『Windows7標準L2TP/IPsecでの接続について』のクチコミ掲示板

[こたけん525]

RTX1210ではノンサポートとは知りつつ...YMS-VPN8がお高いので、Windows7標準のL2TP/IPsecを使って（レジストリ変更済）運用しているのですが、同じグローバルアドレス配下の端末(win7)を2台以上接続しに行くと、接続ができている1台目のVPN接続が落ちる現象が発生します。再接続を何度かするうちにすべてつながり安定するのですが、原因は何でしょうか。

ログを確認すると
[IKE] SA[*] change state to DEAD
[IKE] delete SA[*]
がでた後
IP Tunnel[*] Down
で落ちています。

ダッシュボードの「VPN接続状態(リモートアクセス)」のインターフェース表示は
6台接続しているのなら、本来TUNNEL[1]〜TUNNEL[6]でつながると思うのですが

実際の例では以下のように歯抜け状態になっています。
（IP TunnelのUP Downを繰り返しているうちに以下の状態で安定。実際の例です。）
TUNNEL[02]
TUNNEL[03]
TUNNEL[05]
TUNNEL[13]
TUNNEL[07]
TUNNEL[01]

理解できる方いましたらご教授頂けないでしょうか。
よろしくお願い致します。

書込番号：18486565

[sorio-2215]

　確認ですが、L2TP/IPSECのトンネルを接続台数分のトンネル設定、PPPダイヤルアクセス用のID及びパスワードを接続トンネル分の数の作成（pp select anonymous→pp bind tunnel1-tunnel2→pp auth request mschap-v2、pp auth usernameから始まるIDとパスワード）をしていますか？
　それと、ip pp remote address poolから始まる、L2TP/IPSEC接続時のプールしますIPアドレス範囲は特定していますでしょうか？
　通常のDHCP端末と重複する様な設定（ip pp remote address pool auto）ではなく、プール範囲をDHCPと離した範囲に指定してみて下さい。
　

書込番号：18487606

[こたけん525]

>確認ですが、L2TP/IPSECのトンネルを接続台数分のトンネル設定、PPPダイヤルアクセス用のID及びパスワードを接続トンネル分の数の作成（pp select anonymous→pp bind tunnel1-tunnel2→pp auth request mschap-v2、pp auth usernameから始まるIDとパスワード）をしていますか？

実際の接続は5,6台ですが、20台分のトンネル設定とそれぞれにIDとパスワードを作成しています。
もちろん、接続する端末はそれぞれのIDで接続しています。（実は同じIDでも2台まで接続できたのですが、YAMAHAに仕様外だと言われました）

>それと、ip pp remote address poolから始まる、L2TP/IPSEC接続時のプールしますIPアドレス範囲は特定していますでしょうか？
していません。「ip pp remote address pool auto」になっています。
てっきり通常のDHCP端末とは重複しないようにIPを割り当ててくれてると思ってたのですが...
ご指摘ありがとうございます。試してみます。

書込番号：18488475

[ムアディブ]

それは当たり前では?

プロトコルに依存するかもしれませんけど、一般的にVPNはNATを通過しませんよね?

NATでダメなものは言い換えるとグローバルIPを必要としているということだから、2つ開いたらアウトだと思うんだけど。(ちょっとズレてるかもだけど、要はVPNパススルーするルータが対応できると言ってなきゃ少なくても無理)

http://www.infraexpert.com/study/ipsec14.html
http://www.infraexpert.com/study/ipsec15.html

少なくても端末側がRTならアウト
http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/faq_2_k.html

書込番号：18488686

[sorio-2215]

