VPNをPPTPからL2TP/IPSecに変更 - VPNでどこからでも自宅や事務所にアクセス -

0 Comments
kすけ
自宅や事務所にVPNサーバーを立てております。
VPNサーバーは家庭向けのVPNルーターで容易に立てることができます。
これまで出回っていたVPNルーターはPPTPプロトコルによるものでしたが、iOSでPPTP接続禁止となっております。
PPTPへの接続不許可はセキュリティによるもののようです。
PPTPの認証方式であるMS-CHAPv2の脆弱性によるもののようです。

PPTPはMicrosoftが開発したプロトコルでWindowsと相性が良い反面、Linuxベースのルーターでは負荷が大きいようで、
PPTPの接続可能数は4~8拠点ほどが一般的になっております。
業務でも拠点間通信を検討していることもあり、PPTPに限界がでておりました。
PPTPの代わりになるものとして、L2TP/IPSecがあります。

L2TP/IPSecはVPNのトンネルをL2TPがになっており、IPSecが暗号化の役割を果たしております。
数年前から分かっていたので、事務所のルーター買い替え時にL2TP/IPSec対応のVPNルーターを購入してましたが、
Windowsで接続できなかったのでPPTPにてVPNを立てておりました。
VPNルーターはBUFFALOのインターフェイス簡単でWXR-1900DHPを購入しております。
WXR-1900DHPにおけるL2TP/IPSecの設定は非常に簡単です。
VPNサーバー機能をL2TP/IPSecに変更して事前共通キーを入力するだけでした。
PPTPの時に作成したユーザー情報は踏襲できました。
wxr1900vpn.jpg
簡単な分、暗号化の設定ができないなど細かい内容がよく分かりませんが、汎用的なもののようです。


ルーター側でL2TP/IPSecを行うと接続するWindowsマシーンの設定を行う必要があります。
iOSやAndroidであれば多くの暗号化に対応できますが、Windowsは利用できる暗号化の種類が少ないようです。
IPSecとの相性が悪いようで、レジストリを変更しないと接続できません。
「リモートコンピューターと最初にネゴシエートするときに、セイキュリティ層で処理エラーが検出されたため、L2TP接続に失敗しました」
のようなエラーとなります。
レジストリの追加は以下のとおりです。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
にDWARD(32ビット)で「AssumeUDPEncapsulationContextOnSendRule」を追加します。
値は2です。
winvsipsec.jpg
レジストリの変更は自己責任で行ってください。

ちなみに、WindowsにおけるIPSecはSHA1 である必要があります。
複雑な設定が可能なVPNルーター等での設定時には暗号化の種類に注意する必要があります。

スポンサーサイト
kすけ
Posted bykすけ

Comments 0

There are no comments yet.

Leave a reply