VPN(L2TP/IPsec)接続ができない

管理番号:YMHRT-17487

このトラブルシューティングの対応機種は、RTX5000RTX3500RTX1210RTX1200RTX830RTX810NVR700WNVR510です。

設定例はこちら

インデックス

症状     切り分け手順     状態確認方法     トラブル原因と対処方法

症状:VPN(L2TP)接続ができない

ここでは、スマートフォンやYMS-VPN8(以降、L2TPクライアント) からリモートアクセスができないケースでのトラブルシューティングを提供します。

以下の前提で説明します。
・RTX1210の、Web GUI を用いた設定値、および出力結果をベースに説明します。
・L2TPクライアントは、以下の画面をベースに説明します。
 - iOS 10.3.3
 - YMS-VPN8 ソフトウェアライセンス版

ルーターLAN1 IPアドレス 192.168.100.1
ルーターWAN(PP[01]) IPアドレス 203.0.113.1

切り分け手順:通信状況を以下の手順で確認し、問題の切り分け作業を行います。

1-1 から順に確認してください。

1-1

VPN接続できないL2TPクライアントは、インターネットへのアクセスはできますか?
Google、Yahoo などに接続できるか確認してください。

アクセスできない場合は
L2TPクライアントが、インターネット接続に失敗しています。

以下を参考に、設定を確認してください。
  • スマートフォンをご利用の場合は、
    モバイルデータ通信をONにしてください。
  • インターネット接続で、ヤマハ製 ルーターをご利用の場合は、
    こちらを参考に、ルーターの設定を確認してください。
  • WiFi接続で、ヤマハ製 無線LANアクセスポイントをご利用の場合は、
    こちらを参考に、無線LANアクセスポイントの設定を確認してください。

1-2

VPN接続できないL2TPクライアントの、設定内容が正しいことを確認しましたか?

設定内容を確認していない場合は、
L2TPクライアントの設定を確認します。対処方法(3-1)へ進んでください。

上記(1-1)~(1-2)の対処で、症状が解決しない場合は、
ルーターの設定を確認します。対処方法(3-2)から順に、対処方法(3-6)まで進んでください。

状態確認方法

この項目では、正常に接続できている状態の確認方法を紹介します。
トラブル発生時の状態と比較することで、問題解決の助けとなります。

2-1 L2TPクライアントの接続状態を確認する

L2TPクライアントの操作画面で、接続状態の表示を確認します。

iOSの場合
YMS-VPN8の場合

2-2 ルーターでプロバイダーとの接続状態を確認する

ルーターの"show status pp 1"コマンドを実行し、内容を確認します。

[正常時]
# show status pp 1
PP[01]:
説明: provider1
PPPoEセッションは接続されています
接続相手:
通信時間: 1分27秒
受信: 154 パケット [16328 オクテット]  負荷: 0.0%
送信: 162 パケット [22667 オクテット]  負荷: 0.0%
PPPオプション
  LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU
  IPCP Local: IP-Address Primary-DNS(203.0.113.31) Secondary-DNS(203.0.113.32), Remote: IP-Address
  PP IP Address Local: 203.0.113.1, Remote: 203.0.113.10
  CCP: None

[解説]
接続に成功し"PPPoEセッションは接続されています"と表示されています。

2-3 ルーターでトンネルの接続状態を確認する

ルーターの"show status pp anonymous"コマンドおよび"show status l2tp"コマンドを実行し、経路情報を確認します。

[正常時]
# show status pp anonymous
ANONYMOUS[01]:
L2TPセッションは接続されています
接続相手: iPhone
通信時間: 1分10秒
受信: 13 パケット [278 オクテット]
送信: 14 パケット [397 オクテット]
累積時間: 12分3秒
PPPオプション
    LCP Local: MSCHAP-V2 Magic-Number MRU, Remote: Magic-Number
    IPCP Local: IP-Address, Remote: IP-Address Primary-DNS(192.168.100.1)
    PP IP Address Local: 192.168.100.1, Remote: 192.168.100.2
    IPV6CP Local: Interface-ID, Remote: Interface-ID
    PP Interface-ID Local: 02a0defffef528d6, Remote: a4687629e7c67946
    CCP: None
受けとったUserId: user1

