読者です 読者をやめる 読者になる 読者になる

らくがきちょう

なんとなく

MikroTik のルータを L2TP over IPsec のクライアントとして設定するには

前回の記事「CentOS 6.x で StrongSwan を使った L2TP over IPsec 環境を作る」では、さくら VPSCentOS 6.6 上に L2TP over IPsec サーバを作りました。この環境と常時、L2TP over IPsec を接続したままにする為、ゲートウェイルータになっている Mikrotik 製ルータを L2TP over IPsec のクライアントとして設定してみました。

前提条件

構成は以下の通りです。「LAN → サーバ側のプライベートネットワーク」向きの通信は送信元アドレスを L2TP インターフェイスで NAT(マスカレード)させています。

f:id:sig9:20150713024624p:plain

主要なバージョン情報は以下の通りです。Linux 側の設定は上述した前回の記事から、ほぼ変更ありません。

  • Linux 側(L2TP over IPsec サーバ)
    • CentOS 6.6 x86_64
    • strongswan-5.2.0-7.el6.x86_64
    • xl2tpd-1.3.6-2.el6.x86_64
  • Mikrotik 側(L2TP over IPsec クライアント)
    • RouterBoard 951G-2HnD
    • RouterOS 6.29.1

L2TP over IPsec のパラメータは以下とします。

項目
Linux のグローバルアドレス X.X.X.X
Mikrotik のグローバルアドレス PPPoE により、動的に割り当て
サーバのプライベートアドレス 172.16.1.1
クライアントに割り当てられるアドレス範囲 172.16.100 〜 172.16.1.200
IPSec の事前共有鍵 IPSEC-PSK
L2TP のユーザ名 L2TP-USER
L2TP のパスワード L2TP-PASSWORD

Mikrotik に L2TP over IPsec クライアント設定を実施する

設定は以下の通りです。本番環境で利用するには、セキュリティへの配慮が必要です。

/interface l2tp-client
add connect-to=X.X.X.X disabled=no keepalive-timeout=disabled max-mru=1410 max-mtu=1410 name=L2TP-CLIENT password=L2TP-PASSWORD user=L2TP-USER
/ip firewall nat
add action=masquerade chain=srcnat dst-address=172.16.1.1 out-interface=L2TP-CLIENT
/ip ipsec peer
add address=X.X.X.X/32 nat-traversal=no secret=IPSEC-PSK
/ip ipsec policy
add dst-address=172.16.1.0/24 protocol=ipsec-esp sa-dst-address=X.X.X.X sa-src-address=0.0.0.0 src-address=192.168.253.0/24 tunnel=yes

参考

今回は「サーバは Linux、クライアントは Mikrotik」の構成です。両端を Mikrotik にする場合は以下の記事が参考になります。