おもに自分用特価情報

先日、NTTのフレッツ光からauひかりへ乗り換えを行いました。
しかし、レンタルされるルータ(Aterm BL900HW)だといろいろ不便なので、以前から使用していた自前のルータ(YAMAHA RTX1100)でL2TP/IPsecで自宅にVPN接続できるように設定してみました。
素人なので間違った設定を行っている可能性もありますし、動作保証も致しかねますが、皆様の参考になれば幸いです。

RTX1100は中古品なら数千円で手に入るのでVPNを始めたい方にはおすすめです。
中古品の購入先はこちらや、こちらなど。

設定の前提として、Aterm BL900HWのIPアドレスは192.168.0.1、RTX1100 LAN2のIPアドレスは192.168.0.2とします。
また、RTX1100 LAN3(宅内LANのハブに接続)のIPアドレスは192.168.99.254とします。
設定は、RTX1100にて行っていますが、RTX1200でも同様と思われます。
　
接続の概略図は以下のとおりです。


本題の設定ですが、まずは、Aterm BL900HWの管理画面にログインし以下の設定を行います。
詳細設定→その他の設定→DMZホスト設定
　DMZホスト機能：使用するにチェックを入れる
　DMZホストのIPアドレス：192.168.0.2



次にRTX1100の設定ですが、以下のように設定しました。

---

ip route default gateway 192.168.0.1
ip lan3 address 192.168.99.254/24
ip lan3 proxyarp on
ip lan2 address 192.168.0.2/24
ip filter source-route on
ip filter directed-broadcast on
ip lan2 secure filter in 1020 1030 1040 1041 1042 1043 2000
ip lan2 secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107
ip lan2 nat descriptor 1000
pp select anonymous
 pp bind tunnel2-tunnel3
 pp auth request mschap-v2
 pp auth username ユーザ名1 パスワード1
 pp auth username ユーザ名2 パスワード2
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ip pp remote address pool 192.168.99.31-192.168.99.35
 ip pp mtu 1258
 pp enable anonymous
no tunnel enable all
tunnel select 2
 tunnel encapsulation l2tp
 ipsec tunnel 102
  ipsec sa policy 102 2 esp aes-cbc sha-hmac
  ipsec ike keepalive use 2 off
  ipsec ike local address 2 192.168.99.254
  ipsec ike nat-traversal 2 on
  ipsec ike pre-shared-key 2 text 事前共有鍵
  ipsec ike remote address 2 any
 l2tp tunnel disconnect time off
 l2tp keepalive use on 10 3
 l2tp keepalive log on
 l2tp syslog on
 ip tunnel tcp mss limit 1240
 tunnel enable 2
tunnel select 3
 tunnel encapsulation l2tp
 ipsec tunnel 103
  ipsec sa policy 103 3 esp aes-cbc sha-hmac
  ipsec ike keepalive use 3 off
  ipsec ike local address 3 192.168.99.254
  ipsec ike nat-traversal 3 on
  ipsec ike pre-shared-key 3 text 事前共有鍵
  ipsec ike remote address 3 any
 l2tp tunnel disconnect time off
 l2tp keepalive use on 10 3
 l2tp keepalive log on
 l2tp syslog on
 ip tunnel tcp mss limit 1240
 tunnel enable 3
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.99.0/24 *
ip filter 1030 pass * 192.168.99.0/24 icmp
ip filter 1040 pass * 192.168.99.254 udp * 500
ip filter 1041 pass * 192.168.99.254 esp * *
ip filter 1042 pass * 192.168.99.254 udp * 4500
ip filter 1043 pass * 192.168.99.254 udp * 1701
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 192.168.0.2
nat descriptor address inner 1000 auto
nat descriptor masquerade static 1000 101 192.168.99.254 esp
nat descriptor masquerade static 1000 102 192.168.99.254 udp 500
nat descriptor masquerade static 1000 103 192.168.99.254 udp 4500
nat descriptor masquerade session limit 1000 1 900
ipsec auto refresh on
ipsec transport 2 102 udp 1701
ipsec transport 3 103 udp 1701
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.99.2-192.168.99.30/24
dns server 192.168.0.1
dns server select 500001 192.168.0.1 any . restrict 192.168.0.1
dns private address spoof on
schedule at 1 */* 05:00 * ntpdate ntp03.dion.ne.jp
l2tp service on

---

フレッツ光の時と違い、YAMAHAの提供するダイナミックDNSサービス「ネットボランチDNSサービス」は使用できないので、宅外から接続する際には別のサービスを使用する必要があると思います。
しかし、実際の所、auひかりの場合IPアドレスが変化することはあまりなさそうなので自宅のグローバルIPアドレスさえ分かっていれば問題ない気もします。
ちなみに、私の自宅では、無料のDDNSサービスを使用し、DiCEと言う無料のソフトウェアでDDNSの情報を更新しています。

これらの設定で、DTIのServersMan SIM 3G 100を挿したAndroid機とiPhone5(au)から自宅に接続できることを確認しました。

Windows7に関しては、NAT traversalを有効にする設定を行う必要があり、その設定にはレジストリを変更する必要があります。
具
体的には、　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent
にAssumeUDPEncapsulationContextOnSendRule
キーを作成しdword(32bit)で値を2にする必要があります。(要再起動)
Windows8でも同様だと思います。

以下にレジストリを変更するためのファイルを用意しましたので、ダウンロード及び解凍後、実行して下さい。
上記値が書き込まれるはずです。
NAT traversal(Windows7/8用)
なお、使用は自己責任にてお願いいたします。また、Windows8では未検証です。