『L2TP/IPsecを通す為の設定は？』のクチコミ掲示板

[たえちゃんのパパ]

L2TP/IPsecを通す為の設定はどうすればよいでしょうか？

10年程使用していたWi-Fiルータ（WZR-300HP）から本機（WSR-5400AX6）に更新しました。

自宅には、softetherの仮想HUBを設置し、VPNを構築しています。
これにより、自宅外から自宅のLANにアクセスしていました。
パソコンはsoftetherの仮想LANカードから、
スマホはL2TP/IPsecを使っています。

本機（WSR-5400AX6）に更新してからは
パソコンから問題なくアクセスできますが、
スマホからのL2TP/IPsecが通らなくなってしまいました。

更新前：
旧ルータ（WZR-300HP）では、L2TP/IPsecを通過させるために
・UDP ポート500
・UDP ポート4500
を、softetherをインストールしたパソコンに対してポート開放していました。
この設定だけで、L2TP/IPsecが通過できていました。

更新後：
本機（WSR-5400AX6）にWZR-300HPと同じポート開放の設定
・UDP ポート500
・UDP ポート4500
をしてみましたが、接続できませんでした。

L2TP/IPsecではESPプロトコルのパケットを使うということなので
ESP（プロトコル番号50）を開放してみましたがNGでした。

更に、IPフィルタの設定で
・UDP ポート500
・UDP ポート4500
・ESP（プロトコル番号50）
を通過させる設定を行ってみましたが、これもNGでした。
（出入両方の設定を試しました）

ちなみに、パソコンからのアクセスの場合は、
新旧共にTCP ポートを開放しており、
こちらの方は本機でも問題なく接続できています。

VPNサーバ側は設定変更など何も触っていません。
試しに、旧ルータに戻すと問題なくつながります。
従って、今回のルータの更新に伴って発生したと考えています。

WSR-5400AX6にはIPsecパススルーの機能が無いことは認識していましたが、
これまで使用していたWZR-300HPもIPsecパススルーの機能はありません。
WZR-300HPでは、ポート開放の設定だけで使えていたので、
新しい機種でも同様な設定で実現できると考えて
特に重要視していませんでした。

過去の投稿「企業VPNに接続できません」で、
クライアントとして使用した場合の投稿があり、
本機ではＮＧとの結論のようですので、
サーバ側として使用する場合もNGなのかなとの思いもありますが、
皆さんのお知恵をお貸しください。


尚、
更新の目的は、
無線LANのセキュリティ向上
でしたので、
WZR-300HPを有線ルータとして、WSR-5400AX6をAPとすることで、
対応しています。
ただし、ルータは10年くらい使用していた機器ですので
いつまで使えるのかの不安要素があります。

書込番号：24292793

[おかめ@桓武平氏]

＞たえちゃんのパパさん

WAN側IP取得方法が「手動 / DHCP / PPPoE / DHCPv6-PD / IPv6(IPoE/IPv4 over IPv6)」となっていますが、どれで取得されていますでしょうか？

書込番号：24292960

[antena009]

接続方式がds-liteの場合はポート開放不可、ＭＡＰーＥも利用できるポートが限られているからね
WSR-5400AX6をPPPoE方式で設定しても接続できないってこと？

書込番号：24292972

[たえちゃんのパパ]

返信ありがとうございます。

＞ WAN側IP取得方法が「手動 / DHCP / PPPoE / DHCPv6-PD / IPv6(IPoE/IPv4 over IPv6)」となっていますが、どれで取得されていますでしょうか？

WAN側は、ケーブルTVのインターネット回線で、DHCP取得です。
割り当てられるIPアドレスはグローバルIPです。

ルータを「internet側からのpingに応答する」設定にして、
pingが通ることは確認しています。


＞ WSR-5400AX6をPPPoE方式で設定しても接続できないってこと？

ケーブルTVのインターネット回線で、DHCP取得です。
PPPoE接続ではありません。

書込番号：24293010

[くりりん栗太郎]

そもそも、WSR-5400AX6は、VPNサーバー機能を持っていません。
つまり、外出先からの接続の場合のプロトコルが、
L2TP/IPsecであろうが、PPTPであろうが、関係ないです。
そもそも機能自体をもっていないのです。

バッファローのWSRシリーズは全ての機種が、VPNサーバー機能を持っていません。

以下のURLが参考になります。

「VPNサーバー機能を持つ無線ルーターの一覧と設定方法（バッファロー）」
https://kuritaroh.com/2018/09/17/routershavevpnserver/

なお、WZR-300HPには、PPTPサーバー機能があります。
https://manual.buffalo.jp/buf-doc/35012688-04.pdf#page=180

書込番号：24293023

[たえちゃんのパパ]

返信いただきありがとうございます。

＞ バッファローのWSRシリーズは全ての機種が、VPNサーバー機能を持っていません。

ルータのVPNサーバ機能は使用していません。

自宅には、VPNサーバとしてsoftetherをインストールしたパソコンがあり、
VPNを構築しています。

＞ なお、WZR-300HPには、PPTPサーバー機能があります。

ルータのPPTPサーバー機能は使用していませんでしたが、
この機能の有無が、何か関係しているのでしょうかね。

書込番号：24293075

[たえちゃんのパパ]

ちなみに、
一時期、IOdataの
ＷＮ−G300R3
という無線ルータを使用していましたが、
このルータも
・UDP ポート500
・UDP ポート4500
のポート開放のみで、VPNサーバへのアクセスができていました。

書込番号：24293203

[くりりん栗太郎]

