Debian GNU/Linux で L2TP / IPsec を使用する VPN サーバを設定する (サーバ側で NAPT しない場合)

※ IP Masquerade をする場合は、「Debian GNU/Linux で L2TP / IPsec を使用する VPN サーバを設定する (サーバ側で NAPT する場合)」を参照下さい。

今まで、PPTP にて、VPN を設定していたのですが、「VPNなどで使われる認証プロトコル「MS-CHAPv2」、クラックされる | スラッシュドット・ジャパン セキュリティ」とのことで、PPTP では「MS-CHAPv2」をもろに使っているのでこれをやめて、L2TP / IPsec での VPN 設定を行いました。以下はその個人的な覚え書きです。

VPN クライアントの IPv4 アドレスが、その LAN のネットワーク内と同一ネットワーク内に存在するような設定となります。

例えば、自宅のルータで、IPsec (UDP/500 と UDP/4500 を LAN 内のサーバに通信できるようにしておいて、外部から自宅へ VPN 接続をする用途を想定しています。

■注意点

  • クライアントと VPN サーバ間が暗号化されます。
  • 暗号化されていることは tcpdump で確認したまでとなり、実際に十分な強度で暗号化されているかは確認していません。

■前提

  • ネットワーク内において、いくつかのプライベート IP アドレスが自由に使用できる事。
  • 今回は 192.168.1.0/24 な一般的な家庭内 LAN を想定。
  • 設定するサーバの IPv4 アドレスは 192.168.1.2 を想定。
  • VPN 側に割り当てられる IPv4 アドレスは、他の機器で使用されていない、されない事。
  • OS は Debian GNU/Linux 6.0 squeeze (PPC) を利用。
  • 設定が確認されたあとに、ルータ側で、UDP/500 と UDP/4500 を 192.168.1.2 に転送するように設定する。

■設定環境

  • OS : Debian GNU/Linux 6.0 (PPC)
  • IPsec は事前共有鍵 (PSK) で認証。
  • L2TP は MS-CHAPv2 で認証。
  • L2TP サーバ名は l2tp とする。
  • ネットワークアドレス : 192.168.1.0/24
  • デフォルトゲートウェイ : 192.168.1.1
  • DNS サーバ : 192.168.1.1
  • L2TP / IPsec サーバを設定するサーバ : 192.168.1.2 (インタフェースは eth0)
  • VPN クライアントに割り当てる IPv4 アドレス : 192.168.1.201 〜 192.168.1.210 (サーバ側では ppp0 〜 ppp9 のインタフェースと通信する)

なんで、今回問題となっている MS-CHAPv2 で L2TP を認証するのかですが、これは先に IPsec によりネットワークが暗号化されている状態で行われるので外部から見えないから問題がない、と言う認識です。

■設定

サーバ側設定手順としては、以下の通りです。

・必要なパッケージをインストール

# apt-get install openswan xl2tpd

・ネットワークパラメータの設定

/etc/sysctl.conf ファイルに下記を設定します。

net.ipv4.ip_forward = 1	# パケットを転送可能とする。
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.eth0.send_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0

※ IPv4 があたっているインタフェース全部に対して設定します。

・設定を反映

上記で設定した内容を、実際に反映させます。

# sysctl -p

・openswan (IPsec) の設定

IPsec の設定を行います。
/etc/ipsec.conf を設定します。(ほとんどサンプルで用意されている設定ファイル通り)

version 2.0
config setup
	nat_traversal=yes
	virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
	oe=off
	protostack=netkey

conn L2TP-PSK-NAT
	rightsubnet=0.0.0.0/0
	also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
	forceencaps=yes
	authby=secret
	pfs=no
	auto=add
	keyingtries=3
	ike=aes-sha1;modp3072		# ike phase1 の設定 (暗号化アルゴリズムは AES 、ハッシュアルゴリズムは SHA1 、Diffie-Hellman グループは 15 (3,072bit))
	phase2=esp					# ike phase2 の設定 (セキュリティプロトコルは ESP)
	phase2alg=aes-sha1;modp3072	# ike phase2 の設定 (暗号化アルゴリズムは AES 、ハッシュアルゴリズムは SHA1 、Diffie-Hellman グループは 15 (3,072bit))
	rekey=no
	ikelifetime=8h
	keylife=1h
	type=transport
	left=192.168.1.2			# 自サーバの IPv4 アドレスを設定する。
	leftprotoport=17/1701
	right=%any
	rightprotoport=17/%any
	# 以下は iOS クライアント向けの設定。
	dpddelay=40
	dpdtimeout=130
	dpdaction=clear

・openswan (IPsec) の事前共有鍵の設定

/etc/ipsec.secrets (root:root 600) を設定します。

192.168.1.2 %any: PSK "PRESHAREDKEY"

※「PRESHAREDKEY」の内容は任意のものに変更する必要があります。
※ここでも、サーバの IPv4 アドレスの指定が必要です。

・openswan (IPsec) の再起動

# /etc/init.d/ipsec restart

・確認

openswan (IPsec) が動作できるように設定されているか確認を行います。

# ipsec verify
Version check and ipsec on-path                             	[OK]
Linux Openswan U2.6.28/K2.6.32-5-powerpc (netkey)
Checking for IPsec support in kernel                        	[OK]
Hardware RNG detected, testing if used properly             	[FAILED]

  Hardware RNG is present but 'rngd' or 'clrngd' is not running.
  No harware random used!

