リモートアクセスサーバ

L2TP/IPsecによるリモートアクセスサーバ(PPPAC: PPP Access Concentrator)機能を提供します。

1. 仕様概要
項目
AC設定数 1
VPNプロトコル L2TPv2( L2TP/IPsec), SSTP
認証レルム ローカル認証, アカウントリスト認証, RADIUS認証
認証メソッド CHAP, PAP, MS-CHAPv2
同時接続数 256
ユーザ設定数
2. IPv4/IPv6対応状況
機能 IPv4 IPv6 備考
VPNセッション
VPN上の通信 ×

ユーザ認証

認証レルム

リモートアクセスユーザの認証ポリシーを設定できます。
ローカル認証レルム
リモートアクセスユーザの認証情報をコンフィグ内に設定します。
ユーザ名(1-32文字)とパスワード(1-64文字)の他、IPアドレスの割当方法について設定できます。
  • ユーザに割り当てるIPアドレス(Framed-IP-Address)を指定可能。RFC791 の定めるClass A、B、C のアドレスで、かつClassfulネットワークにおけるブロードキャストアドレスではないアドレスを指定可能
  • ユーザに割り当てるIPアドレスに対するネットマスク(Framed-IP-Netmask)を指定可能
  • 割り当てる IPアドレスをユーザが選択するよう設定(user-select) 可能
  • 割り当てる IPアドレスをNASが選択するよう設定(nas-select) 可能
アカウントリスト認証レルム
リモートアクセスユーザの認証情報をリストファイル化して外部ファイルサーバに設置し、定期的に取得します。
関連情報:アカウントリストの書式
  • リストファイル取得用のURLに指定可能なプロトコルは httpおよびhttps
    • https を使用した場合に、SSLのサーバ認証は行わない
  • リスト取得のタイムアウトは20秒
  • リスト取得がタイムアウトした場合、1分間隔で 10回再取得を試みる。再取得に成功、あるいは10回すべて取得失敗した場合、次回取得は指定された定期取得間隔の時間経過後となる
  • 定期的な取得に失敗したとき、およびアカウントリストの内容にエラーがあったとき、以前にリストを取得済みであればそれを使用し続ける
  • 取得済のリストが存在するとき、URLを変更すると変更後のURLでの取得に成功するまでの間は、取得済のリストを使用し続ける
  • 取得済のリストが存在するとき、URLの設定を削除した場合(アカウントリストを使用しない設定に変更した場合)は取得済みリストのアカウント情報を破棄する
  • システム起動後または設定変更後に、最初にリストの取得が成功するまでの間のユーザ認証は認証エラーとなる
RADIUS認証レルム
外部のRADIUSサーバにユーザ認証(Authentication)およびユーザごとの利用統計情報の管理(Accounting)を委任することができます。
  • クライアント証明書による認証を行うにはRADIUS認証を使用する必要があります。
委任先のRADIUS認証サーバとして、次の製品での動作確認を実施済みです。
  • SEIL/X4, SEIL/x86 Ayame, SEILアプライアンスシリーズ CA10(認証方式は CHAP, PAP のみ)
  • Windows Server 2019
  • FreeRADIUS 3.0.20
委任先のRADIUSアカウンティングサーバとして、次の製品での動作を実施済みです。
  • Windows Server 2019
  • FreeRADIUS 3.0.20
項目
連携先RADIUS認証サーバの設定数 4
連携先RADIUSアカウンティングサーバの設定数 4
RADIUSリクエスト応答タイムアウト 1~300秒
RADIUSリクエスト再試行回数 1~20回
3. Access-Request でセットされるアトリビュート
アトリビュート
NAS-IP-Address 本装置からRADIUへリクエストを送信する時の送信元IPアドレス
NAS-Service-Type 2 = Framed
NAS-Framed-Protocol 1 = PPP
Calling-Station-Id L2TPで Calling-Number が通知された場合にその値
4. Access-Accept で受け取れるアトリビュート
アトリビュート
Framed-IP-Address ユーザに指定するIP アドレス
Framed-IP-Netmask ユーザに指定するサブネットマスク
Session-Timeout セッションを切断する時間の指定
Idle-timeout データパケットが送受信されない場合にセッションを切断する時間の指定
5. Accounting-Request でセットされるアトリビュート
アトリビュート Start Stop
NAS-IP-Address (RFC2865) 本装置からRADIUへリクエストを送信する時の送信元IPアドレス
NAS-Port-Type (RFC2865) 5 = Virtual
NAS-Port (RFC2865) PPP接続の識別番号
Calling-Station-Id (RFC2865) L2TP で Calling-Number が通知された場合に、Calling-Number
Tunnel-Medium-Type (RFC2868) 1 = IPv4 (L2TP の場合、または PPTP の場合に限る)
Tunnel-Client-Endpoint (RFC2868) トンネル対向のアドレス(L2TP または PPTP の場合に限る)
Tunnel-Server-Endpoint (RFC2868) トンネルを終端した本機のアドレス(L2TP または PPTP の場合に限る)
Tunnel-Assignment-ID (RFC2868) トンネルの識別番号(L2TP または PPTP の場合に限る)
Acct-Tunnel-Connection (RFC2867) コールの識別番号(L2TP または PPTP の場合に限る)
User-Name (RFC2865) PPPユーザ名
Service-Type (RFC2865) 2 = Framed
Framed-Protocol (RFC2865) 1 = PPP
Framed-IP-Address (RFC2865) トンネル対向に割り当てたIPアドレス
Acct-Status-Type (RFC2866) Start の場合 1 = Start。Stop の場合 2 = Stop
Acct-Delay-Time (RFC2866) Startまたは Stop してからの経過秒数
Acct-Input-Octets (RFC2866) 入力オクテット数
Acct-Output-Octets (RFC2866) 出力オクテット数
Acct-Session-Id (RFC2866) セッション識別子 (先頭8文字でブートを識別し、続く8文字でPPP接続を識別)
Acct-Authentic (RFC2866) 1 = RADIUS
Acct-Session-Time (RFC2866) セッションの時間
Acct-Input-Packets (RFC2866) 入力パケット数
Acct-Output-Packets (RFC2866) 出力パケット数
Acct-Terminate-Cause (RFC2866) 切断理由
Acct-Input-Gigawords (RFC2869) 入力ギガワード(オクテット数を64bit表現した場合の上位32bit)
Acct-Output-Gigawords (RFC2869) 出力ギガワード(オクテット数を64bit表現した場合の上位32bit)

