『L2TP/IPSecで、AppleデバイスからVNC/RDP接続出来ない？』のクチコミ掲示板

[おかめ@桓武平氏]

お世話になっています。

WN-DX2033GRのL2TP/IPSecには接続出来ますが、
VNC/RDP接続しても、接続出来ない症状が出ています。

�@ Apple iOSデバイスからWIndowsに接続する方法

・RDP接続は、iOS用のRD Client使用
・VNC接続は、iOS用のRealVNC Viewer使用

iPod touch7 ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10

�A MacからWIndowsに接続する方法

・RDP接続は、Mac用のRD Client使用
・VNC接続は、Mac用のRealVNC Viewer使用

MacBookPro ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10

============================================================

（参考）

以下の構成の場合、VNC/RDP接続でリモート接続は出来ています。

A. 仮想化WindowsからWindowsに接続する方法

・RDP接続は、OS標準を使用
・VNC接続は、Windows用のRealVNC Viewer使用

VMのVista ==> MacBookPro ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10

B. 物理のWindowsからWindowsに接続する方法

・RDP接続は、OS標準を使用
・VNC接続は、Windows用のRealVNC Viewer使用

自作Win7 ==(Wi-Fi)==> WX3600HP (IPoE)
==> WN-DX2033GR (PPPoE・L2TP/IPSec) =(有線)=> Macmini ==> VMのWin10

書込番号：24393913

[sorio-2215]

L2TP/IPSECの接続が出来ているとのことですが、別途投稿の内容にて、

確認項目としてですが、ルーター側のL2TP/IPSECの認証プロトコルをドコモスマホに合うような設定が可能かどうかを先ずは確認下さい。

接続出来ている様に見えて、認証の問題が出ている場合も有ります。
IPSEC　Phase2対応する認証レベル
　3des-cbc　→　md5-hmac /　sha-hmac
　aes-cbc　　→　md5-hmac /　sha-hmac
　aes256-cbc　→　md5-hmac /　sha-hmac

接続側の認証プロトコル
　iOS自体で運用されているプロトコルは、PAPとCHAPです。
　ルーター側にて、PAPとCHAP設定のL2TPの設定ポリシーが可能かどうかを確認下さい。

スマホ自体のインターネットのパケットデータ値
　Iphoneのキャリアに依存しますが、MTUのパケット数値は、1,300〜1,340の形態になるかと想定されます。

接続先のルーターのインターネットのパケットデータ値
　NTT光回線、PPPOE接続の場合には、MTU1,454、MSS1,414、IPSECトンネル規定値1,398、MSS1,358
が上限値になります。

　Iphone側のMTU数値が、NTT回線のルーターのIPSECの仮想MTUやMSS設定値を超える通信をさせてきた場合に、フラグメントパケット処理され、その通信は破棄されます。

↑の件については、MTUやMSSの制御については、ルーターの機種・搭載OS、機能に依存します。
　

書込番号：24394020

[おかめ@桓武平氏]

＞sorio-2215さん

投稿ありがとうございます。

>> 確認項目としてですが、ルーター側のL2TP/IPSECの認証プロトコルをドコモスマホに合うような設定が可能かどうかを先ずは確認下さい。

WN-DX2033GRでは、

L2TP/IPSecサーバー: 有効 無効
ユーザー名:
パスワード:
プレシェアードキー:
リモートIP範囲:

の項目しかないため、どうにもなりません。

QNAP TS-119PIIでは、

認証の項目があり、
MS-CHARv2とPAPの２種類で、
こちらを使う場合は、「MS-CHARv2」に設定しています。

やはり、安物のルータは自由に設定出来ないのが現実です。

Macの古いバージョンのL2TPサーバも確認して見ます。

書込番号：24394096

[sorio-2215]

SoftEther VPNサーバを利用された場合の認証プロトコルは、PAP、CHAPが利用可能です。
IPSEC-Phase2の暗号化レベルは、DES-CBC, 3DES-CBC, AES-CBC　になります。