＞たえちゃんのパパさん

失礼しました。勘違いをしておりました。VPNパススルー（通過させる）の機能の話ですね。

では、こちらのURLが参考になるでしょうか。

「VPNパススルー（PPTPパススルー、IPSecパススルー）、PPPoEパススルーの対応機種の一覧と設定方法(バッファロー)」
https://kuritaroh.com/2020/03/15/vpnpassthrough/

書込番号：24293248

[くりりん栗太郎]

＞たえちゃんのパパさん

再度のごめんなさいです。

＞WSR-5400AX6にはIPsecパススルーの機能が無いことは認識していましたが、
＞これまで使用していたWZR-300HPもIPsecパススルーの機能はありません。

ご存じだったんですね。失礼しました。
「WZR-300HPもIPsecパススルーの機能は」なかった、不思議ですねえ。
私の投稿内容は、すべて忘れてください。　ノイズばかりですみませんでした。

書込番号：24293327

[おかめ@桓武平氏]

＞たえちゃんのパパさん

ポート開放で、L2TP/UDP（ポート番号 1701）を追加されても、解決出来ませんでしょうか？

書込番号：24293343

[たえちゃんのパパ]

おかめ@桓武平氏さん、返信ありがとうございます。

残念ながら、NGでした。

書込番号：24293610

[たえちゃんのパパ]

くりりん栗太郎さん、いろいろありがとうございます。
お詳しそうなので、もしお分かりになればお教えください。
バッファローの無線ルータのシリーズ名（？）のアルファベットは何か意味があるのでしょうか
WZR-****
WSR-****
この違いで、ネットワークの動作の違いがあるのでしょうか

書込番号：24293669

[おかめ@桓武平氏]

＞たえちゃんのパパさん

正常に繋がるルータをメイン、
本機のルータをサブの2重ルータにされ、
メインルータのLAN内からサブルータのLAN内へ
VPN接続は出来ますでしょうか？

書込番号：24293996

[たえちゃんのパパ]

おかめ@桓武平氏さん、返信ありがとうございます。

ご提案の方法を実施してみましたが、
接続できませんでした。

書込番号：24295216

[おかめ@桓武平氏]

＞たえちゃんのパパさん

検証にお手数をお掛けました。

スレ主様の環境の場合、
Buffalo WZR-300HPですと、PPTPだけのパススルーが可能であり、
IODATA ＷＮ-G300R3ですと、IPSec/PPTPのパススルーが可能のようです。

しかも、
今までBuffalo WZR-300HPを使った場合、
プロトコルL2TPで外出先からのリモートアクセスが可能であった。

新調されたWSR-5400AX6では、
プロトコルL2TPで外出先からのリモートアクセスが不可能になった。

========================================================

私の環境の場合、
無線ルータとしては、Buffalo WZR-G108とWZR-HP-G301NHをかなり前に使っていましたが、
設定内容の詳細は忘れました。
有線ですと、Buffalo BHR-4GRVになりますが、
PPTPパススルーが画面の設定項目でON/OFF可能です。

IODATA WN-AG450DGRの場合、
IPSec/PPTPのパススルーが画面の設定項目でON/OFF可能です。

Apple Time Capsule 3rdとAirMac Extreme 5thとAirMac Express 2ndの場合、
IPSec/PPTP/L2TPのパススルーの画面の設定項目はないですが、
暗黙でONの状態になるようです。

NEC Aterm WX3600HPの場合、
IPSec/PPTPのパススルーの画面の設定項目はないですが、
暗黙でONの状態になるようです。

========================================================

新調されたWSR-5400AX6では、
プロトコルPPTPだけパススルーするように厳しくなった可能性も
考えられます。

書込番号：24295307

[たえちゃんのパパ]

おかめ@桓武平氏さん、情報ありがとうございます。

メーカやシリーズによって、
機能が有ったり無かったり、暗黙でONだったりと、いろいろあるのですね。

私も色々検索してみると、
L2TP/IPsecを透過させるための設定としては、
ポート開放、ＩＰフィルタ設定の他に、
NATトラバーサルという機能を有効にするというのがありました。
とはゆうものの、何のことやらさっぱり判りません。
本機（WSR-5400AX6）のマニュアルを確認してみましたが、特に記載は無い様です。
そもそも、その機能が無いのではどうしようもないですね。

今回の件は、私の勉強不足というか、
Ａで出来たから、Ｂでも出来るだろうという判断をしてしまったことに起因しているようです。
次、更新の際はもう少し勉強してから機種選定しようと思います。

書込番号：24296846

[yoshee33]

SoftEther VPN のサーバを内側に置く場合インタネット側で以下のポートを許可する必要があります。

isakmp/UDP （500）
ipsec-nat-t/UDP （4500） --> NAT traversal
l2tp/UDP （1701）

私の場合上記の設定で OK でした。

書込番号：24313789

[倦怠感]

＞たえちゃんのパパさん

技術関連には詳しくないですが、ファームウェアのアップデートが来ています。
変更履歴に以下のようにあるので、不具合修正されているのではないでしょうか。

＞・本商品を経由してIPsecでVPN接続ができない問題を修正しました。

私も同じような問題を抱えていましたが、アップデート後は問題なく接続できるようになりました。

書込番号：24720041

[たえちゃんのパパ]

＞倦怠感さん

おはようございます。
情報ありがとうございます。

ファームウエアを　Version 1.03　にアップしたところ、
スマホからの L2TP/IPsecによるVPN接続が出来るようになりました。

本件、諦めていたところでしたので、大変助かりました。
ありがとうございました。

書込番号：24722472