　IPSEC-VPNでも、L2TP/IPSEC自体の規格は、一般的なVPNルーター（Yamaha含むNEC、Cisco、アライドテレシス）は、NATトラバーサルの機能は実装しておりますので、NATは通過出来る仕様ですよ。
　Yamahaルーターでも、IPSEC-VPNでも接続回線によって、NATトラバーサル設定でのNAT貫通は出来ますので、誤解が有るかと存じます。
　NATトラバーサル機能を利用しますと、IKE認証にUDP500番ポートではなく、UDP4500番を利用する形になります。
　IKE Phase 1にて、IPsecピアとなる双方の機器がNAT Traversal確認→IPsecピアを構築する経路上にNAPTデバイスが存在可否確認→IKEで使用するポート番号の変更 (送信元・宛先ともに500 → 4500へ変更確認）が派生し、IKE Phase 2にてESPパケットをUDPでカプセル化するモードの決定→NAPTにより変更される前のIPアドレス情報の通知処理、IPsec-VPN確立後にはUDPカプセル化によるトランスポートまたはトンネルモードのESPパケットを送信する仕組みになります。

　Yamahaルーターには、L2TPクライアントの複数受付可能な仕様になっていますので、設定レベルの問題かと存じます。その際には、トンネル毎に「ipsec ike nat-traversal」コマンドでのトランスポート転送モードの設定（UDP1701番での待ち受けポート設定も必要）が必要です。

書込番号：18489249

[sorio-2215]

　追伸、質問者はWindowsパソコンでのNATトラバーサル通信が許容される様に、レジストリ変更していますので、一般的なIPSEC-VPN（NATトラバーサル機能が無い）ルーターでの説明には該当しないかと存じます。

書込番号：18489268

[こたけん525]

sorio-2215さんのおっしゃる通り、NATトラバーサルの問題(ルーター越え)はレジストリ変更で対処して、実際に通信できているので問題ありません。接続が安定するまで、落ちたりつながったりとしばらくバタバタする点をなんとかしたいというのが解決したい点です。

L2TP/IPSEC接続時のプールの設定ですが、正しくは以下のように設定されていました。（ちなみにデフォルト設定です。）
(誤)「ip pp remote address pool auto」 → (正)「ip pp remote address pool dhcp」

プール範囲の設定について以下のアドバイスを頂いたのですが
>プール範囲をDHCPと離した範囲に指定してみて下さい。

rtx1210のDHCPの割り当て範囲を例えば以下に設定しているとすると
　[192.168.0.100 - 192.168.0.150]

リモートのプール範囲は
　[192.168.0.200 - 192.168.0.220]
のようにDHCP範囲外で設定するという認識でよろしいでしょうか。

よろしくお願い致します。

書込番号：18489996

[sorio-2215]

　リポートプールしますIP範囲の認識は、解釈の通りでOKです。
　当方もRTX1210とUNIVERGE iX2215にて、L2TP/IPSECを利用経験則ですが、L2TP同時クライアント接続にて、問題は出ておりません。
　IX2215ですと、トンネル毎に接続します接続ユーザーID及びパスワードを限定させる設定も出来るのですが、RTX1210ですとanonymous接続にそれぞれ接続ユーザーIDとパスワードを登録する位しか出来ないですが、先ずはトラブルは出ておりません。

書込番号：18490095

[LsLover]

以下の設定例は参考になりませんか?
「ヤマハルーターのプライベートアドレス：192.168.100.1」ですので、192.168.0.1などに読み替えてください。
この設定例では、DHCPサーバのアドレスプール内のアドレスを設定しているようです。

【設定例3：NATトラバーサルを利用したL2TPクライアントの接続を受け付ける場合】
【L2TP接続を受け入れるための設定】
ip pp remote address pool 192.168.100.10-192.168.100.20 ==> 「dhcp scope 1 192.168.100.2-192.168.100.191/24」がデフォルト値かと思います。
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/index.html?_ga=1.68082705.1850650006.1410221214#setting3

書込番号：18490290

[sorio-2215]

　補足ですが、Yamahaルーターの場合ですが、他の方の補足メーカーサイトでの提示、特に注釈文「※動作検証では、接続・通信・切断が正常に行えることを確認しています。
長時間の接続試験は行っておりません。
※Android 4系の一部のOSでは、切断時にルーターに対して切断メッセージを送信しないものがあります。そのため、ルーター側でセッションが残ってしまい、次の接続をすぐに受けることができなくなります。対策として、ルーター側で早期に切断を検知できるようL2TPキープアライブを有効にすることを薦めます。」