ヤマハルーター等の中古品を購入された方が良いのでは？

書込番号：24394182

[sorio-2215]

「MS-CHAPv2」には、脆弱性の問題が有りますので、出来れば利用されない方が良いかと思いますが。
PAP若しくはCHAPで良いかと思います。

書込番号：24394189

[おかめ@桓武平氏]

おはようございます。

>> Macの古いバージョンのL2TPサーバも確認して見ます。

Mac OSX 10.11のServerアプリのVPNを見て見ましたが、
詳細に設定出来る項目は無かったです。

あと、QNAP TS-119PIIのL2TP/IPSecサーバーの認証の設定を『PAP』にしても、
効果がありませんでした。

でも、
iPod touch7とMacは、iPhoneのテザリング経由では、VNC/RDP接続出来ているのに、
WX3600HPからWN-DX2033GRへの組合せではVNC/RDP接続出来ないのが、不思議です。

LsLoverさんでも、検証の機材構成は異なりますが、
VNC/RDP接続出来ない症状を確認されているようです。

当初、WX3600HPのIPSecパススルーが悪いと思っていましたが、
ルータのせいでは無さそうです。

なぜかSafariやFirefoxなどのWebブラウザーでWN-DX2033GRの設定画面は開けるのです。

書込番号：24394830

[sorio-2215]

ブラウザの参照はOKかと思いますが、
リモートアクセスからのルーターのLAN側の参照には、ルーターのマックアドレス中継機能（ProxyARP）の性能と、MTU、MSSの動的設定値の性能に依存します。

Iphone側の認証方式に問題が無い状況でしたら、内部的にルーターのLAN側MTU設定値の動作とMSS設定値の動作がキチンとされているかも確認下さい。

IO-DATAルーターのMTU設定値については、インターネット回線の項目しか無く、内部的にMSS設定値はMTUから自動的に計算されて1,454と設定するとMSS1,414に合わさっているかと存じます。

IPSEC-Phase2の暗号化レベルの設定により、IPSECトンネル内のMTU、MSS設定値がどのような設定で動作されているかも確認されないと、消去法としてはフラグメント処理がされているとしか無いですが。

　例としてですが、
　ESP-3DES/DES　及び　ESP-SHA1/MD5　
→　インターネット側　MTU1,454　/　MSS1,414　
→　IPSECトンネル側　MTU1,398　/　MSS1,358

　ESP-AES、ESP-SHA1　及び　SHA256/MD5　
→　インターネット側　MTU1,454　/　MSS1,414　
→　IPSECトンネル側　MTU1,390　/　MSS1,350

↑の様なパケット伝送パラメーターで動作していれば、フラグメントパケット動作はされないですが、
Iphone側のMTU及びMSS動作が、規定外のパラメーターで動作していれば別になります。

IO-DATAのルーターのMSS設定の項目が無いので、フラグメント動作ということであれば、
インターネットの項目のMTU設定値を少し落としてみる形にてお試しください。

※　NTT回線網のPPPOE設定の場合には、規定値で1,454になっているかと思いますが、
1,400に落とすとか。

ルーターにログインできるところから見て、WAN側のMACアドレス応答については問題が無い様ですので、上記のMTU関連とLAN側に対してのARP応答も動作をIO-DATAへ確認するしか無いかと存じます。
L2TP/IPSECトンネルへのARP応答動作が返ってきていない挙動に近いです。
適切な回答が有るかどうかは、恐らく返ってこないかと思いますが。

書込番号：24394913

[sorio-2215]

補足ですが、L2TP/IPSECのトンネル内の暗号化レベルにより、暗号化・復号化処理にクライアントのアクセスの負担が大きくなるので、MTU・MSSの設定により挙動が異なります。

書込番号：24394916

[おかめ@桓武平氏]