L2TP/IPsec

L2TPv2, L2TP/IPsec

接続確認済みのリモートアクセスクライアント
Windows
  • Windows 7, Windows 8, Windows 10, Windows 11
Mac OS X
  • Mac OS 10.8, Mac OS 10.9, Mac OS 10.11, Mac OS 10.12
iOS
  • iOS 10.3.2
Android
  • 機種やバージョンによりL2TP/IPsecクライアント機能を搭載していない場合があります。
SEILシリーズ
SA-Wシリーズ
注:
動作を保証するものではありません
PPP
  • PPP の認証プロトコルとして PAP、CHAP、MA-CHAPv2 が利用可能
  • MPPE による PPP フレームの暗号化に対応
  • LCP による keepalive が可能
    • keepaliveの送信間隔(定常時)と再送間隔(失敗時)を設定可能
    • 3秒以内に応答が無い場合は失敗とし、3回連続で失敗した場合はセッションを切断する
  • IPCP によるアドレスのセットアップが可能
    • アドレスプール機能により割り当てアドレスの管理が可能
無通信時切断タイマー
無通信時間が指定期間に達したときクライアントを切断可能
手動切断
clear pppac session コマンドの実行によりセッションのクリア(切断)が可能
MRU
PPPACインタフェースのMRUを設定可能
  • PPP接続時に双方のMRUを比較しMTUを決定します。

L2TP HELLOによるセッションキープアライブ

接続中のリモートアクセスクライアントの応答状況を監視し、無応答のセッションを切断できます。
キープアライブ仕様
  • セッションを開始すると、HELLOメッセージの送信を開始し、ZLB (Zero-Length Body)メッセージの応答を待つ
  • 応答が得られるまで2秒間隔でHelloパケットを送信する
  • 応答があった場合は監視アップと判定し、次回は60秒後(10~3600秒で設定可能)にHelloパケットの送信を開始する
  • 60秒間(10~300秒で設定可能)継続して応答が無い場合は監視ダウンと判定し、StopCCNメッセージを送信してセッションを終了する

ダイアルインの受け入れ

本機能を有効化するとProxy LCP AVPおよびProxy Authentication AVPを受け入れることができます。

本機能は「IIJ認証アウトソースサービス」が提供するVPDN機能との相互接続を想定し動作を確認しています。
注:
接続対向がホスト名を要求する場合は、hostnameキーに設定された値を送信します。
6. 対応するAVP
AVP Type
Last Received LCP CONFREQ 28
Last Sent LCP CONFREQ 27
Proxy Authen Challenge 31
Proxy Authen ID 32
Proxy Authen Name 30
Proxy Authen Response 33
Proxy Authen Type 29

