以前、アクセス先によってプロバイダを使い分ける設定 をした環境で、PPTPによるVPN通信もしたいなーと思ったけど、なぜかWebインターフェイスから設定しただけでは、固定IPアドレスへ接続しても繋がらず、動的IP契約のプロバイダー経由でしか使えなかったので、固定IPアドレスで待ち受けできるようにしてみたメモ。
※PPTPで利用されている、MS-CHAP v2には脆弱性が発見されています。この方法を利用する場合は、自己責任の上で行ってください。
まずは [詳細設定と情報] – [VPN接続の設定] と辿り、表示されているインターフェイスから空いている場所の 追加 ボタンを押す。
そうすると次の画面になるので、PPTPを使用したパスワード認証のリモートアクセスVPNサーバ(Anonymous) を選ぶ。
MS-CHAP v2で認証する を選び、IDパスワードを設定する。
具体的には、VPN接続したクライアントに固定のローカルIPを割り当てる。DHCPでの割り当ても可能だが、うちの環境ではip filterで外に出る設定を記載するため、固定割り当てとした方が都合がいいのでそうしている。切断タイマはお好みで。
これだけで、ファイアーウォールやNAT Descriptorまで自動で設定してくれるので超便利。普通の環境ならこれだけでPPTPが利用できるはず。(ただしVPN経由での名前引きには、別途手順が必要)
でも、普通の環境ではないうちの場合は、以下のように追加の設定を行った。以前の設定を含めるとこんな感じになる。
ip filter 1 pass * 固定IPでアクセスしたいIPアドレスを書く。以下例 * * *
ip filter 2 pass * 111.222.333.444 * * *
ip filter 3 pass * 222.333.444.555 * * *
ip filter 4 pass * * tcp 1723 *
ip filter 5 pass * * tcp * 1723
ip filter 6 pass * * gre * *
ip filter 7 pass 192.168.100.100 * * *
ip route default gateway pp 1 filter 1 2 3 4 5 6 7 gateway pp 2 filter 500000
さらに以下の設定を追加し、外部サーバーの名前引きができるようにする。
pp select anonymous
ppp ipcp msext on
これで外部から自宅のNVR500を経由し、他のサーバーに接続できるようになった。PPTPに使用されているMS-CHAP v2の脆弱性があるため、利用できるようにはなったものの、実際使うかどうかは決めかねているが、柔軟性の高い設定ができるNVR500はいいよね、ということで。
FWX120 ならL2TP/IPsecも利用可能なので、こちらに乗り換えようかなー。でもまだ5万くらいはするから厳しいなーと悩み中。だれかバースデープレゼントにでもください(おい)。
View Comments