1. ホーム
  2. 設定例
  3. 仮想ルーター
  4. AWSを利用
  5. L2TP/IPsecを使用したAWSへのリモートアクセス

L2TP/IPsecを使用したAWSへのリモートアクセス

管理番号:YMHRT-20670 
(最終更新日: 2023/7/12)

本設定例では、L2TP/IPsecトンネル機能を使用しています。

L2TP/IPsecトンネル機能の対応機種は、RTX5000(Rev.14.00.12以降)、RTX3510RTX3500(Rev.14.00.12以降)、RTX1300RTX1210RTX1200(Rev.10.01.59以降)、RTX830RTX810(Rev.11.01.21以降)、NVR700WNVR510(Rev.15.01.03以降)、NVR500(Rev.11.00.38以降)、FWX120(Rev.11.03.08以降)、vRXです。

構成図

L2TPクライアントからvRX配下のプライベートネットワークへ、L2TP/IPsecトンネルで接続する構成です。
本設定例では、CloudFormation(クラウドフォーメーション)のテンプレートを利用して、AWSリソースを自動構築する方法をご紹介します。
L2TPクライアントとして、ノートPC、スマートフォン(iOSおよびAndroid)の設定方法を掲載しています。ノートPCでは、安全なリモートアクセスを実現するために、VPNクライアントソフトウェア「YMS-VPN8ソフトウェアライセンス版」を利用します。

本設定例をご利用の際は、事前に、AWSアカウントを取得しておく必要があります。AWSマネジメントコンソールにアクセスできる環境が整っていれば、誰でも簡単にvRXの運用を開始できます。
AWSアカウントの作成方法は、AWSアカウント作成の流れ をご参照ください。その他、Amazon VPCに関する情報および設定方法については、アマゾン ウェブ サービス(AWS)にお問い合わせください。
※AWSは、米国その他の諸国における、Amazon.com, Inc. の商標です。

本設定例のCloudFormationのテンプレートでは、以下のセットアップを行います。
   ・vRX環境用のVPCの作成
   ・サブネット(LAN1、LAN2)の作成
   ・ルートテーブルの作成
   ・インターネットゲートウェイの作成
   ・セキュリティーグループの作成
   ・EC2インスタンスの作成
   ・Elastic IPの作成、EC2インスタンスに関連付け
※テンプレートの形式バージョンは「2010-09-09」です。最新の形式バージョンは、CloudFormation ユーザーガイドでご確認ください。

本機能の対応機種のうち、設定例を掲載している機種は、以下のとおりです。

機種 掲載内容 備考
AWS vRX 設定例
テンプレート		  
L2TPクライアント ノートPC (YMS-VPN8ソフトウェアライセンス版) 設定例  
スマートフォン(タブレット) 設定例  

AWS 仮想ルーターvRX

下記の設定(Config)を取り出すことができます。

設定の概要

以下の手順で設定を行います。

  • キーペアの作成:SSHを使用してvRXへ接続するときに使用する、キーペアを作成します。すでにキーペアをお持ちの場合、新しいキーペアの作成は不要です。
  • AWSリソースの構築:CloudFormationテンプレートでAWSリソースを自動構築します。
  • AWSリソースの確認:vRXに払い出された、IPアドレスを確認します。
  • L2TPクライアントの追加:L2TPクライアント(ユーザー)を追加するために、L2TP/IPsecトンネルを設定します。

キーペアの作成

1. AWSにログインします。

図 説明画像

2.「EC2」をクリックします。

図 説明画像

3.「キーペア」をクリックします。

図 説明画像

4.「キーペアを作成」をクリックします。

図 説明画像

5. キーペアの情報を入力して、「キーペアを作成」をクリックします。

名前 任意の名前
ファイル形式 「pem」を選択
図 説明画像

6. キーペア(プライベートキー)が作成されました。

図 説明画像

7. プライベートキーファイルを、任意の場所に保存します。
   ※プライベートキーファイルは、SSHを使用してvRXへ接続するときに使用します。大切に保管しておいてください。