# show status l2tp
------------------- L2TP INFORMATION -------------------
L2TP情報テーブル
  L2TPトンネル数: 3, L2TPセッション数: 3
TUNNEL[1]:
  トンネルの状態: established
  バージョン: L2TPv2
  自機側トンネルID: 48886
  相手側トンネルID: 1
  自機側IPアドレス: 192.168.100.1
  相手側IPアドレス: (L2TPクライアントのIPアドレス)
  自機側送信元ポート: 1701
  相手側送信元ポート: 53255
  PPインタフェース: PP[ANONYMOUS01]
  ベンダ名:
  ホスト名: iPhone
  Next Transmit sequence(Ns): 10
  Next Receive sequence(Nr) : 4
  トンネル内のセッション数: 1 session
  セッション情報:
    セッションの状態: established
    自機側セッションID: 31874
    相手側セッションID: 10961
    通信時間: 1分23秒
    受信: 14 パケット [290 オクテット]
    送信: 15 パケット [417 オクテット]

[解説]
3台のL2TPクライアントとの接続に成功し、以下のように表示されています。
"L2TPセッションは接続されています"
"トンネルの状態: established"

2-4 ルーターでNATディスクリプターの状態を確認する

ルーターの"show nat descriptor address"コマンドを実行し、内容を確認します。

[正常時]
# show nat descriptor address
NAT/IPマスカレード 動作タイプ : 2
参照NATディスクリプタ : 1000, 適用インタフェース : PP[01](1)
Masqueradeテーブル
    外側アドレス: ipcp/203.0.113.1
    ポート範囲: 60000-64095, 49152-59999, 44096-49151   6 セッション
プロトコル      内側アドレス                  宛先   マスカレード    種別
   UDP    192.168.100.1.4500             *.*.*.*.*         4500       static --- (*1)
   ESP       192.168.100.1.*             *.*.*.*.*            *       static --- (*2)
   UDP     192.168.100.1.500             *.*.*.*.*          500       static --- (*3)
  -*-    -*-    -*-    -*-    -*-    -*-    -*-    -*-    -*-    -*-    -*-
      No.       内側アドレス    セッション数  ホスト毎制限数         種別
       1       192.168.100.2               3           65534         dynamic
---------------------
有効なNATディスクリプタテーブルが1個ありました

[解説]
(*1) UDP 4500番ポートをLAN1側に通すための静的IPマスカレードです。
(*2) ESPをLAN1側に通すための静的IPマスカレードです。
(*3) UDP 500番ポートをLAN1側に通すための静的IPマスカレードです。

2-5 経路情報を確認する

ルーターの"show ip route"コマンドを実行し、経路情報を確認します。

[正常時]
# show ip route
宛先ネットワーク    ゲートウェイ     インタフェース  種別  付加情報
default             -                    PP[01]      static ------ (*1)
192.168.100.0/24    192.168.100.1          LAN1      implicit
192.168.100.2/32    -                PP[ANONYMOUS01] temporary --- (*2)
203.0.113.10/32     -                    PP[01]      temporary
203.0.113.31/32     -                    PP[01]      temporary
203.0.113.32/32     -                    PP[01]      temporary

[解説]
(*1) "default"は、"ip route default gateway pp 1"コマンドで設定された静的経路です。
        インターネットに接続するためには、"default"経路が必要です。
(*2) "192.168.100.2/32"は、ルーターがL2TPクライアントに割り当てたIPアドレスです。

2-6 ルーターでデバッグログを確認する

あらかじめルーターに"syslog debug on"を設定しておきます。
その後、ルーターで"show log"コマンドを実行すると以下のようなログが表示されます。

