Debian GNU/Linux で L2TP / IPsec を使用する VPN サーバを設定する (サーバ側で NAPT する場合)

先日は LAN 内のサーバにおいて、その LAN に VPN クライアントを接続する、「Debian GNU/Linux で L2TP / IPsec を使用する VPN サーバを設定する (サーバ側で NAPT しない場合)」という設定を行いましたが、今回は、自 VPS でグローバル IPv4 が一つだけあたっていて、LAN 側が存在しない場合の設定を行ってみます。

■注意点

  • クライアントと VPN サーバ間が暗号化されます。
  • 暗号化されていることは tcpdump で確認したまでとなり、実際に十分な強度で暗号化されているかは確認していません。
  • クライアント側の設定も確実に VPN 側にパケットが流れるように、よく確認して下さい。
  • 基本的に全開と設定はほぼ同じです。この例では、VPS などを借りていて、この VPS とクライアント間で VPN を張ります。つまり、外部へのネットワーク接続のうち、「クライアントと VPS 間のみ」が暗号化されるはずです。

■前提

  • 対象サーバは、単一のグローバル IPv4 アドレスを持っている事を想定。
  • VPN 側の仮想的なネットワークは 192.168.64.0/24 を想定。
  • 設定するサーバの VPN 側 IPv4 アドレスは 192.168.64.1 を想定。
  • 設定するサーバでは、ネームサーバが動作していて、VPN 側からの名前解決が出来る。
  • OS は Debian GNU/Linux 6.0 squeeze (AMD64) を利用。

■設定環境

  • OS : Debian GNU/Linux 6.0 (AMD64)
  • IPsec は事前共有鍵 (PSK) で認証。
  • L2TP は MS-CHAPv2 で認証。
  • L2TP サーバ名は l2tp とする。
  • サーバのグローバル IPv4 アドレス : aaa.bbb.ccc.ddd
  • サーバのグローバル IPv4 アドレスがあたっているインタフェース : eth0
  • サーバの VPN 側 IPv4 アドレス : 192.168.64.1
  • DNS サーバ : 192.168.64.1 (設定する VPS でネームサーバが動作している)
  • VPN クライアントに割り当てる IPv4 アドレス : 192.168.64.11 〜 192.168.64.20 (サーバ側では ppp0 〜 ppp9 のインタフェースと通信する)

例によって、MS-CHAPv2 で L2TP を認証しますが、これは先に IPsec によりネットワークが暗号化されている状態で行われるので外部から見えないから問題がない、と言う認識です。

■設定

サーバ側設定手順としては、以下の通りです。

・必要なパッケージをインストール

# apt-get install openswan xl2tpd

・ネットワークパラメータの設定

/etc/sysctl.conf ファイルに下記を設定します。

net.ipv4.ip_forward = 1		# パケットを転送可能とする。
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.eth0.send_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0

※ IPv4 があたっているインタフェース全部に対して設定します。

・設定を反映

上記で設定した内容を、実際に反映させます。

# sysctl -p

・openswan (IPsec) の設定

IPsec の設定を行います。
/etc/ipsec.conf を設定します。

version 2.0
config setup
	nat_traversal=yes
	virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
	oe=off
	protostack=netkey

conn L2TP-PSK-NAT
	rightsubnet=0.0.0.0/0
	also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
	forceencaps=yes
	authby=secret
	pfs=no
	auto=add
	keyingtries=3
	ike=aes-sha1;modp3072		# ike phase1 の設定 (暗号化アルゴリズムは AES 、ハッシュアルゴリズムは SHA1 、Diffie-Hellman グループは 15 (3,072bit))
	phase2=esp					# ike phase2 の設定 (セキュリティプロトコルは ESP)
	phase2alg=aes-sha1;modp3072	# ike phase2 の設定 (暗号化アルゴリズムは AES 、ハッシュアルゴリズムは SHA1 、Diffie-Hellman グループは 15 (3,072bit))
	rekey=no
	ikelifetime=8h
	keylife=1h
	type=transport
	left=aaa.bbb.ccc.ddd		# 自サーバの「グローバル IPv4 アドレス (重要)」を設定する。
	leftprotoport=17/1701
	right=%any
	rightprotoport=17/%any
	# 以下は iOS クライアント向けの設定。
	dpddelay=40
	dpdtimeout=130
	dpdaction=clear