図 説明画像

AWSリソースの構築

1. CloudFormationテンプレートファイル をダウンロードします。

2.「AWS」をクリックして、トップページに戻ります。

図 説明画像

3.「CloudFormation」をクリックします。

図 説明画像

4.「スタックの作成」をクリックします。

図 説明画像

5.「新しいリソースを使用(標準)」をクリックします。

図 説明画像

6.「テンプレートファイルのアップロード」を選択します。

図 説明画像

7.「ファイルの選択」をクリックします。

図 説明画像

8. 手順1 でダウンロードした CloudFormationテンプレートファイルを選択して、「開く」をクリックします。

図 説明画像

9. ファイル名を確認して、「次へ」をクリックします。

図 説明画像

10. スタックの詳細を入力して、「次へ」をクリックします。

スタックの名前 任意の名前
VPC Network Address Class Amazon VPCで使用するネットワークアドレスを指定
   ClassA:10.0.0.0/16
   ClassB:172.16.0.0/16
   ClassC:192.168.0.0/16
EC2 Key Pair いずれかのEC2キーペアを指定
  - キーペアの作成で作成したEC2キーペア
  - すでにお持ちのEC2キーペア
License User Name vRXのユーザーID
License Password vRXのユーザーパスワード
vRX Basic License vRX 基本ライセンス
vRX Option License vRX VPNオプションライセンス
PPP Auth User Name PPP認証のユーザー名
  - ノートPCの場合
     L2TPクライアント ノートPC「ユーザー名」の設定と設定を合わせます。
  - iOS端末の場合
     L2TPクライアント iOS「アカウント」の設定と設定を合わせます。
  - Android端末の場合
     L2TPクライアント Android「ユーザー名」の設定と設定を合わせます。
PPP Auth Password PPP認証のパスワード
  - ノートPCの場合
     L2TPクライアント ノートPC「パスワード」の設定と設定を合わせます。
  - iOS端末の場合
     L2TPクライアント iOS「パスワード」の設定と設定を合わせます。
  - Android端末の場合
     L2TPクライアント Android「パスワード」の設定と設定を合わせます。
Pre-Shared Key L2TPクライアントとの事前共有鍵
  - ノートPCの場合
     L2TPクライアント ノートPC「事前共有鍵」の設定と設定を合わせます。
  - iOS端末の場合
     L2TPクライアント iOS「シークレット」の設定と設定を合わせます。
  - Android端末の場合
     L2TPクライアント Android「IPsec事前共有鍵の設定」の設定と設定を合わせます。
図 説明画像

11.「次へ」をクリックします。

図 説明画像

12. 設定内容を確認して問題がなければ、「スタックの作成」をクリックします。

図 説明画像

13. スタックのステータスを確認します。「CREATE_IN_PROGRESS」が「CREATE_COMPLETE」と表示されるまで、数分間待ちます。

図 説明画像

14.「CREATE_COMPLETE」と表示されました。以上で、CloudFormationテンプレートによるAWSリソースの構築は完了です。

図 説明画像

AWSリソースの確認

1.「リソース」タブをクリックします。

図 説明画像

2. リソースの構築状況を確認します。
   すべてのリソースのステータスが「CREATE_COMPLETE」であれば、利用可能な状態です。リソースの構築に失敗した場合は、空欄になります。

図 説明画像

3. ElasticIPを確認します。
   ElasticIPは、L2TPクライアントを設定するときや、SSHを使用してvRXへ接続するときに利用しますので、ひかえておいてください。

図 説明画像

L2TPクライアントの追加

1. SSHを使用して、vRXに接続します。
   vRXに接続する手順は、vRX ユーザーガイド「SSHを使用して本製品へ接続する」でご確認ください。

図 説明画像

2. 以下を参考に、必要な数のL2TPクライアント(L2TP/IPsecトンネル)を追加します。

pp select anonymous
pp bind tunnel1-tunnel3
pp auth username user2 pass2
pp auth username user3 pass3

tunnel select 2
 tunnel encapsulation l2tp
 ipsec tunnel 2
  ipsec sa policy 2 2 esp aes-cbc sha-hmac
  ipsec ike keepalive use 2 off
  ipsec ike nat-traversal 2 on
  ipsec ike pre-shared-key 2 text password
  ipsec ike remote address 2 any
 l2tp tunnel disconnect time off
 l2tp syslog on
 ip tunnel tcp mss limit auto
 tunnel enable 2
tunnel select 3
 tunnel encapsulation l2tp
 ipsec tunnel 3
  ipsec sa policy 3 3 esp aes-cbc sha-hmac
  ipsec ike keepalive use 3 off
  ipsec ike nat-traversal 3 on
  ipsec ike pre-shared-key 3 text password
  ipsec ike remote address 3 any
 l2tp tunnel disconnect time off
 l2tp syslog on
 ip tunnel tcp mss limit auto
 tunnel enable 3

ipsec transport 2 2 udp 1701
ipsec transport 3 3 udp 1701
・L2TPクライアント(L2TP/IPsecトンネル)を、2本追加する設定です。必要に応じて、トンネルの数を増やしてください。
   コマンドの詳細は、vRX コマンドリファレンス をご覧ください。
・現在の設定(Config)は、「show config」でご確認いただけます。