[VPN接続成功時ログの例]
# show log
2018/10/22 14:43:27: [IKE] respond ISAKMP phase to (L2TPクライアントのIPアドレス)
2018/10/22 14:43:27: [IKE] add ISAKMP context [15] 8d5d72caede710fc 00000000
2018/10/22 14:43:27: [IKE] add ISAKMP SA[1] (gateway[1])
2018/10/22 14:43:27: [IKE] activate ISAKMP socket[1]
2018/10/22 14:43:27: [IKE] SPI 8d5d72caede710fc630c5736b6d7394c
2018/10/22 14:43:27: [IKE] initial contact : no message
2018/10/22 14:43:27: [IKE] respond IPsec phase to (L2TPクライアントのIPアドレス)
2018/10/22 14:43:27: [IKE] add IPsec context [17] 8d5d72caede710fc e03e5d3e
2018/10/22 14:43:27: [IKE] setup IPsec SAs (gateway[1], ISAKMP SA[1])
2018/10/22 14:43:27: [IKE] add IPsec SA[2]
2018/10/22 14:43:27: [IKE] add IPsec SA[3]
2018/10/22 14:43:27: [IKE] activate IPsec socket[transport:1](inbound)
2018/10/22 14:43:27: [IKE] activate IPsec socket[transport:1](outbound)
2018/10/22 14:43:27: IP Tunnel[1] Up
2018/10/22 14:43:29: [IKE] IPsec socket[transport:1] is refered
2018/10/22 14:43:29: [L2TP] TUNNEL[1] connected from (L2TPクライアントのIPアドレス)
2018/10/22 14:43:29: [L2TP] TUNNEL[1] tunnel 50174 established
2018/10/22 14:43:29: [L2TP] TUNNEL[1] session 17441 established

[解説]
"IP Tunnel[1] Up"が表示され、VPN接続が成功していることが分かります。
また、"[L2TP] TUNNEL[1] tunnel xxxxx established"が表示され、L2TPのトンネル確立が成功していることが分かります。

2-7 ルーターでSA情報を確認する

ルーターの"show ipsec sa"コマンドと"show ipsec sa gateway 1 detail"コマンドを実行し、SA情報を確認します。

[正常時]
# show ipsec sa
Total: isakmp:1 send:1 recv:1

sa    sgw isakmp connection    dir  life[s] remote-id
----------------------------------------------------------------------------
1     1    -     isakmp        -    28398   (L2TPクライアントのIPアドレス)
2     1    1     tra[0001]esp  send 28398   (L2TPクライアントのIPアドレス)
3     1    1     tra[0001]esp  recv 28398   (L2TPクライアントのIPアドレス)

# show ipsec sa gateway 1 detail
SA[1] 寿命: 28389秒
自分側の識別子: 192.168.100.1
相手側の識別子: (L2TPクライアントのIPアドレス)
プロトコル: IKE
アルゴリズム: AES256-CBC, SHA2-256, MODP 1024bit
NATトラバーサル: あり, キープアライブ: なし
SPI: df e0 bc 9f 7b 7e ef 2c 23 bb c7 fa 44 2f 98 58
鍵 : 22 d3 00 cd 18 fc 0d 9b
----------------------------------------------------
SA[2] 寿命: 28389秒
自分側の識別子: 192.168.100.1
相手側の識別子: (L2TPクライアントのIPアドレス)
送受信方向: 送信
プロトコル: ESP (モード: transport)
アルゴリズム: AES-CBC (認証: HMAC-SHA)
SPI: 06 e6 f6 18
鍵 : b8 d0 95 f9 ce 5d 7d d4 47 82 a8 13 f1 0b b0 dc
----------------------------------------------------
SA[3] 寿命: 28389秒
自分側の識別子: 192.168.100.1
相手側の識別子: (L2TPクライアントのIPアドレス)
送受信方向: 受信
プロトコル: ESP (モード: transport)
アルゴリズム: AES-CBC (認証: HMAC-SHA)
SPI: 3d ad 83 97
鍵 : 43 0b e2 ab 17 14 22 c4 b4 5f c7 5a a4 00 d1 23
----------------------------------------------------