＞sorio-2215さん

適切なアドバイス、ありがとうございます。

>> ルーターにログインできるところから見て、WAN側のMACアドレス応答については問題が無い様ですので、上記のMTU関連とLAN側に対してのARP応答も動作をIO-DATAへ確認するしか無いかと存じます。
>> L2TP/IPSECトンネルへのARP応答動作が返ってきていない挙動に近いです。
>> 適切な回答が有るかどうかは、恐らく返ってこないかと思いますが。

本日、本件の問題をIO-DATAに問い合わせ致しました。

書込番号：24395037

[おかめ@桓武平氏]

MacBook ProのVMのWin Vista上でVPNクライアントの接続テストしていたのですが、
QNAP NASのTS-119PIIのL2TP/IPSecで接続しようと思ってもエラーでVPN接続出来ないのですが、
I-O DATA WN-DX2033GRに切り替えると、エラーにならず、VPN接続はできるのです。

書込番号：24395369

[sorio-2215]

そうですか。
NASのL2TP機能を利用する場合には、
IODATAルーター配下にて動作されているかと思われますので、IODATAルーターのL2TP機能を解除して、NAS宛にUDP500、4500、1701、プロトコル番号50番の通信を開放してください。

パススルーでは無く、ポートをNASのIPへ転送下さい。

書込番号：24395413　スマートフォンサイトからの書き込み

[おかめ@桓武平氏]

＞sorio-2215さん

>> NASのL2TP機能を利用する場合には、
>> IODATAルーター配下にて動作されているかと思われますので、IODATAルーターのL2TP機能を解除して、NAS宛にUDP500、4500、1701、プロトコル番号50番の通信を開放してください。
>> パススルーでは無く、ポートをNASのIPへ転送下さい。

QNAPのUPnPでポート開放しているので、
本機のIPSecパススルーONにしないと、VPN接続しないようです。

しかも、本機では、TCP/UDPだけのポート開放しか出来ず
プロトコル番号50番の開放は出来ません。
※ Buffalo BHR-4GRVのポート開放でプロトコル番号も設定は出来ます。

こちらは、iPhoneでVPN(QNAP)貼れて、RDClientでは呼べています。
まあ、VistaのOSはもう古いですし。

さらに、7、8.1、10のVPNクライアントも時間を追って検証予定です。

書込番号：24395431

[sorio-2215]

プロトコル番号の解放が出来ず、不安定なUPNPしか利用出来ない仕様だとすれば、不十分な機種としか言えないですが。

変えた方が良いのでは？

書込番号：24395443　スマートフォンサイトからの書き込み

[おかめ@桓武平氏]

＞sorio-2215さん

>> プロトコル番号の解放が出来ず、不安定なUPNPしか利用出来ない仕様だとすれば、不十分な機種としか言えないですが。
>> 変えた方が良いのでは？

Buffalo BHR-4GRVのLAN内にQNAPのNASを入れ、試す価値あるかと思っています。

書込番号：24395520

[sorio-2215]

Buffaloのルーターですと、高速アドレス変換の誤動作や間引き処理が不安定になるケースが有りますので、ご確認ください。

書込番号：24395577

[おかめ@桓武平氏]

＞sorio-2215さん

Buffalo BHR-4GRVに切り替えても、
iPhoneのモバイル網のVPNとRDP/VNC接続はできるのですが、
VMのVistaと物理のWin7では、VPN接続が出来ないようです。

(VPNサーバー側)
Internet === BHR-4GRV (PPPoE) === QNAP TS-119PIIのL2TP/IPSec

�@ iPhone ==(モバイル網)==> Win10 結果：OK
�A VMのVista & 物理のWin7 ==(固定回線網)==> Win10 結果：VPNでNG

書込番号：24395615

[sorio-2215]

NATトラバーサルの修正レジストリはされていますでしょうか？

下記のツールよりNATトラバーサルのレジストリ変更がワンタッチで可能です。
無効から有効に切り替えください。

※　https://www.buffalo.jp/support/download/detail/?dl_contents_id=61518

書込番号：24395648

[sorio-2215]