L2TPクライアント ノートPC

YMS-VPN8ソフトウェアライセンス版

以下を参考に、「ヤマハVPNクライアント 接続設定」を行います。

図 説明画像
事前共有鍵
事前共有鍵(再入力)		 vRX「AWSリソースの構築 手順10」の Pre-Shared Key の設定と合わせます。
IPアドレス vRX「AWSリソースの確認 手順3」で確認した ElasticIP と合わせます。
インターネット接続 L2TPクライアントからインターネットに接続するための経路を選択します。
  チェックON : VPN経由で接続
  チェックOFF : 直接接続
ユーザー名 vRX「AWSリソースの構築 手順10」の PPP Auth User Name の設定と合わせます。
パスワード vRX「AWSリソースの構築 手順10」の PPP Auth Password の設定と合わせます。

L2TPクライアント スマートフォン(タブレット)

iOS

設定例:iOSからリモートアクセスする を参考に、VPNの設定をします。
このとき、「L2TP」の設定は、以下の情報を入力してください。

図 説明画像
説明 任意の名前を設定します。
サーバ vRX「AWSリソースの確認 手順3」で確認した ElasticIP と合わせます。
アカウント vRX「AWSリソースの構築 手順10」の PPP Auth User Name の設定と合わせます。
パスワード vRX「AWSリソースの構築 手順10」の PPP Auth Password の設定と合わせます。
シークレット vRX「AWSリソースの構築 手順10」の Pre-Shared Key の設定と合わせます。

Android

設定例:Androidからリモートアクセスする を参考に、VPNの設定をします。
このとき、「L2TP/IPsec PSK」の設定は、以下の情報を入力してください。

図 説明画像
名前 任意の名前を設定します。
サーバーアドレス vRX「AWSリソースの確認 手順3」で確認した ElasticIP と合わせます。
IPsec事前共有鍵 vRX「AWSリソースの構築 手順10」の Pre-Shared Key の設定と合わせます。

「ユーザー名」と「パスワード」の設定は、以下の情報を入力してください。

図 説明画像
ユーザー名 vRX「AWSリソースの構築 手順10」の PPP Auth User Name の設定と合わせます。
パスワード vRX「AWSリソースの構築 手順10」の PPP Auth Password の設定と合わせます。

接続状態の確認

本設定例では、SSHでvRXに接続して、接続状態を確認します。
vRXに接続する手順は、vRX ユーザーガイド「SSHを使用して本製品へ接続する」でご確認ください。

・「show status l2tp」コマンドで、L2TPの接続状態を確認できます。

[コンソール] 
# show status l2tp
------------------- L2TP INFORMATION -------------------
L2TP情報テーブル
  L2TPトンネル数: 1, L2TPセッション数: 1
TUNNEL[1]:
  トンネルの状態: established
  バージョン: L2TPv2
  自機側トンネルID: 63927
  相手側トンネルID: 57071
  自機側IPアドレス: 172.16.2.254
  相手側IPアドレス: xxx.xxx.xxx.xxx
  自機側送信元ポート: 1701
  相手側送信元ポート: 39941
  PPインタフェース: PP[ANONYMOUS01]
  ベンダ名:
  ホスト名: anonymous
  Next Transmit sequence(Ns): 3
  Next Receive sequence(Nr) : 4
  トンネル内のセッション数: 1 session
  セッション情報:
    セッションの状態: established
    自機側セッションID: 11778
    相手側セッションID: 34128
    通信時間: 16秒
    受信: 53 パケット [2438 オクテット]
    送信: 18 パケット [1093 オクテット]
#
[解説]
L2TP の接続状態が表示されます。
コマンドの詳細は、L2TPの状態の表示 をご覧ください。

・「show status license vrx」コマンドで、vRXのライセンス情報を確認できます。

[コンソール] 
# show status license vrx
ユーザーID:            vrx_user
インスタンスID:        12345678
基本ライセンス:
    =========================================================
     品番                  速度      有効期限
    ---------------------------------------------------------
    *vRX-TR-B1             10G       2020/01/06 - 2020/01/25
オプションライセンス:
    vRX-TR-V1
#
[解説]
ライセンスの品番、状態、有効期限が表示されます。本設定例は、トライアルライセンスの表示になっています。
コマンドの詳細は、ライセンス情報の表示 をご覧ください。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

メール

ご相談・お問い合わせ