トラブル原因と対処方法

この項目では、各トラブル発生時の状態と、原因およびその解決方法を紹介します。
正常時の状態と比較することで、問題解決の助けとなります。

3-1 L2TPクライアントの設定間違いによるVPN接続失敗

このケースは、ルーターとL2TPクライアントとで、L2TP/Ipsecの設定内容がかみ合っていない場合のVPN接続失敗事例です。

対処方法
以下のように、L2TPクライアントの設定がされていることを確認してください。

iOSの場合
タイプ L2TP
説明 任意 (L2TPクライアントの名前)
サーバ ルーターのWAN側IPアドレス
または、ネットボランチDNSサービスで取得したホストアドレス
アカウント ルーターに設定した、PPP認証用ユーザーID
RSA SecurID オフ
パスワード ルーターに設定した、PPP認証用パスワード
シークレット ルーターに設定した、IPsecの事前共有鍵
すべての信号を送信 オン
プロキシ オフ
YMS-VPN8の場合
設定名 任意 (L2TPクライアントの名前)
事前共有鍵 ルーターに設定した、IPsecの事前共有鍵
事前共有鍵(再入力) ルーターに設定した、IPsecの事前共有鍵
接続先 IPアドレスで指定
または、
ホスト名で指定
IPアドレス(接続先を「IPアドレスで指定」に設定した場合)
または、
ホスト名(接続先を「ホスト名で指定」に設定した場合)
ルーターのWAN側IPアドレス
または、
ネットボランチDNSサービスで取得したホストアドレス
認証方式 MS-CHAP v2
ユーザー名 ルーターに設定した、PPP認証用ユーザーID
パスワード ルーターに設定した、PPP認証用パスワード

3-2 PPフィルターの設定間違いによるVPN接続失敗

このケースは、静的フィルターの設定間違いによるVPN接続失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。

ログの確認
※ ログ採取の前にルーターに"syslog notice on"を設定しておきます。
#show log
2018/10/25 15:46:15: PP[01] Rejected at IN(default) filter: UDP (L2TPクライアントのIPアドレス:ポート番号)
 > 192.168.100.1:500
2018/10/25 15:46:26: same message repeated 3 times
2018/10/25 15:46:27: PP[01] Rejected at IN(default) filter: UDP (L2TPクライアントのIPアドレス:ポート番号)
 > 192.168.100.1:500
2018/10/25 15:46:32: same message repeated 1 times
2018/10/25 15:46:33: PP[01] Rejected at IN(default) filter: UDP (L2TPクライアントのIPアドレス:ポート番号)
 > 192.168.100.1:500
2018/10/25 15:46:45: same message repeated 3 times

[解説]
ルーターのLAN1宛てのパケットが、PP1 IN方向の静的フィルター(default)で破棄されています。

対処方法
静的フィルターを正しく設定してください。

pp select 1
ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200100 200101 200102 200103
ip filter 200100 pass * 192.168.100.1 udp * 500
ip filter 200101 pass * 192.168.100.1 esp * *
ip filter 200102 pass * 192.168.100.1 udp * 4500
ip filter 200103 pass * 192.168.100.1 udp * 1701

3-3 NATディスクリプターの設定間違いによるVPN接続失敗

このケースは、NATディスクリプターの設定間違いによるVPN接続失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。

ケース1 静的IPマスカレードが設定されていない
NATディスクリプターのアドレスマップ確認
# show nat descriptor address detail
NAT/IPマスカレード 動作タイプ : 2
参照NATディスクリプタ : 1000, 適用インタフェース : PP[01](1)
Masqueradeテーブル
    外側アドレス: ipcp/203.0.113.1
    ポート範囲: 60000-64095, 49152-59999, 44096-49151
プロトコル      内側アドレス                  宛先   マスカレード    TTL(秒)
---------------------
有効なNATディスクリプタテーブルが1個ありました

[解説]
VPN接続するための静的IPマスカレードが設定されていません。
参考:正常時状態

対処方法
以下のように、静的IPマスカレードが設定されているか確認してください。

nat descriptor masquerade static 1000 1 192.168.100.1 udp 500
nat descriptor masquerade static 1000 2 192.168.100.1 esp
nat descriptor masquerade static 1000 3 192.168.100.1 udp 4500