NETKEY detected, testing for disabled ICMP send_redirects   	[OK]
NETKEY detected, testing for disabled ICMP accept_redirects 	[OK]
Checking that pluto is running                              	[OK]
Pluto listening for IKE on udp 500                          	[OK]
Pluto listening for NAT-T on udp 4500                       	[OK]
Two or more interfaces found, checking IP forwarding        	[OK]
Checking NAT and MASQUERADEing                              	[OK]
Checking for 'ip' command                                   	[OK]
Checking for 'iptables' command                             	[OK]
Opportunistic Encryption Support                            	[DISABLED]

※私の環境では「Hardware RNG detected, testing if used properly」が「FAILED」表示となりましたが、特に問題なく暗号化通信が出来ています。

・xl2tpd の設定

/etc/xl2tpd/xl2tpd.conf を設定します。

[global]

[lns default]
ip range = 192.168.1.201 - 192.168.1.210	; VPN クライアントに割り当てる IPv4 アドレスの範囲
local ip = 192.168.1.2						; 自サーバの IPv4 アドレス
length bit = yes
refuse chap = yes
require authentication = yes
name = l2tp
pppoptfile = /etc/ppp/l2tpd-options

・ppp の設定

/etc/ppp/l2tpd-options を設定します。

name l2tp	# /etc/xl2tpd/xl2tpd.conf で設定した name と合わせる
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
ms-dns 192.168.1.1	# DNS サーバの IPv4 アドレス
proxyarp
nodefaultroute
lock
nobsdcomp 
mtu 1280
mru 1280

・xl2tpd の認証ファイルの設定

xl2tpd で接続する際の、アカウント情報を設定します。
/etc/ppp/chap-secrets (root:root 600) のファイルを設定します。

# client	server	secret		IP addresses
testuser	l2tp	"password"	*

※上記の例では、L2TP のアカウント「testuser」、パスワード「password」で設定しています。

・xl2tpd の再起動

# /etc/init.d/xl2tpd restart

基本的に、これで通信が可能になっています。

・サーバ再起動時に Openswan IPsec を自動起動する

# insserv ipsec

以前までは update-rc.d で出来ていたのですが、

# update-rc.d ipsec start 90 2 3 4 5 . stop 1 0 1 6 .
update-rc.d: using dependency based boot sequencing

とか出たので、検索したら、insserv を使うようです。

■参考にさせて頂いたサイト

下記のサイトを参考にさせて頂きました。ありがとうございます。

■その他

上記の設定については、一応、tcpdump 等で暗号化されていることは確認しましたが、とりあえず動いた程度で見て頂けるようにお願いします。

IPsec は今まで何度もチャレンジしていて、その都度挫折していたのですが、今回、設定が出来てまずは良かったと思います。L2TP / IPsec がややこしいのは、複数のプロトコルを組み合わせて、VPN を実現しているところにあるし、結果としてやたら慣れていない設定項目が多くなってしまうからかなぁ、と言うのが印象です。

あとは、Debian GNU/Linux 6.0 の起動用のシンボリックリンクの張り方が変わっていたりして、こちらも勉強になりました。

参考にさせて頂いたサイトの情報がなければ、設定できなかったと思います。ありがとうございます。

間違いなどがあればコメント等を頂けると嬉しいです。

■追記

Layer 2 Tunneling Protocol – Wikipedia」にもあるとおり、L2TP で使用する UDP/1701 は IPsec トンネルの中を通るので、ルータで通す必要が無い。

さらに、IPsec で NAT 越えする場合は、NAT traversal となるが、この場合も esp が UDP/4500 にカプセル化されるため、ルータ側で esp を通す必要は無い。

「ike=aes-sha1;modp3072」が IKEv2 、「phase2alg=aes-sha1;modp3072」が ESP の暗号強度にかかわっているパラメータのようだ。

VPS 上 (単一のグローバル IPv4 を持っているサーバ) に対して、サーバ内で NAPT する例を「Debian GNU/Linux で L2TP / IPSec を使用する VPN サーバを設定する (サーバ側で NAPT する場合)」として別記事に追加した。