古河電工ネットワーク機器 [FITELnet]:FITELnet-Fシリーズ F2500:設定例

古河電工ネットワーク機器の総合ブランド　ファイテルネット

設定例

L2TP/IPsecリモートアクセスのための設定例
対象機種：F70/F71/F220/F221/F220 EX/F221 EX

概要

L2TP/IPsec（L2TPv2 over IPsec）を使用してVPNクライアント端末からリモートアクセスするための設定例です。
VPNゲートウェイ（以下「FITELnet装置」）は、FITELnet F70/F71/F220/F221/F220 EX/F221 EXです。

VPNクライアント端末の端末機種/認証方式に合わせて以下を設定してください。

【注意】
(2)RSA/Local認証で利用する証明書の取得や運用は、お客様の責任において実施くださいますようお願いいたします。本ページでは、試験利用のために弊社独自で作成した証明書を使用しています。

VPNクライアント端末	(1)PSK/Local認証	(2)RSA/Local認証
Android9	端末設定方法
iOS13	端末設定方法
macOS10	端末設定方法	証明書インストール方法★NEW
macOS10	端末設定方法	端末設定方法★NEW
Windows10	端末設定方法	証明書インストール方法★NEW
Windows10	端末設定方法	端末設定方法★NEW

補足・注意点

■端末のデフォルトルートについて
Windows10でデフォルトルートをVPNゲートウェイに向ける場合は、「リモートネットワークでデフォルトゲートウェイを使う」をチェックしてください。PSK認証/RSA認証どちらの場合も「端末設定方法」の手順10にチェックがございます。
Windows10以外の端末についても、上記各端末の設定手順にて同様のチェックを行ってください（Android9は手順6、iOS13は手順4、macOS10/PSK認証は手順8、macOS10/RSA認証は手順10に、それぞれチェックがございます）。

上記チェックを行った場合に、端末のDNS問い合わせ先がFITELnetになります。FITELnetにはプロキシDNSの設定をしておりますが、プロキシDNSでDNSの解決ができない環境では、次の設定を行ってください。指定した「DNSサーバアドレス」を問い合わせ先として端末に通知します。
　　　!
　　　ppp-template PPP_001
　　　 dns < DNSサーバアドレス >
　　　exit 　　　

■その他
・VPN接続が繰り返し失敗する場合には、端末の要因も考えられますので、1回端末を再起動してご確認ください。
・端末の無操作状態が継続してロックがかかると、L2TP/IPsecセッションが切断する場合がございます。この場合は、ロック解除してからセッション再接続してご使用ください。

FITELnet装置の設定例

　※(2)RSA認証の場合のFITELnet装置への証明書登録手順は下記をご参照ください。
　　　証明書登録手順

FITELnet装置	pdfファイル（コマンドの説明あり）	txtファイル（working.cfg貼り付け用）
FITELnet F70/F71/F220/F221/ F220 EX/F221 EX	(1)L2TP/IPsec設定例（PSK/Local認証）	この設定を利用したい方は
FITELnet F70/F71/F220/F221/ F220 EX/F221 EX	(2)L2TP/IPsec設定例（RSA/Local認証）★NEW	この設定を利用したい方は

<pre>
access-list 100 permit udp any host < FITELnet_global_IPaddress > eq 500
access-list 100 permit udp any host < FITELnet_global_IPaddress > eq 4500
access-list 100 permit 50 any any
access-list 111 deny ip any any
access-list 121 spi ip any any
!
ip route 0.0.0.0 0.0.0.0 tunnel 1
ip local pool POOL1 192.168.1.101 192.168.1.200
ip nat list 1 192.168.1.0 0.0.0.255
!
traffic-manager network
 to-host protocol ipv4 l2tp policer 11
exit
!
hardware-fault-detection action reboot
!
logging buffer level informational
!
aaa authentication login default local
aaa authentication ppp LOCAL_AUTH local-group LOCAL_GROUP
aaa authorization exec default local
!
aaa local group LOCAL_GROUP
 username user1 password secret1
 username user2 password secret2
exit
!
username test privilege 15 password 2 $1$KcitZI/P$j4UYIma9EHAyPjTWQwyO50
!
hostname FITELnet
!
crypto ipsec policy IPSECPOL_1
 mode transport
 set security-association lifetime seconds 86400
 set security-association transform-keysize aes 128 256 256
 set security-association transform esp-aes esp-3des esp-md5-hmac esp-sha-hmac
 set ip df-bit 0
 set ip fragment post
 set udp-encapsulation nat-t keepalive interval 30 always-send
exit
!
crypto isakmp keepalive always-send
crypto isakmp log sa detail
crypto isakmp log session detail
crypto isakmp log negotiation-fail detail
!
crypto isakmp policy ISAPOL_1
 authentication pre-share
 encryption aes
 encryption-keysize aes 256 256 256
 group 1 2 5 14 15
 lifetime 86400
 hash sha
 initiate-mode main
exit
!
crypto isakmp profile ISAPROF_001
 set isakmp-policy ISAPOL_1
 set ipsec-policy IPSECPOL_1
 ike-version 1
 local-key secret
exit
!
crypto map MAP_001 ipsec-isakmp dynamic
 set isakmp-profile ISAPROF_001
exit
!
interface GigaEthernet 1/1
 vlan-id 1
 bridge-group 1
 channel-group 1
exit
!
interface GigaEthernet 2/1
 vlan-id 2
 bridge-group 2
 pppoe enable
exit
!
interface Port-channel 1
 ip address 192.168.1.1 255.255.255.0
 ip proxy-arp
exit
!
interface Tunnel 1
 ip address < FITELnet_global_IPaddress >  255.255.255.255
 ip access-group 100 in
 ip access-group 111 in
 ip access-group 121 out
 ip nat inside source list 1 interface
 tunnel mode pppoe profile PPPOE_PROF
 pppoe interface gigaethernet 2/1
exit
!
ppp-template PPP_001
 pool POOL1
 ppp authentication chap LOCAL_AUTH
exit
!
l2tpv2 tunnel-profile LNS_001
 ppp accept template PPP_001
 local name LNS1
 tunnel protection ipsec map MAP_001
exit
!
l2tpv2 log ccn
l2tpv2 log session
l2tpv2 log negotiation-fail
!
pppoe profile PPPOE_PROF
 account < pppoe_user >  < pppoe_password > 
exit
!
dns-server ip enable
!
proxydns domain 1 any * any ipcp tunnel 1
!
end
</pre>