ケース2 NATディスクリプターが有効になっていない
ログの確認
※ ログ採取の前にルーターに"syslog notice on"を設定しておきます。
# show log 
   :
2018/10/25 17:54:18: PP[01] Rejected at IN(default) filter: UDP (L2TPクライアントのIPアドレス):500
 > 203.0.113.1:500
   :

[解説]
ルーターのグローバルIPアドレス宛てのパケットが、静的フィルターで破棄されています。

対処方法
以下のように、静的IPマスカレードが設定されているか確認してください。

pp select 1
ip pp nat descriptor 1000
nat descriptor type 1000 masquerade

ケース3 NATトラバーサルが有効になっていない
ログの確認
# show log
2018/10/29 17:32:24: [IKE] respond ISAKMP phase to (L2TPクライアントのIPアドレス)
2018/10/29 17:32:24: [IKE] respond IPsec phase to (L2TPクライアントのIPアドレス)
2018/10/29 17:32:24: IP Tunnel[1] Up
2018/10/29 17:32:24: [L2TP] TUNNEL[1] connected from (L2TPクライアントのIPアドレス)
2018/10/29 17:32:55: [L2TP] TUNNEL[1] state timer for waiting SCCCN expired
2018/10/29 17:32:55: [IKE] initiate informational exchange (delete)
2018/10/29 17:32:55: same message repeated 1 times
2018/10/29 17:32:55: IP Tunnel[1] Down

[解説]
L2TPトンネルを確立するためのメッセージ「SCCCN」のやりとりが、時間切れで失敗しています。
ESPの通信に、何らかの不具合が発生している可能性があります。
原因としては、たとえば以下が考えられます。

・L2TPクライアントとルーターとの通信経路上で、NAT変換が行われている

対処方法
以下のように、NATトラバーサルをONに設定してください。
※必要に応じて、tunnel2 以降についても、同様に対処してください。

tunnel select 1
ipsec ike nat-traversal 1 on

3-4 キープアライブの設定によるVPN接続失敗

このケースは、キープアライブが設定されたルーターに対して、キープアライブに対応していないL2TPクライアントで接続した場合のVPN接続失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。

ケース1 IKEキープアライブの設定によるVPN切断
ログの確認
※ ログ採取の前にルーターに"syslog debug on"を設定しておきます。
# show log
2018/10/30 14:17:36: [IKE] respond ISAKMP phase to (L2TPクライアントのIPアドレス)
2018/10/30 14:17:38: [IKE] respond IPsec phase to (L2TPクライアントのIPアドレス)
2018/10/30 14:17:38: IP Tunnel[1] Up
2018/10/30 14:17:39: [L2TP] TUNNEL[1] connected from (L2TPクライアントのIPアドレス)
2018/10/30 14:17:39: [L2TP] TUNNEL[1] tunnel 17849 established
2018/10/30 14:17:39: [L2TP] TUNNEL[1] session 5215 established
   :
2018/10/30 14:18:38: [IKE] heartbeat: dead peer detection SA[1] (L2TPクライアントのIPアドレス)
2018/10/30 14:18:39: [IKE] initiate informational exchange (delete)
2018/10/30 14:18:39: same message repeated 1 times
2018/10/30 14:18:39: IP Tunnel[1] Down

[解説]
ログに"IP Tunnel[1] up"が表示されていることから、いったんはVPN接続に成功しています。
しかし、L2TPクライアントからの通信がない状態で一定時間が経過すると、ログに"IP Tunnel[1] down"が表示され、VPN接続が切断されています。
原因としては、以下が考えられます。

・L2TPクライアントが、IKEキープアライブに対応していない
・L2TPクライアントが、ルーターが使用しているIKEキープアライブ方式(*) に、対応していない

(*) "ipsec ike keepalive use" コマンドでキープアライブの方式を省略した場合、ヤマハルーターの独自仕様である heartbeat を使用します。
スマートフォンなどに搭載されたL2TPクライアントは、heartbeat に対応していません。

