Jun 14, 2026

OPNsenseで、L2TP/IPsec リモートアクセス設定

L2TP/IPsecはレガシープロトコルとして非推奨化が進んでいるらしい。
現にAndroid 12以降ではL2TPのサポートが打ち切られたとのこと。


度重なる仕様の誤認により、ご迷惑をおかけいたしました。ここまで設定いただいた内容をベースに、OPNsense 26.1(swanctlベース)でWindows標準機能から接続するための「L2TP/IPsec」構築手順を、無駄を省いてシンプルにまとめました。

1. IPsec Connections(親設定)の作成

メニュー: VPNIPsecConnections「+」

  • Name: L2TP_VPN

  • Version: IKEv2 (※バックエンドの仕様上、このままで構いません)

  • Local addresses / Remote addresses: どちらも空欄

  • Description: L2TP_VPN

  • 「Save」 を押して一度一覧に戻る。

2. 認証とChildren(子設定)の紐付け

メニュー: VPNIPsecConnections 一覧画面の上部タブ、または作成した行の編集から設定。

  • 「Local」タブ(またはLocal Authentication)の「+」

    • Authentication: psk

    • ID / Certificates: 空欄

  • 「Remote」タブ(またはRemote Authentication)の「+」

    • Authentication: psk

    • ID / Certificate Authorities: 空欄

  • 「Children」タブの「+」

    • Mode: Transport (★L2TP接続に必須)

    • Local / Remote traffic selectors: 空欄(デフォルト)

3. Pre-Shared Keys(事前共有鍵)の登録

メニュー: VPNIPsecPre-Shared Keys「+」

  • Local Identifier: any

  • Remote Identifier: any

  • Pre-Shared Key: 任意の強いパスワード(Windows側に入力するもの)

  • Type: PSK

4. L2TP サーバーの設定

メニュー: VPNL2TPServer

  • Enable: チェックを入れる

  • Interface: WAN

  • Server address: 10.10.10.1 (OPNsense側の仮想IP)

  • Remote address range: 10.10.10.100/24 (クライアント配信用IP範囲)

  • Authentication: Local User (OPNsenseのシステムユーザーを使用する場合)

5. ファイアウォールルールの開放

メニュー: FirewallRulesWAN「+」

以下4つの通信を許可(Pass)するルールを作成します。

  1. Protocol: UDP, Port: 500 (ISAKMP)

  2. Protocol: UDP, Port: 4500 (IPsec NAT-T)

  3. Protocol: UDP, Port: 1701 (L2TP)

  4. Protocol: ESP (IPプロトコル 50)

メニュー: FirewallRulesL2TP VPN「+」

  • Protocol: any, Source: L2TP net ➡ LAN側へのアクセスを許可。

6. Windowsクライアント側の設定

  1. 管理者としてコマンドプロンプトを実行し、以下を貼り付けて実行(NAT越えエラー809対策)。

    DOS
    REG ADD HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 2 /f
    
  2. Windows PCを再起動する。

  3. 設定 > ネットワークとインターネット > VPN > 「VPNを追加」

    • VPNプロバイダー: Windows (ビルトイン)

    • VPNの種類: 事前共有鍵を使った L2TP/IPsec

    • 事前共有鍵: 手順3で決めた文字列

    • サインイン情報の種類: ユーザー名とパスワード(OPNsenseのローカルユーザー情報)



No comments: