RT58iとQNAPのNASの組み合わせでL2TP/IPsecを使用する


ヤマハのルーター「RT58i」は、VPNのプロトコルとしてPPTPしかサポートしていない。

一方で、iOS 10以降など最近のOSではPPTPをサポートしておらず、モバイル通信サービスでもPPTPを規制していることがしばしばある。

ヤマハのルーターもNVR500以降の製品であれば、L2TP/IPsecに対応しているのだが、QNAPのNASもL2TP/IPsecサーバー機能を持っているので、RT58iとQNAPのTS-212Pを組み合わせてL2TP/IPsecによるリモートアクセスを実現する手順を記述する。

RT58iの設定

静的IPマスカレードの登録

ウェブブラウザでかんたん設定ページにアクセスする。

詳細設定と情報>基本接続の詳細な設定 の順に進む。

「設定されているプロバイダの一覧」のうち、接続を受けるために使用するインタフェース(プロバイダ)の行の設定ボタンをクリックする。

「静的IPマスカレード関連(フィルタの自動定義:80番~89番)」の追加ボタンをクリックし、「静的IPマスカレードの登録」画面で次の3つを追加する。

プロトコルポート使用ホストIPアドレス
esp*(NASのIPアドレス)
udp500(NASのIPアドレス)
udp4500(NASのIPアドレス)

設定の確定ボタンをクリックする。これをコマンドで行う場合は以下のコマンドを実行する。(筆者の環境ではフィルタの先頭2つがPPTPに関する設定になっているため、3〜5番目への設定となっている)

nat descriptor masquerade static 1000 3 (NASのIPアドレス) esp
nat descriptor masquerade static 1000 4 (NASのIPアドレス) udp 500
nat descriptor masquerade static 1000 5 (NASのIPアドレス) udp 4500

静的IPフィルタの登録

トップ画面に戻り、

詳細設定と情報>ファイアウォール設定 の順に進む。

「ファイアウォールの設定インタフェース」のうち、接続を受けるために使用するインタフェース(プロバイダ)の行のIPv4フィルタの設定ボタンをクリックする。

「IPv4 静的IPフィルタの一覧」の追加ボタンをクリックし、「IPv4 静的IPフィルタの登録」画面で次の3つを追加する。

フィルタ番号フィルタ・タイププロトコル送信元IPアドレス送信元ポート番号受信先IPアドレス受信先ポート番号
(任意)pass(ログなし)esp**(NASのIPアドレス)*
(任意)pass(ログなし)udp**(NASのIPアドレス)500
(任意)pass(ログなし)udp**(NASのIPアドレス)4500

設定の確定ボタンをクリックする。

戻るボタンをクリックして「IPv4 静的IPフィルタの一覧」画面に戻り、追加した行の「適用 入」のチェックボックスをオンにして設定の確定ボタンをクリックする。

なお、これをコマンドで行う場合は次のコマンドを実行する。(筆者の環境ではフィルタの先頭2つがPPTPに関する設定になっているため、3〜5番目(200082〜200084)への設定となっている)

ip filter 200082 pass * (NASのIPアドレス) esp * *
ip filter 200083 pass * (NASのIPアドレス) udp * 500
ip filter 200084 pass * (NASのIPアドレス) udp * 4500

L2TP/IPsecのリモートアクセスのためには、UDPの1701番ポートをリモートアクセスサーバー(本記事で言えばNAS)に向ける(NATを設定する)必要があると書かれている記事が多いが、今回はこの設定はRT58i側には不要だった。

QNAPのNASの設定

ウェブブラウザで設定画面にログインする。

「QVPN Service」を起動する(ない場合はインストールする)。

左段メニューの「VPNサーバー設定」の下の「L2TP/IPSec」をクリックする。

「L2TP/IPSec VPNサーバーを有効にする」のチェックボックスをオンにする。

事前共有鍵に、任意の文字列を入力する。

適用ボタンをクリックする。

左段メニューの「VPNサーバー設定」の下の「権限設定」をクリックする。

VPNユーザーの追加ボタンをクリックしてNASのユーザーを追加し、「L2TP/IPSec」の列のチェックボックスをオンにする。

左段メニューの「概要」をクリックする。

L2TP/IPSecのステータススイッチをオンにする。

【注】IPsecの「s」は正しくは小文字であるが、QVPN Service内では「IPSec」(「S」が大文字)と表記されているため、本記事もそれに合わせている。

【参考】iOSの設定

設定アプリを起動する。

一般>VPN の順に進む。

「VPN構成を追加…」をタップする。

次のように設定する。

タイプL2TP
説明(任意の文字列)
サーバ(RT58iのWAN側IPアドレス)
アカウントQNAPのNASの「権限設定」で追加したユーザー名
RSA SecurIDオフ
パスワードNASのユーザーのパスワード
シークレット(事前共有鍵)
すべての信号を送信オン