<pre>
access-list 100 permit udp any host < FITELnet_global_IPaddress > eq 500
access-list 100 permit udp any host < FITELnet_global_IPaddress > eq 4500
access-list 100 permit 50 any any
access-list 111 deny ip any any
access-list 121 spi ip any any
!
ip route 0.0.0.0 0.0.0.0 tunnel 1
ip local pool POOL1 192.168.1.101 192.168.1.200
ip nat list 1 192.168.1.0 0.0.0.255
!
traffic-manager network
 to-host protocol ipv4 l2tp policer 11
exit
!
hardware-fault-detection action reboot
!
logging buffer level informational
!
aaa authentication login default local
aaa authentication ppp LOCAL_AUTH local-group LOCAL_GROUP
aaa authorization exec default local
!
aaa local group LOCAL_GROUP
 username user1 password secret1
 username user2 password secret2
exit
!
username test privilege 15 password 2 $1$KcitZI/P$j4UYIma9EHAyPjTWQwyO50
!
hostname FITELnet
!
crypto ipsec policy IPSECPOL_1
 mode transport
 set security-association lifetime seconds 86400
 set security-association transform-keysize aes 128 256 256
 set security-association transform esp-aes esp-3des esp-md5-hmac esp-sha-hmac
 set ip df-bit 0
 set ip fragment post
 set udp-encapsulation nat-t keepalive interval 30 always-send
exit
!
crypto isakmp keepalive always-send
crypto isakmp log sa detail
crypto isakmp log session detail
crypto isakmp log negotiation-fail detail
!
crypto isakmp policy ISAPOL_1
 authentication rsa-sig
 encryption aes
 encryption-keysize aes 256 256 256
 group 1 2 5 14 15
 lifetime 86400
 hash sha
 initiate-mode main
exit
!
crypto isakmp profile ISAPROF_001
 self-identity fqdn CENTER.example.com
 set isakmp-policy ISAPOL_1
 set ipsec-policy IPSECPOL_1
 ike-version 1
 ca trustpoint ca1
exit
!
crypto map MAP_001 ipsec-isakmp dynamic
 set isakmp-profile ISAPROF_001
exit
!
interface GigaEthernet 1/1
 vlan-id 1
 bridge-group 1
 channel-group 1
exit
!
interface GigaEthernet 2/1
 vlan-id 2
 bridge-group 2
 pppoe enable
exit
!
interface Port-channel 1
 ip address 192.168.1.1 255.255.255.0
 ip proxy-arp
exit
!
interface Tunnel 1
 ip address < FITELnet_global_IPaddress >  255.255.255.255
 ip access-group 100 in
 ip access-group 111 in
 ip access-group 121 out
 ip nat inside source list 1 interface
 tunnel mode pppoe profile PPPOE_PROF
 pppoe interface gigaethernet 2/1
exit
!
ppp-template PPP_001
 pool POOL1
 ppp authentication chap LOCAL_AUTH
exit
!
l2tpv2 tunnel-profile LNS_001
 ppp accept template PPP_001
 local name LNS1
 tunnel protection ipsec map MAP_001
exit
!
l2tpv2 log ccn
l2tpv2 log session
l2tpv2 log negotiation-fail
!
pppoe profile PPPOE_PROF
 account < pppoe_user >  < pppoe_password > 
exit
!
dns-server ip enable
!
proxydns domain 1 any * any ipcp tunnel 1
!
end
</pre>

設定状態の確認

こちらをご確認ください。

サイトマップ古河電工HOME l 古河電工サーバのご利用にあたっての注意