対処方法
IKEキープアライブをOFFにするための設定を追加してください。
※必要に応じて、tunnel2 以降についても、同様に対処してください。

tunnel select 1
ipsec ike keepalive use 1 off

または、L2TPクライアントとして、IKEキープアライブに対応している端末を使用してください。
ケース2 L2TPキープアライブの設定によるVPN切断
ログの確認
# show log
2018/10/31 14:40:09: [IKE] respond ISAKMP phase to (L2TPクライアントのIPアドレス)
2018/10/31 14:40:11: [IKE] respond IPsec phase to (L2TPクライアントのIPアドレス)
2018/10/31 14:40:11: IP Tunnel[1] Up
2018/10/31 14:40:11: [L2TP] TUNNEL[1] connected from (L2TPクライアントのIPアドレス)
2018/10/31 14:40:11: [L2TP] TUNNEL[1] tunnel 49629 established
2018/10/31 14:40:11: [L2TP] TUNNEL[1] session 44259 established
   :
2018/10/31 14:41:51: TUNNEL[1] STATUS LED is ON
2018/10/31 14:41:51: [L2TP] TUNNEL[1] keepalive timer expired tunnel 49629
   :
2018/10/31 14:42:22: IP Tunnel[1] Down

[解説]
ログに"IP Tunnel[1] up"が表示されていることから、いったんはVPN接続に成功しています。
しかし、L2TPクライアントからの通信がない状態で一定時間が経過すると、ログに"IP Tunnel[1] down"が表示され、VPN接続が切断されています。
原因としては、以下が考えられます。

・L2TPクライアントが、L2TPキープアライブに対応していない

対処方法
L2TPキープアライブをOFFにするための設定を追加してください。
※必要に応じて、tunnel2 以降についても、同様に対処してください。

tunnel select 1
l2tp keepalive use off

または、L2TPクライアントとして、L2TPキープアライブに対応している端末を使用してください。

3-5 使用できるトンネルがない場合のVPN接続失敗

このケースは、L2TPクライアントがVPN接続を試みたときに、使用できるトンネルがないことによるVPN接続失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。

ログの確認
※ ログ採取の前にルーターに"syslog debug on"を設定しておきます。
# show log
2018/10/31 15:22:19: [IKE] receive message from unknown gateway (L2TPクライアントのIPアドレス)

[解説]
L2TPクライアントはVPN接続を試みましたが、使用できるトンネルがありません。
原因としては、以下が考えられます。

・ルーター側で用意したトンネルが、すべて、他のL2TPクライアントによって使用されている

対処方法
L2TPトンネルの数を増やすための設定を追加してください。
以下は、tunnel1~tunnel3 が設定済みの場合に、tunnel4 を追加するときの設定例です。

# L2TP接続を受け入れるための設定
pp select anonymous
pp bind tunnel1-tunnel4
pp auth username (PPPユーザー名4) (PPPパスワード4)

# L2TP接続で使用するトンネルの設定
tunnel select 4
tunnel encapsulation l2tp
ipsec tunnel 4
ipsec sa policy 4 4 esp aes-cbc sha-hmac
ipsec ike keepalive use 4 off
ipsec ike nat-traversal 4 on
ipsec ike pre-shared-key 4 text (事前共有鍵)
ipsec ike remote address 4 any
l2tp tunnel disconnect time off
ip tunnel tcp mss limit auto
tunnel enable 4

# IPsecのトランスポートモード設定
ipsec transport 4 4 udp 1701

3-6 ネットワーク環境に問題がある場合のVPN接続失敗

このケースは、ネットワーク環境に問題がある場合のVPN接続失敗事例です。
以下では、ルーターの状態を確認し原因の究明を行います。

ログの確認

"show log"を実行したとき、以下のログが表示されていません。

2018/10/31 17:03:22: [IKE] respond ISAKMP phase to (L2TPクライアントのIPアドレス)

[解説]
L2TPクライアントが、ルーターにアクセスできていません。
ネットワーク環境に問題があると考えられます。

対処方法
別の回線で接続を試みてください。
また、リモートアクセスとしてご利用中のネットワークの管理者にご相談ください。

それでも問題が解決しない場合は、サポート窓口までご相談ください。