・openswan (IPsec) の事前共有鍵の設定

/etc/ipsec.secrets (root:root 600) を設定します。

aaa.bbb.ccc.ddd %any: PSK "PRESHAREDKEY"

※「PRESHAREDKEY」の内容は任意のものに変更する必要があります。
※ここでも、サーバのグローバル IPv4 アドレスの指定が必要です。

・openswan (IPsec) の再起動

# /etc/init.d/ipsec restart

・確認

openswan (IPsec) が動作できるように設定されているか確認を行います。

# ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path                             	[OK]
Linux Openswan U2.6.28/K2.6.32-5-xen-amd64 (netkey)
Checking for IPsec support in kernel                        	[OK]
NETKEY detected, testing for disabled ICMP send_redirects   	[OK]
NETKEY detected, testing for disabled ICMP accept_redirects 	[OK]
Checking that pluto is running                              	[OK]
Pluto listening for IKE on udp 500                          	[OK]
Pluto listening for NAT-T on udp 4500                       	[OK]
Two or more interfaces found, checking IP forwarding        	[OK]
Checking NAT and MASQUERADEing                              
Checking for 'ip' command                                   	[OK]
Checking for 'iptables' command                             	[OK]
Opportunistic Encryption Support                            	[DISABLED]

・xl2tpd の設定

/etc/xl2tpd/xl2tpd.conf を設定します。

[global]

[lns default]
ip range = 192.168.64.11 - 192.168.64.20	; VPN クライアントに割り当てる IPv4 アドレスの範囲
local ip = 192.168.64.1						; 自サーバの「VPN 側 IPv4 アドレス (重要)」
length bit = yes
refuse chap = yes
require authentication = yes
name = l2tp
pppoptfile = /etc/ppp/l2tpd-options

・ppp の設定

/etc/ppp/l2tpd-options を設定します。

name l2tp			# /etc/xl2tpd/xl2tpd.conf で設定した name と合わせる
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
ms-dns 192.168.64.1	# DNS サーバの IPv4 アドレス
nodefaultroute
lock
nobsdcomp 
mtu 1280
mru 1280

※今回の用途では、proxyarp は不要

・xl2tpd の認証ファイルの設定

xl2tpd で接続する際の、アカウント情報を設定します。
/etc/ppp/chap-secrets (root:root 600) のファイルを設定します。

# client	server	secret		IP addresses
testuser	l2tp	"password"	*

※上記の例では、L2TP のアカウント「testuser」、パスワード「password」で設定しています。

・xl2tpd の再起動

# /etc/init.d/xl2tpd restart

・サーバ再起動時に Openswan IPsec を自動起動する

# insserv ipsec

・iptables のルールに以下を追加

# iptables -P FORWARD DROP
# iptables -A INPUT -p udp --dport 500  -i eth0 -d aaa.bbb.ccc.ddd -j ACCEPT
# iptables -A INPUT -p udp --dport 1701 -i eth0 -d aaa.bbb.ccc.ddd -j ACCEPT
# iptables -A INPUT -p udp --dport 4500 -i eth0 -d aaa.bbb.ccc.ddd -j ACCEPT
# iptables -A FORWARD -i ppp+ -o ppp+ -s 192.168.64.0/24 -d 192.168.64.0/24 -j ACCEPT
# iptables -A FORWARD -i ppp+ -o eth0 -s 192.168.64.0/24 -j ACCEPT
# iptables -A FORWARD -i eth0 -o ppp+ -d 192.168.64.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -t nat -A POSTROUTING -o eth0 -s 192.168.64.0/24 -j MASQUERADE

※必要に応じて、上記の設定が恒常的に有効となるように何らかの方法で設定する。

■今回のはまりどころ

  • 「/etc/ipsec.conf」ファイルの「left=」に設定するのは、サーバのグローバル IPv4 アドレス。
  • lt2pd 関係の設定ファイルについては、VPN 側のプライベート IPv4 アドレス及びネットワーク

最初 /etc/ipsec.conf にプライベート側の 192.168.64.1 を書いてしまい、何故通信できないのかと悩みました。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です