管理人の家では、I/Oデータ社製のVPN対応無線LANルータを2台使用して、無線LANのAPモードとVPNだけを使用しておりました。

…が、数か月前にその2台とも無線LANが死んでしまい。
新しく無線LANルータを購入したものの… APモードにするとVPNが使用できない改悪がある事が判明… 😆
その為に、壊れかけの無線LANルータをVPNの為だけに設置しておりました。

…が、つい先日に電源配線回りの整理をしようと一度電源を切って以降
うんともすんとも言わなくなってしまい… :mrgreen:
Windows10標準のPPTPサーバー機能で賄おうと思ったのですが、これを設定すると他のVPNが通信不能になる事が判明…
Linuxでやろうとしてもうまくいかず… 仕方がないので何か良いVPNサーバは無いかな… と調べてみたところ…



『YAMAHA RT107e VPNルータ』

密林で送料込み1500円以下で売っていたので購入してみました。業務利用にも耐えうるちょっと前のルータですからそれなりに存在感がありますね…

初期化済みとの事なので、PCと繋いでみたものの… 通信されている気配無し
あれれ?と思いシリアルケーブルで繋いでみると…

思いっきり情報残ってるやん! 😯
これは… 下手すりゃこのままVPN繋がっちゃうんじゃないの…

ちなみにパスワードは、コンソールからであれば “w,lXlma” という非常用のパスワードで入れる様です。(以降、記載のIPは仮定のもの)
初期化をするには…

# cold start
と入力すると初期状態に戻りました。
初期状態のコンフィグはこんな感じです。
# show config
# RT107e Rev.8.03.87 (Tue Dec 15 17:45:00 2009)
# MAC Address : XX:XX:XX:XX:XX:XX, XX:XX:XX:XX:XX:XX,
# Memory 32Mbytes, 2LAN
# main:  RT107e ver=e0 serial=XXXXXXXXX MAC-Address=XX:XX:XX:XX:XX:XX MAC-Address=XX:XX:XX:XX:XX:XX
# Reporting Date: Dec 28 13:55:53 2016
ip lan1 address 192.168.100.1/24
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
初期状態のままLANに繋ぐとDHCPが悪さをするので停止します。
# no dhcp service
# no dhcp server rfc2131 compliant
# no dhcp scope 1
ファームアップの為に基本的なネットワークを設定
IP設定
# ip lan1 address 192.168.200.9/24(設定するIP)
# ip route default gateway 192.168.200.1(ルータIP)
DNS設定
# dns domain kourin.org(ドメイン名)
# dns server 192.168.200.50 192.168.200.40 192.168.200.1(DNSサーバIP)
設定を保存
# save
セーブ中... CONFIG0 終了


RT107eをネットワークに接続して、設定したIPにブラウザで接続します。
「詳細設定と情報」を選び…

リビジョンアップの実行を選択…

リビジョンアップの実行をクリックすると…

最新版のファームウェアが見つかりましたので、「実行」をぽちり

ファームが更新されました。

パスワード無しは怖いのでパスワードを設定します。
# login password
# administrator password
時刻を設定します。
# timezone JST
# ntpdate 192.168.200.30(指定したNTPサーバIPと瞬時同期)
# provider ntpdate 192.168.200.30(NTPサーバ設定)
※ これでも代用可 (schedule at 1 */* 00:00 * ntpdate 192.168.200.30)

さてさて… 管理人宅のネットワーク構成ですが…
今使っているルータはそのまま使用するつもりのため、ルータ機能は使用せずにRT107eを単なるVPNサーバとして利用する様に構成します。

まずはVPN接続とローカルLAN間通信で問題になる通信を許可。
# ip filter directed-broadcast off
# ip lan1 proxyarp on
L2TP接続を受け入れる為のPoint-to-Point設定をします。
# pp select anonymous
anonymous# pp bind tunnel1
anonymous# pp auth request mschap-v2
anonymous# pp auth username <ユーザ名> <パスワード>
anonymous# ppp ipcp ipaddress on
anonymous# ppp ipcp msext on
anonymous# ppp ipv6cp use off
anonymous# ip pp remote address pool 192.168.200.100-192.168.200.109
anonymous# ip pp mtu 1258
anonymous# ip pp tcp mss limit auto
anonymous# pp enable anonymous
anonymous# no pp select anonymous
L2TP接続で使用するトンネルの設定をします。
# tunnel select 1
tunnel1# tunnel encapsulation l2tp
tunnel1# ipsec tunnel 101
tunnel1# ipsec sa policy 101 1 esp aes-cbc sha-hmac
tunnel1# ipsec ike keepalive use 1 off
tunnel1# ipsec ike local address 1 192.168.200.9
tunnel1# ipsec ike nat-traversal 1 on
tunnel1# ipsec ike pre-shared-key 1 text <事前共有キー>
tunnel1# ipsec ike remote address 1 any
tunnel1# l2tp tunnel disconnect time off
tunnel1# l2tp keepalive use on 10 3
tunnel1# l2tp keepalive log on
tunnel1# l2tp syslog on
tunnel1# ip tunnel tcp mss limit auto
tunnel1# tunnel enable 1
tunnel1# no tunnel select 1
SAの自動更新設定。
# ipsec auto refresh on
IPsecのトランスポートモード設定。
# ipsec transport 1 101 udp 1701
DNSサーバのIPアドレスをdns serverコマンド設定値にする。
# dns notice order msext server
L2TPサービスを開始。
# l2tp service on

設定を保存。
# save
セーブ中... CONFIG0 終了

以上で設定完了!
最終的なコンフィグはこんな感じになりました。

login password *
administrator password *
timezone +09:00
ip route default gateway 192.168.200.1
ip filter directed-broadcast off
ip lan1 address 192.168.200.9/24
ip lan1 proxyarp on
provider ntpdate 192.168.200.30
pp select anonymous
 pp bind tunnel1
 pp auth request mschap-v2
 pp auth username username password
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ipv6cp use off
 ip pp remote address pool 192.168.200.100-192.168.200.109
 ip pp mtu 1258
 ip pp tcp mss limit auto
 pp enable anonymous
tunnel select 1
 tunnel encapsulation l2tp
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike keepalive use 1 off
  ipsec ike local address 1 192.168.200.9
  ipsec ike nat-traversal 1 on
  ipsec ike pre-shared-key 1 text hogehogekey
  ipsec ike remote address 1 any
 l2tp tunnel disconnect time off
 l2tp keepalive use on 10 3
 l2tp keepalive log on
 l2tp syslog on
 ip tunnel tcp mss limit auto
 tunnel enable 1
ipsec auto refresh on
ipsec transport 1 101 udp 1701
dns server 192.168.200.50 192.168.200.40 192.168.200.1
dns domain kourin.org
dns notice order msext server
l2tp service on

ルータで、500(UDP), 1701(UDP), 4500(UDP)をRT107e向けに開放してあげれば、こんな感じでAndroidからも接続OK!


これでまた無線LANルータが壊れても大丈夫だ!(ぇ

参考URL
http://e-mono.asablo.jp/blog/2014/02/19/7226694
http://eleclog.quitsq.com/2015/04/rtx1100-vpnserver.html




関連記事:

  1. Brocadeメモ:SAN-Switchの設定方法