NATトラバーサルの変更ですが、接続元、接続先のWindows端末で変更の必要があります。

書込番号：24395657

[おかめ@桓武平氏]

＞sorio-2215さん

>> NATトラバーサルの修正レジストリはされていますでしょうか？

WN-DX2033GRのL2TP/IPSecでは、不要のようです。

TS-119PIIのL2TP/IPSecでは、NATトラバーサルの修正レジストリを行っても、
Vistaではダメ(エラー 788)で
Win7ではVPNが繋がる感じに見えますが、
途中で切れたり、切断すると、NASを再起動しないとダメのようです。

TS-119PIIのL2TP/IPSecは、Windows VPNクライアントでは運用出来なさそうです。

書込番号：24396108

[sorio-2215]

IPSEC phase2のレベルで合わないか、認証レベルで合わない形でしょう。
NASの方は、固定IPアドレス、デフォルトゲート、DNSの固定設定は投入済みですよね？

書込番号：24396194　スマートフォンサイトからの書き込み

[sorio-2215]

補足ですが、
WindowsVista及び7側の固定回線網側のルーターのポート開放、IPSECプロトコル解放はされているのですよね？

プロトコル解放のみでしたら、却って市販のルーターよりNTTの光電話ルーター等を利用して、光電話ルーター等の静的IPマスカレード設定の方が良いかと思いますが。
一応、光電話ルーターでしたら、TCP/UDP、プロトコル番号指定での解放が可能ですが。

Windows10側の回線接続ルーターのVPN機能が安定していることが前提になります。
中古にて、ヤマハ　「NVR510」、「RTX830」を用意された方が良いのでは？

少なくとも、ヤマハルーターでしたら、通信ログやコマンド実行ログ、techinfoファイルの出力にてエラー出力での判断が可能です。

書込番号：24396416

[おかめ@桓武平氏]

＞sorio-2215さん

今日は、
VMのWin8.1の用意し、VPNを試しましたが、
結果がWin7と同様に
VPN接続出来ても、勝手に切れたり不安定です。
NASは再起動しないと、次に使えなくなります。

やはり、NASのL2TP/IPSecは、WindowsのVPNクライアントでは使えないようです。

書込番号：24397308

[sorio-2215]

今の現象ですと、却って中古品のヤマハルーターの方がマシかと思いますが。
PPPOE接続のみでしたら、ヤマハ　「RTX1210」、「FWX120」　あたりが投げ売りしてますが。

FWX120ですと、PPPOE-NATセッションが、30,000セッションまで対応出来、IPSECトンネルが30トンネルまで同時接続可能ですが。

書込番号：24397397

[sorio-2215]

ヤマハルーターを採用される場合ですが、PPPOEのDDNSにNetvolante-DNSを利用ください。
固定IP利用でしたら不要ですが。

書込番号：24397403

[sorio-2215]

固定回線同士の接続には、ヤマハルーター同士のIPSECトンネルで接続して、それ以外のリモートアクセスはNAS側の回線のヤマハルーターにL2TP/IPSECの接続を追加ください。

書込番号：24397410

[おかめ@桓武平氏]

＞sorio-2215さん

IODATAから調査するのに時間が掛かるというメールが来ていていつになるか不明です。

しかも、価格.comから催促のメールが来たので、締めさせて頂きます。

書込番号：24412964

[sorio-2215]

IO-DATAサポートの対応ですと、時間をかけるだけムダな気がしますが。

書込番号：24413209

[おかめ@桓武平氏]

最終的に

AppleデバイスをVPNクライアントで使う場合、
クライアント側とサーバー側のLANのIPアドレスを異なったIPアドレスにしないと繋がらないようです。

WindowsをVPNクライアントで使う場合、
クライアント側とサーバー側のLANのIPアドレスは同じでも繋がっています。

書込番号：24452174