　上記の文面内容ですが、接続しますL2TPクライアント仕様によって、即時切断要求・応答する仕様のクライアントと、そうでないクライアントが有ります。
　利用用途及び端末によってとなりますが、YamahaルーターOS仕様の場合、L2TPクライアントが切断時に、応答切断に遅延が派生し、再接続時に問題が出る場合も有ります。
　その際には、L2TPセッション・タイマーの設定にて、経過時間による切断コマンドを設定しておいた方が良いかもしれません。メーカー指示のL2TPキープアライブでは無くなりますが、「l2tp tunnel disconnect time」コマンドをトンネル毎に秒単位設定をする等の対応が必要になる可能性も有ります。（例えば、l2tp tunnel disconnect time 600）

書込番号：18492258

[こたけん525]

実はL2TPセッション・タイマーは設定済みで、全チャンネル「l2tp tunnel disconnect time 300」としましたが、動きは変わりませんでした。今はプール範囲を変えたので、様子をみているところです。

書込番号：18493059

[こたけん525]

プール範囲を変えたのですが、改善されませんでした...残念(/Д`)。もう少し様子をみようと思います。

書込番号：18495218

[sorio-2215]

　そうですか。確認ですが、契約回線及びプロバイダはどちらでしょうか？
　光電話の有無（光電話ルーター等の機種・型式も併せて）教えて頂けますが？
　それと、出先側回線サービス及び接続モバイルルーター機種等も教えて下さい。

書込番号：18495361

[sorio-2215]

　先ほど聞き忘れました、ipsec autokey-proposalの暗号化レベルはどのモードをご利用でしょうか？
　トンネルモードが「esp-aes esp-sha」でなければ、Windows8や7系では不安定な場合が有ります。
　まさか、WindowsXPでは無いですよね？　XPであれば、「esp-3des esp-sha」でなければ接続対応されません。
　それと、PPPダイアルアクセスのレベルですが、chapでしょうか？それとも、mschap-v2でしょうか？
　「pp select anonymous」での認証方式をchapにて、お試し下さい。

書込番号：18495802

[こたけん525]

sorio-2215さん、いろいろ確認ありがとうございます。
以下確認事項です。

契約回線:NTTフレッツ光
プロバイダー:biglobe
光電話有:ひかり電話オフィスA
ルーター:OG800Xi

出先の回線:NTTフレッツ光
ルーター：上記と同等？

端末はすべてwin7です。

VPNの設定は以下となっています。
・ipsec sa policy 2 2 esp aes-cbc sha-hmac
・pp auth request mschap-v2

認証方式はchapに変更して試してみます。
トンネルモードも「esp-aes esp-sha」に変更するべきですかね...

上記に変更した場合、モバイル(iphone,ipad等)の接続に影響ありますか？
モバイルの接続も常時ではありませんがしています。

よろしくお願い致します。

書込番号：18497280

[bububu-]

この現象、経験があります。
次の３つのコマンドはどのようになっていますか？

ipsec ike keepalive use
l2tp tunnel disconnect time
l2tp keepalive use

もし次のようになっていなければ、だめ元で試してみてください。

ipsec ike keepalive use x off
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3

書込番号：18497686

[sorio-2215]

　光電話オフィスアダプタOG800Xi（BRI収容/8ch）をご利用という事で、同機のファームウェア問題による、PPPOEブリッジ機能の不確定要因が以前経験した事が有ります。
　同機のファームウェアが最新か確認下さい。
　同機のファームウェア更新には、NTT東/NTT西エリア別にファームウェアが分かれますが、工事専用ログインして、手動適用するのですが、アクセスＩＰが初期値であれば、ＰＣを光電話オフィスアダプタのＬＡＮポート接続→ブラウザにて、「http://192.168.1.1」→ﾛｸﾞｲﾝＩＤ（admin）、パスワード（akisky）にてログイン出来ます。
　※　ファームウェア提供元・・ＮＴＴ東（http://web116.jp/ced/support/version/voip/og400x_og800x/index.html）、ＮＴＴ西（http://www.ntt-west.co.jp/flets/solution/kiki_info/software/746/）
　出先回線装置・ルーターにおいても確認下さい。
　
　トンネルモードも「esp-aes esp-sha」を指定、スマートフォンやタブレット、MVNO端末においては影響無い筈です。（http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/#client）
　※　 例として「ipsec sa policy 1 1 esp aes-cbc sha-hmac」、「ipsec ike encryption 1 aes-cbc」