IPsecによる通信の保護

IKEの事前共有鍵を設定すると、接続先とのL2TPv2通信をIPsecで保護します。

IPsec/IKEのパラメータはプリセットされた値を使用します。

7. IKE Phase-1プロポーザル
DHグループ 暗号アルゴリズム ハッシュアルゴリズム ライフタイム
MODP2048 AES256 SHA-1 8時間
MODP1024 AES256 SHA-1 8時間
MODP1536 AES256 SHA-1 8時間
MODP1024 3DES SHA-1 8時間
MODP1024 3DES MD5 8時間
8. IKE Phase-2プロポーザル
PFSグループ 暗号アルゴリズム メッセージ認証アルゴリズム ライフタイム
なし AES256, AES128, 3DES HMAC-SHA-1, HMAC-MD5 1時間
9. IPsecセキュリティポリシー
送信元IPアドレス : ポート番号 送信先 : ポート番号 プロトコル AH ESP モード ポリシー
自身のIPアドレス : 1701 any : any UDP なし あり トランスポート IPsec必須
any : any 自身のIPアドレス : 1701 UDP なし あり トランスポート IPsec必須
10. IKEの調整項目
項目
鍵交換モード メインモード
ポート番号 UDP 500, 4500
値の同一性確認の厳密さ イニシエータに従う
INITIAL-CONTACTメッセージ 送信する
自己識別子 IPアドレス
相手識別子 IPアドレス
Nonce値の大きさ 16 bytes
DPD(Dead Peer Detection) 無効
パディング値のランダム化 有効
パディング長のランダム化 無効
ランダム化したパディング長の最大値 20 bytes
パディングの末尾のパディング長の検査 無効
パディングの末尾のパディングに自身の長さを含める 有効
再送回数 5回
再送間隔 10秒
Phase-1のタイムアウト 30秒
Phase-2のタイムアウト 30秒
1回の送信で送るパケット数 1個

SSTP

SSTP

接続確認済みのリモートアクセスクライアント
Windows
  • Windows 8.1, Windows 10, Windows 11
注:
動作を保証するものではありません
PPP
  • PPP の認証プロトコルとして PAP、CHAP、MA-CHAPv2 が利用可能
  • MPPE による PPP フレームの暗号化に対応
  • LCP による keepalive が可能
    • keepaliveの送信間隔(定常時)と再送間隔(失敗時)を設定可能
    • 3秒以内に応答が無い場合は失敗とし、3回連続で失敗した場合はセッションを切断する
  • IPCP によるアドレスのセットアップが可能
    • アドレスプール機能により割り当てアドレスの管理が可能
無通信時切断タイマー
無通信時間が指定期間に達したときクライアントを切断可能
手動切断
clear pppac session コマンドの実行によりセッションのクリア(切断)が可能
MRU
PPPACインタフェースのMRUを設定可能
  • PPP接続時に双方のMRUを比較しMTUを決定します。

SSTP HELLOによるセッションキープアライブ

接続中のリモートアクセスクライアントの応答状況を監視し、無応答のセッションを切断できます。
キープアライブ仕様
  • セッションを開始すると、HELLOメッセージの送信を開始し、ZLB (Zero-Length Body)メッセージの応答を待つ
  • 応答が得られるまで2秒間隔でHelloパケットを送信する
  • 応答があった場合は監視アップと判定し、次回は60秒後(10~3600秒で設定可能)にHelloパケットの送信を開始する
  • 60秒間(10~300秒で設定可能)継続して応答が無い場合は監視ダウンと判定し、StopCCNメッセージを送信してセッションを終了する

アドレスプールに対する経路制御

  • アドレスプールの範囲に対応するネットワークは、ゲートウェイが"discard"の静的経路として登録されます。
    • アドレスプールの範囲に応じて複数のサブネットに分割して登録されます。
    • この経路は他の静的経路と同様に、動的ルーティングプロトコルに再配布できます。
  • リモートアクセスクライアントの接続時にIPアドレスを割り当てると、そのホストアドレスまたはサブネットについて、ゲートウェイがpppac[]インタフェースの経路として追加します。
    • この経路は動的ルーティングプロトコルに再配布されないため、アドレスプールに基づく経路情報と重複して広告されることはありません。
    • この経路の経路MTUは、クライアントごとにPPP接続時に交換されたMRUと同値が設定されます。