L2TP/IPsecはレガシープロトコルとして非推奨化が進んでいるらしい。
現にAndroid 12以降ではL2TPのサポートが打ち切られたとのこと。
度重なる仕様の誤認により、ご迷惑をおかけいたしました。ここまで設定いただいた内容をベースに、OPNsense 26.1(swanctlベース)でWindows標準機能から接続するための「L2TP/IPsec」構築手順を、無駄を省いてシンプルにまとめました。
1. IPsec Connections(親設定)の作成
メニュー: VPN > IPsec > Connections > 「+」
Name:
L2TP_VPNVersion:
IKEv2(※バックエンドの仕様上、このままで構いません)Local addresses / Remote addresses: どちらも空欄
Description:
L2TP_VPN➡ 「Save」 を押して一度一覧に戻る。
2. 認証とChildren(子設定)の紐付け
メニュー: VPN > IPsec > Connections 一覧画面の上部タブ、または作成した行の編集から設定。
「Local」タブ(またはLocal Authentication)の「+」
Authentication:
pskID / Certificates: 空欄
「Remote」タブ(またはRemote Authentication)の「+」
Authentication:
pskID / Certificate Authorities: 空欄
「Children」タブの「+」
Mode:
Transport(★L2TP接続に必須)Local / Remote traffic selectors: 空欄(デフォルト)
3. Pre-Shared Keys(事前共有鍵)の登録
メニュー: VPN > IPsec > Pre-Shared Keys > 「+」
Local Identifier:
anyRemote Identifier:
anyPre-Shared Key: 任意の強いパスワード(Windows側に入力するもの)
Type:
PSK
4. L2TP サーバーの設定
メニュー: VPN > L2TP > Server
Enable: チェックを入れる
Interface:
WANServer address:
10.10.10.1(OPNsense側の仮想IP)Remote address range:
10.10.10.100/24(クライアント配信用IP範囲)Authentication:
Local User(OPNsenseのシステムユーザーを使用する場合)
5. ファイアウォールルールの開放
メニュー: Firewall > Rules > WAN > 「+」
以下4つの通信を許可(Pass)するルールを作成します。
Protocol:
UDP, Port:500(ISAKMP)Protocol:
UDP, Port:4500(IPsec NAT-T)Protocol:
UDP, Port:1701(L2TP)Protocol:
ESP(IPプロトコル 50)
メニュー: Firewall > Rules > L2TP VPN > 「+」
Protocol:
any, Source:L2TP net➡ LAN側へのアクセスを許可。
6. Windowsクライアント側の設定
管理者としてコマンドプロンプトを実行し、以下を貼り付けて実行(NAT越えエラー809対策)。
DOSREG ADD HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 2 /fWindows PCを再起動する。
設定 > ネットワークとインターネット > VPN > 「VPNを追加」
VPNプロバイダー: Windows (ビルトイン)
VPNの種類:
事前共有鍵を使った L2TP/IPsec事前共有鍵: 手順3で決めた文字列
サインイン情報の種類: ユーザー名とパスワード(OPNsenseのローカルユーザー情報)
No comments:
Post a Comment