　L2TPでは、コネクション制御メッセージの1つであるHelloメッセージを用いたキープアライブの仕組みがあり、IPsecのキープアライブとは独立しています。ヤマハルーターでは、L2TPキープアライブによってダウンが検出された場合には、StopCCNメッセージによるL2TPコネクションの切断処理を行った後で、該当するIPsec SAおよびISAKMP SAを削除します。3G回線を用いた接続では、電波状態などの理由でL2TPキープアライブとその応答がロスする可能性があります。

IPsecのキープアライブは、初期値としてヤマハルーターの独自仕様である heartbeat を使用します。スマートフォンなどに搭載されたL2TPクライアントでは heartbeat に対応していないため、L2TPクライアントで対応可能なキープアライブを設定する必要があります。IPsecのキープアライブに対応していないL2TPクライアントに対してはIPsecキープアライブの未使用が推奨されます。
　
　Yamahaルーターにおいては、スマートフォンも共存するVPN設定において、キープアライブは推奨されない仕様です。
　L2TP/IPsecのクライアントには、画面が消灯した場合や自動ロックがかかった場合に、L2TPキープアライブに対する応答を返さないものがあり、クライアントの設定を随意対応する必要と、IPsecのキープアライブは、初期値としてヤマハルーターの独自仕様である heartbeat 死活監視を採用しており、スマートフォンやタブレット、PC等の混在でのL2TP接続が有る場合には、死活監視の制御が難しくなります。環境により、キープアライブはすべきでは無いかと考えます。

　因みにキープアライブ機能については、Yamahaにおいて独自のheartbeat死活監視、業界的にはdpd死活監視が採用されている場合が殆どです。(http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ipsec/ipsec_ike_keepalive_use.html)

書込番号：18498825

[こたけん525]

いろいろ情報ありがとうございます。
一つずつ試してみようと思います。

まずは認証方式をchapでやってみます。

書込番号：18510427

[こたけん525]

認証方式をchapにすると全くつながらなくなりました...（モバイルはつながります）
Winの設定でしょうか？

その他も確認予定です。

書込番号：18512412

[sorio-2215]

　WindowsのL2TP/IPSECの接続設定は、仮想プライベート・ネットワーク接続での設定になります。
　Windowsのコントロールパネルから、インターネット・オプション→接続タブ→該当の接続設定のプロパティを開き、ダイアルアップの設定→プロパティから、セキュリティタブ→次のプロトコルを許可するにチェック→チャレンジ ハンドシェイクプロトコル（CHAP)にチェック投入下さい。

書込番号：18513241

[こたけん525]

チャレンジ ハンドシェイク認証プロトコル(CHAP)(H)へは元々チェックをいれています...
？？？

他の対策も試してみようと思います。

書込番号：18513288

[sorio-2215]

　？？chap認証ですと、mschap-v2認証より接続許容幅が広くなりますので、問題が出ない筈ですが・・。
キープアライブ設定は、未投入ですよね？
　キープアライブ機能は、WebGUIからの設定ですとheartbeatが優先され、スマートフォンとWindows端末の同時併用が難しくなります。
　モバイル端末やスマートフォン等の接続が出来るという事は、L2TPトンネル接続が接続端末のユーザー認証分の接続切り替えがうまくいっていない可能性が有ります。
　それと併せて、IPsecのトランスポートモード設定の設定がトンネルルート毎にうまくいっているかどうかも確認下さい。（L2TP/IPSECトンネルのトンネル名称とUDP1701ポート利用の関連付け）

書込番号：18514019

[sorio-2215]

　念のため、セキュリティソフト等のL2TPコネクション回りの制限等も確認下さい。

書込番号：18514040

[こたけん525]

キープアライブ設定について
・ipsecのキープアライブはOFFになっています。
　→ ipsec ike keepalive use x off

・CONFIGファイルに「l2tp keepalive use」の記述はありませんでした。
　（デフォルトでOFFになっているのですかね...）

・l2tpの設定記述は以下のみ。
　「l2tp tunnel disconnect time 300」

IPsecのトランスポートモード設定について
・ipsec transport 1 1 udp 1701　←すべてのチャンネルが1701で設定されています。

・show status l2tpコマンドで確認すると、接続済みのポートはすべて1701です。
　自機側送信元ポート: 1701
　相手側送信元ポート: 1701

ちなみにいろいろ試す中で、rtx1210を再起動した後は
すべての接続が安定するまでの時間が早い気がします。

以下現状の設定です。
----------------------------
pp select anonymous
pp bind tunnel1-tunnel20
pp auth request mschap-v2（mschapから戻しました。）
pp auth username * * (以下20チャンネル分ユーザーとパス)
　・
　・
　・
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp remote address pool 192.168.*.*-192.168.*.*（←DHCP範囲外を設定）
ip pp mtu 1258
pp enable anonymous

tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac（esp-aes esp-shaで試す予定）
ipsec ike keepalive use 1 off
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ******
ipsec ike remote address 1 any
l2tp tunnel disconnect time 300 (←デフォルトはOFF、300に変更済)
ip tunnel tcp mss limit auto
tunnel enable 1
---------------------------------------------

状況の再確認ですが、同一グローバルアドレス配下の
クライアントを複数接続しなければ、問題ない状況です。

同一グローバルアドレス配下のクライアント2台目を接続しに行くと
先につながっているクライアントが落ちます。（落ちない時もある）
その後、クライアント2台がそれぞれ再接続を繰り返すうちに両方繋がります。
一度安定すると落ちることはありません。

2台で安定している状況でも、3台目の同グローバルアドレス配下のクライアントを接続しにいくと
3台とも不安定になり(2台の時もあり)、これも再接続を繰り返すうちにすべて繋がります。

書込番号：18516381

[sorio-2215]

　うーん、接続トンネル数と接続ユーザー数（ID/Pass）が同一数の接続合致が有れば、問題は発生しない筈なのですが・・。
　光電話オフィスアダプタのファームウェアは最新版か確認されましたか？
　それと、ip secure filterから始まるポート許容は大丈夫でしょうか？（in / out）
　※　UDP4500 UDP1701 esp ah　等
　

書込番号：18517536

[こたけん525]

ポート許容の設定は以下となっています。
ip filter 200100 pass * 192.168.x.x udp * 500
ip filter 200101 pass * 192.168.x.x esp * *
ip filter 200102 pass * 192.168.x.x udp * 4500
ip filter 200103 pass * 192.168.x.x udp * 1701

光電話オフィスアダプタのファームウェアは最新でした。
出先も確か最新だったと思います。
（ちょっと自信ないので確認しに行こうと思います。）

ヤマハサイトのYMS-VPN8での接続設定をみると
l2tpキープアライブをonにしているようです。
→ l2tp tunnel disconnect time off
→ l2tp keepalive use on 10 3
→ l2tp keepalive log on

これも試してみるべきですかね...

書込番号：18517669

[sorio-2215]

　キープアライブをしてみるのは差支え無いですが、あくまでもYamahaルーターは基準がheartbeatですので、Windowsクライアント側が仮に接続出来る様になったとしても、主なスマートフォン側については、HeartBeat仕様に対応していませんので、切断応答メッセージがルーター側へ流れず、再接続出来ない現象になる点が想定されます。
　キープアライブ仕様つきましては、当方利用のNEC・UNIVERGEルーターですと、dpd死活監視機能になっておりますが、NECとYamahaにてdpd死活監視仕様のルーターでは問題が出ておりません。
　仮に試す方法としては、dpdキープアライブ等でしょうか。
　Yamahaの専用ツールですと、Yamahaルーターに併せて、キープアライブ仕様を仮想的にHeartbeatキープアライブを利用していると想定されます。
　Windows標準機能でのL2TPクライアントでは、仮想的にHearbeatキープアライブを実装するのは難しいかと存じますので、他のキープアライブ機能設定を試すぐらいでしょうね。

