの暗号化に対応
- LCP による keepalive が可能
- keepaliveの送信間隔(定常時)と再送間隔(失敗時)を設定可能
- 3秒以内に応答が無い場合は失敗とし、3回連続で失敗した場合はセッションを切断する
- IPCP によるアドレスのセットアップが可能
- アドレスプール機能により割り当てアドレスの管理が可能
- 無通信時切断タイマー
- 無通信時間が指定期間に達したときクライアントを切断可能
- 手動切断
- clear pppac session コマンドの実行によりセッションのクリア(切断)が可能
- MRU
- PPPACインタフェースのMRUを設定可能
- PPP接続時に双方のMRUを比較しMTUを決定します。
SSTP HELLOによるセッションキープアライブ
接続中のリモートアクセスクライアントの応答状況を監視し、無応答のセッションを切断できます。
- キープアライブ仕様
-
- セッションを開始すると、HELLOメッセージの送信を開始し、ZLB (Zero-Length Body)メッセージの応答を待つ
- 応答が得られるまで2秒間隔でHelloパケットを送信する
- 応答があった場合は監視アップと判定し、次回は60秒後(10~3600秒で設定可能)にHelloパケットの送信を開始する
- 60秒間(10~300秒で設定可能)継続して応答が無い場合は監視ダウンと判定し、StopCCNメッセージを送信してセッションを終了する
アドレスプールに対する経路制御
- アドレスプールの範囲に対応するネットワークは、ゲートウェイが"discard"の静的経路として登録されます。
- アドレスプールの範囲に応じて複数のサブネットに分割して登録されます。
- この経路は他の静的経路と同様に、動的ルーティングプロトコルに再配布できます。
- リモートアクセスクライアントの接続時にIPアドレスを割り当てると、そのホストアドレスまたはサブネットについて、ゲートウェイがpppac[]インタフェースの経路として追加します。
- この経路は動的ルーティングプロトコルに再配布されないため、アドレスプールに基づく経路情報と重複して広告されることはありません。
- この経路の経路MTUは、クライアントごとにPPP接続時に交換されたMRUと同値が設定されます。