RTX1210のIPoE・PPPoE共存環境でL2TP/IPsec VPNを利用する

RTX1210 network
2021.02.02

コロナ禍による影響ですっかりテレワークという言葉が浸透し(言葉だけですよ!)、それに伴いVPNという仕組みも世間で随分認知されるようになりました。

スマホ内線が使えなくなった!

VPNについてはいくつか構築に関する記事を書いてきました。私は現在OpenVPNサーバーを宅内に設置して使っています。

自宅のルーターをVPNサーバーとして利用する part1 ルーターの設定
自宅のルーターをVPNサーバーとして利用します。
sandambara.com
2020.01.31
覚書 VPN利用時のパフォーマンス・トラブル改善
以前こちらの記事で自宅ルーターをVPNサーバーとして利用するための設定について書きました。フレッツ光が足回りという前提でしたが、どのような形態であれVPN利用時のパフォーマンスが悪い、セッションが固まってしまうというトラブルでお悩みの方も...
sandambara.com
2020.08.24
OpenVPNサーバーを構築する その1
RTX1210導入をきっかけに自宅通信回線をIPoE化したりLANケーブルを自作したりしておりますが、今日はIPoE化によりL2TP/IPSecが利用できなくなったのでOpenVPNサーバーの構築手順を改めて確認しておきたいと思います。...
sandambara.com
2020.09.26

また、NTTのひかり電話回線でスマホを子機にする機能も利用しています。使っているアプリはこちらです。

AGEphone | テレワーク | ageet Corporation
スマホdeひかり電話に正式対応したAGEphoneのインストールや、その他簡単な設定をするだけでIP電話の発着信が可能なフリー版ソフトフォンアプリのご紹介。
www.ageet.com

電話の度に受話器を取りに行かなくても手元のスマホで通話出来たり、外出先からVPN経由で自宅の電話回線を利用し通話したりと重宝していました。

ところがある日、外出先からVPNで自宅へ接続していてもAGEphoneが使えなくなっていることに気付きました。ホームゲートウェイ(以下HGW)には接続出来ているのですが、通話が始まると強制切断されてしまうのです。

通話できなくなった原因

利用できなくなったのはどうもOpenVPNを利用するようになってからのようです。「なんでだろう??」と色々試すも改善されず数か月。OpenVPNにはルーティングモードとブリッジモードの2つがあり、これはルーティングモードで利用する際に起こる事象らしいことが漸く分かりました。

では「OpenVPNをブリッジモードで使えば良いのでは?」と思いましたが、iOSデバイスがブリッジモードでは接続できないことが分かり、いよいよ八方塞がりです。

PPPoEを復活させる

では、そもそもなぜOpenVPNを使うようになったかといえば、IPoE化によりそれまで利用していた手段(L2TP/IPsec)では自宅へVPN接続できなくなったからでした。

折角安定・高速化実現のために導入したIPoEも良いことばかりではないのです。その点についてはこちらの記事にまとめました。

RTX1210+IPoE環境でVPNを構築する
今日は一工夫必要なIPoE環境のVPN構築について書きます。構築環境プロバイダ  OCN IPoE(動的IP契約)HGW      RT-500KIひかり電話  ありVPNサーバー 宅内に構築したOpenVPNサーバー...
sandambara.com
2020.10.31

では、どうするか

かなり時間をかけて解決策を考えてみたものの、私の知識ではどうにもなりそうにありませんでした。そのため、L2TP/IPsecでVPNを利用できるPPPoEセッションを復活させたのです。

ではここで、本職のエンジニアさんが見たら発狂しそうな図をご覧いただきましょう。

美術の成績はずっと2でした・・・

フレッツは標準で2セッションまで接続できるので、青色のIPoE回線(OpenVPNで利用)に加え緑色表示のPPPoE(L2TP/IPsecで利用)を復活させたのです。L2TP/IPsecはルーティングもDHCPもRTX1210にお任せで良く、スマホ内線も問題無く利用できるのです。

1つだけハマった点

今回PPPoEはなるべく安価に済ませたかったのでインターリンクで契約してみました。

株式会社インターリンク【公式】
株式会社インターリンクは、すぐに使えていつでも解約できる!最大2ヶ月の無料体験あり。フレッツ光対応プロバイダ|固定IPのSIM、MVNO|ドメイン|レンタルサーバー|各種VPNサービス
www.interlink.or.jp

RTX1210はGUIでポチポチするだけでプロバイダ設定が完了します(個人的にはヘタな家庭用ルーターより簡単だと思います)。

設定も終わりリンクアップ確認!ネットも繋がっているしチョロいチョロいとなどと思っていたところでVPNが繋がらないことに気付きました。

ログを見ているとWAN側からVPNを繋ぎに来た形跡はあるのですが・・・

繋がらなかった理由

RTX1210のコンフィグを眺めているとこちらに目が止まりました。

ip route default gateway tunnel 1

tunnel1(IPoEを設定している経路)を使って通信するよーという設定ですね。しかし、L2TP/IPsecのセッションはtunnel 1ではなくpp(PPPoE)から接続しますので、先ほどの図にある緑の経路から入ってきたものを青い経路から送り返そうとしていることになります。

緑の経路から来た通信は緑の経路から戻してあげねばならないので、VPNが繋がらないのも納得です。

ルートの変え方が分からない・・・

そこまでは良かったのですが、その先が分かりません。この辺がGUIポチポチ星人とコンフィグゴリゴリ星人の差。残念ながらポチポチ星人の限界です。

ということで、今回もヤマハルーターお客様ご相談センターのお力をお借りしました。コロナ禍で業務過多になっておられるであろうところ、いつも丁寧にご対応頂き本当に有難うございます!

通信内容によってデフォルトルートを変える

L2TP/IPsecの通信はpp(PPPoE)、それ以外の通信はtunnel 1(IPoE)へ向けたい場合、ppへ送りたい通信をフィルタで定義します。

ip filter 2 pass * * udp 500,4500,1701 *
ip filter 3 pass * * tcp * 2002
ip filter 4 pass * * udp * domain
ip filter 5 pass * * esp

filter 2とfilter 5は見覚えがあるのですが、3と4が何に必要な通信か分からなかったので質問したところ、ヤマハさんが提供されているネットボランチDNSを利用する場合に必要なフィルタとのこと。めっちゃ使わせて頂いています!!

そして、フィルタの定義が終わったらデフォルトルートを修正します。

#修正前
ip route default gateway tunnel 1
#修正後
ip route default gateway pp 1 filter 2 3 4 5 gateway tunnel 1

filter 2-5に合致する通信はpp(PPPoE)を、それ以外の通信はtunnel 1(IPoE)を使うよーという設定になります。

これで無事L2TP/IPsecでVPNを利用できること、当初の目的のスマホ内線を利用できることを確認しました!

通話を利用するVPNはL2TP/IPsecで、それ以外の通信はOpenVPNといった住み分けで使い様子を見ようと思います。

あとがき

私は零細企業の何でも屋なので別に知らなくても良いことかもしれませんが、引き出しが増えたことが嬉しいのと同時にコンフィグを「読めるけど書けない」のがものすごく悔しいのであります(涙)

それが仕事とはいえ、こんな私にでもユーザー目線で技術を教え伝えて下さる方々の存在は本当に有難いです。私も自分が身に着けた知識が、いつかまたどなたかのお役に立つといいなあと思います。

コメント