Page 1 of 1

WAN側からのL2TPの接続エラー

Posted: Sat Sep 08, 2018 12:45 pm
by tkmobile
先日Softether vpnをraspberry上に構築し、L2TP VPNを一度構築し、接続できることも確認したのですが、本日再度確認したところWAN側からのL2TPリンクが確立しないことに気づきました。

切り分けのため、LAN側からSoftether vpnにL2TP VPNを張ろうとすると、何も問題なく接続できることを確認したので、おそらくWAN側の設定だと思うのですが、どの部分に当たりがあるのかわからず、どなたかご教授ください。

[環境]
Softether VPN Version 4.27 Build 9668 (Japanese)
Compiled 2018/05/29 21:51:20 by yagi at pc33

[ログ:server_log]
2018-09-08 21:13:55.818 IPsec クライアント 11 (1.72.8.22:59431 -> xxx.xxx.xxx.xxx:500): 新しい IPsec クライアントを作成しました。
2018-09-08 21:13:55.828 IPsec IKE セッション (IKE SA) 11 (クライアント: 11) (1.72.8.22:59431 -> xxx.xxx.xxx.xxx:500): 新しい IKE SA (Main Mode) を作成しました。Initiator Cookie: 0xB77EB32AAAD4680, Responder Cookie: 0x6ED9E26548E672CB, DH グループ: MODP 2048 (Group 14), ハッシュアルゴリズム: SHA-2-256, 暗号化アルゴリズム: AES-CBC, 暗号鍵サイズ: 256 bits, 有効期限: 4294967295 kbytes または 3600 秒
2018-09-08 21:14:05.981 IPsec IKE セッション (IKE SA) 11 (クライアント: 11) (1.72.8.22:59431 -> xxx.xxx.xxx.xxx:500): この IKE SA を削除しました。
2018-09-08 21:14:05.981 IPsec クライアント 11 (1.72.8.22:59431 -> xxx.xxx.xxx.xxx:500): この IPsec クライアントを削除しました。
2018-09-08 21:14:28.758 IPsec クライアント 12 (1.72.8.22:59431 -> xxx.xxx.xxx.xxx:500): 新しい IPsec クライアントを作成しました。
2018-09-08 21:14:28.768 IPsec IKE セッション (IKE SA) 12 (クライアント: 12) (1.72.8.22:59431 -> xxx.xxx.xxx.xxx:500): 新しい IKE SA (Main Mode) を作成しました。Initiator Cookie: 0x4EC1D0EDE5AA5B59, Responder Cookie: 0xB32F12FA8CD3DED3, DH グループ: MODP 2048 (Group 14), ハッシュアルゴリズム: SHA-2-256, 暗号化アルゴリズム: AES-CBC, 暗号鍵サイズ: 256 bits, 有効期限: 4294967295 kbytes または 3600 秒
2018-09-08 21:14:38.976 IPsec IKE セッション (IKE SA) 12 (クライアント: 12) (1.72.8.22:59431 -> xxx.xxx.xxx.xxx:500): この IKE SA を削除しました。
2018-09-08 21:14:38.976 IPsec クライアント 12 (1.72.8.22:59431 -> xxx.xxx.xxx.xxx:500): この IPsec クライアントを削除しました。

[サーバ側ルーターのポートフォワーディング]
4500/udp
500/udp
1701/udp
50/udp

VPNパススルーはデフォルトで設定済(ELECOM WRC-1900GST)

[クライアント側環境]
iPhone 純正VPN
Windows 10 (レジストリは修正済)
ネットワーク環境は共にdocomo simテザリング

[ifconfig]
wlan0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 1454
inet xxx.xxx.xxx.xxx netmask xxx.xxx.xxx.xxx broadcast xxx.xxx.xxx.xxx

同じ共有鍵、ユーザパスでLAN側のアクセスは成功しているので、設定は問題ないように思ってるのですが、そのほかにどこか確認できる部分はないでしょうか?

Re: WAN側からのL2TPの接続エラー

Posted: Mon Sep 10, 2018 12:17 pm
by tkmobile
その後、別の場所(自宅外)からVPN接続しようとしたところ、何も問題なく、VPNが接続確立しました。
要はDocomo基地局毎のルーティングによって、4500ポートが空いてる場合と、空いていない場合があるってことなのかも?
OpenVPN等で別ポートで試してみるのも一計かと思っています。

Re: WAN側からのL2TPの接続エラー

Posted: Wed Sep 12, 2018 10:04 am
by cedar
この問題には関係ないと思いますが、1701/udp は暗号化なしの L2TP 用のポートなので、事故で接続してしまわないように閉じておいたほうが良いと思います。
また、50/udp は、おそらく ESP(50/ip) の間違いだと思いますが、SoftEther VPN は ESP に対応していないので開放の必要はありません。

Re: WAN側からのL2TPの接続エラー

Posted: Thu Sep 13, 2018 12:25 pm
by tkmobile
コメントありがとうございます。
ポート1701/udpとespポートの開放を閉じておきました。