　ただし、当方環境では、Yamaha/NECにおいても、キープアライブ機能の設定しなくても複数併用は問題が出ておりません。

書込番号：18518027

[sorio-2215]

　dpd（Dead Peer Detection）死活監視を利用される場合には、WebGUIでは設定出来ませんので、コマンド投入にて、「ipsec ike keepalive use ** on dpd 10 3」等でしょうか。
　L2TPトンネル・キープアライブについては、当方の設定では未投入です。
　**には、トンネル・エントリNoを任意に合わせてみて下さい。

　以下抜粋として・・IPSEC-dpd
　その名が示すように、接続相手の死活監視を行う機能です。　従来から IKE Heartbeat という名前で各社ルータではIKEの通信断をリアルタイムに検出する機能を有していましたが、 IKE Heartbeat はRFCにドラフト提案まではされたものの結局標準化されない結果となってしまい、各社ルータメーカが独自に機能を実装するようになってしまいまいした。
この結果、異機種間でIPSecを行った場合、相手のルータ再起動などによる死活が監視できず、それまで使っていたトンネル情報（SA)が生存時間で定義された期間はそのまま残ってしまい、これが残っている間は手動でSAを消すなど消さない限りはIPSecが利用できない状態となってしまいます。　（これが、IPSec中にルータの電源を切ると、再接続に時間がかかる原因）
RFCでは IKE Heartbea に代わり、新たに死活監視の仕組みとして DPD （RFC3706） として標準化して、最近（2012年現在）のルータではこの機能が利用できるようになっています。
したがって、相互接続の観点では DPD を利用する方が問題が少ないといえます。

DPDが利用できない場合には、ICMP（PING)による死活監視をするか、 IKE の生存期間を30分 / IKE-SAの生存期間を10分とかにするような「技」で逃げてください。

書込番号：18519353

[sorio-2215]

　ふと気づいたのですが、「pp auth request mschap-v2（mschapから戻しました。）」の文言ですが、当方の伝えた点は「pp auth request mschap」ではなく「pp auth request chap」をお試し下さいという事ですよ。
　「pp auth request mschap」にされたから、接続出来なくなったのではないでしょうか？

書込番号：18522794

[こたけん525]

「mschap」？

すいません！！
その可能性あります。

再度確認してみます！

書込番号：18522834

[sorio-2215]

　多少自己責任となりますが、Windowsの汎用L2TPクライアント機能との比較にて、Yamahaルーターとの相互接続の際に、YamahaのYMS-VPN8クライアントの利用ではなく、お試しとなりますが、「Avayaクライアントソフト」・・http://www.media.hiroshima-u.ac.jp/services/hinet/vpn-Newclient-download

　上記サイトから、無償にてVPNクライアントツール（Avaya製）がダウンロード出来ますが、同社製のVPNクライアントソフトですと、IPSECクライアント接続機能になっておりますが、IPSECトンネルモードとして接続設定してみては如何でしょうか？

　本来の解決案では有りませんが、上記のソフトを利用される場合には、Yamahaの死活監視機能は利用出来ないかと存じますので、YamahaルーターのIPSEC-IKEキープアライブをdpd死活監視モードの設定にしておき、L2TPトンネルではなく、通常のIPSECトンネルでの構築を試されては如何でしょうか？
　※　上記のVPNクライアントソフトの場合、dpd死活監視モードでの許容となっている為。

　相互接続安定性が図れる状態でしたら、L2TPトンネルを全てIPSECトンネル設定（dpdキープアライブ有り）へ２０トンネル変更すると良いかと存じます。
　全ての拠点端末は、VPNクライアントツール（Avaya製）を利用する形になりますが・・。

書込番号：18532609

[sorio-2215]

先ほどのVPNクライアントソフトですが、「http://blog.michaelfmcnamara.com/2013/12/avaya-vpn-client-release-10-06-500-for-windows-8/」
　上記のサイトのツールの方が、新規バージョンの様です。（Ver 10.06.500）

書込番号：18532664

[こたけん525]

クライアントソフトの件、情報ありがとうございます。
ちょっと敷居が高そうですね...

認証方式「chap」で確認し接続できましたが、(設定間違いでした、すいません)
症状は変わらずでした...

書込番号：18538088

[sorio-2215]

　VPNクライアントの件（Avayaクライアントソフト）ですが、IPSECクライアントですので、既存のL2TPトンネルの内、スマートフォン分のL2TPトンネルを残し、IPSECトンネルの追加でOKかと存じます。
　以下Yamaha設定に追加にて、参考にして下さい。
　※　http://jp.yamaha.com/products/network/solution/vpn/vpn_client/software/

　IPSECトンネル例
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 3600
ipsec ike encryption 1 aes-cbc
ipsec ike esp-encapsulation 1 off
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 off dpd
ipsec ike local address 1 (RTX1210の自身IP）・・192.168.100.1
ipsec ike local id 1 (RTX1210のﾛｰｶﾙID名/24）・・192.168.100.0/24等
ipsec ike pre-shared-key 1 text (パスワード)
ipsec ike log 1 key-info message-info payload-info
ipsec ike pfs 1 on
ipsec ike remote address 1 any
tunnel enable 1

上記がIPSECトンネルの例ですが、VPNクライアントが英語表記にて難しいという事であれば、Fortiクライアントでも可能かと存じます。

　Fortiクライアントでは、VPNでのフェーズ１にてIKEプロポーサルとDHグループの設定、鍵の有効期間等の設定をして頂ければOKかと。

　※Fortiクライアント・・「http://www.scsk.jp/sp/fortinet/forticlient-scsk/」、「http://www.forticlient.com/」
　上記であれば、日本語表記・VPNトンネル機能のみの設定であれば、無償です。

書込番号：18538707

[sorio-2215]

　暫くコンタクトが無いですが、通常は必要有りませんが、L2TPトンネルのike lifetimeの設定をしてみては如何でしょうか？
　ike リキーイング周りでのトラブルも想定されます。
　あくまでもスマートフォンやタブレットの機種・搭載OS等での任意対応となりますが・・。

書込番号：18589269

[こたけん525]

解決しました！

認証鍵(ipsec ike pre-shared-key 1 text "パスワード")について
ipsecチャンネルごとに異なるパスワードを設定することで

各クライアントで使用するチャンネルが固定されて、同じグローバルアドレス配下の
クライアントを複数台接続しても落ちることがなくなりました。
（以前はチャンネルの奪いあい？みたいなことが起きていました。）

RTX1210のWebGUIからの設定（かんたん設定→リモートアクセス→共通設定の変更）
だと、すべてのチャンネルの認証鍵が同じになるので
コマンドでチャンネルごとに認証鍵を変更する必要があります。

VPNクライアントの件（Avaya、Forti）、試してみましたがつながらず...
私の設定に間違いがあるのだと思いますが...

運用していくには、ルーター、クライアントともに設定項目が多く
また、今回の症状が解決するかも不明のため、諦めることにしました。

sorio-2215さん中心にみなさんから、いろいろなアドバイスを頂きありがとうございました。

書込番号：18594078

[sorio-2215]

　うーん、通常はIKEリキーイング・キーは、同一でも問題無い筈なのですが・・。
　良かったですね。
　確かに、Yamaha系のL2TP/IPSECやL2TPv3系の接続機能は、あまり良くない性質が有りますが・・。

　IPSECを処理するパケット最適化機能（ファーストパス）もソフトウェア処理ですし、NECや富士通の様に、パケット最適化のUFSキャッシュ機能ですと、CPUをダイレクトにアシストするコントローラーを実装していますが、VPNの機能・信頼性ですと、他社のVPNルーターの方が良い部分も有ります。

　Fortiクライアントでの接続には、IKEキープアライブ機能はdpd死活監視が基本ですので、あまり苦慮する設定では無いかと思いますが・・。

書込番号：18595323

[チャッピー参上]

私RTX1210で1台目でリモートアクセスはつながるのですが、2台目だとつながらずサポートの方にもいろいろ伺ったのですが解決せず。この投稿で解決する一筋の希望が見えてきました。素人なのでそれ以上のこともわからないのですが、共通キーを変えたら何台でもつながりそうです。大変感謝いたします。1年間悩み続けました。ありがとうございます。

書込番号：23977426