質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.52%

  • VPN

    101questions

    VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。

vyosへのVPN接続設定について

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 2,158

teketeke

score 41

vyosを設定して、外からVPN接続できるようにしようとしています。

VPNの設定については以下のサイトを参考にしたのですが、接続できませんでした。
http://qiita.com/khayama/items/c63d4d5f02abdf348889

vyosの設定は以下になるのですが、何か設定が足りないのでしょうか。
※IPアドレス、パスワードなどは実際とは変更しています。

vyos@vyos:~$ show configuration commands
set interfaces ethernet eth1 address '111.111.111.111/23'
set interfaces ethernet eth2 address '10.0.2.2/24'
set interfaces loopback 'lo'
set service 'ssh'
set system config-management commit-revisions '100'
set system console device ttyS0 speed '9600'
set system gateway-address '111.111.111.1'
set system login user vyos authentication encrypted-password '$6$BGiAItm1UQuf$9uss08G.i6/yqswFBbFl.wV.idLASdkUEx2xwDijzt 1z1Pn6y15.iqm6.5ltqg/YdZVeA.g1sW0IK.tqlVCWq/'
set system login user vyos authentication plaintext-password ''
set system login user vyos level 'admin'
set system name-server '111.111.111.133'
set system name-server '111.111.111.134'
set system ntp server '0.pool.ntp.org'
set system ntp server '1.pool.ntp.org'
set system ntp server '2.pool.ntp.org'
set system syslog global facility all level 'notice'
set system syslog global facility protocols level 'debug'
set vpn ipsec ipsec-interfaces interface 'eth1'
set vpn ipsec nat-networks allowed-network '10.0.2.0/24'
set vpn ipsec nat-traversal 'enable'
set vpn l2tp remote-access authentication local-users username TESTUSER password 'TESTPASS'
set vpn l2tp remote-access authentication mode 'local'
set vpn l2tp remote-access client-ip-pool start '10.0.2.101'
set vpn l2tp remote-access client-ip-pool stop '10.0.2.200'
set vpn l2tp remote-access ipsec-settings authentication mode 'pre-shared-secret'
set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret 'TESTSECRET'
set vpn l2tp remote-access outside-address '111.111.111.111'
set vpn l2tp remote-access outside-nexthop '111.111.111.1'

vyos@vyos:~$ show configuration
interfaces {
    ethernet eth1 {
        address 111.111.111.111/23
    }
    ethernet eth2 {
        address 10.0.2.2/24
    }
    loopback lo {
    }
}
service {
    ssh {
    }
}
system {
    config-management {
        commit-revisions 100
    }
    console {
        device ttyS0 {
            speed 9600
        }
    }
    gateway-address 111.111.111.1
    login {
        user vyos {
            authentication {
                encrypted-password ****************
                plaintext-password ****************
            }
            level admin
        }
    }
    name-server 111.111.111.133
    name-server 111.111.111.134
    ntp {
        server 0.pool.ntp.org {
        }
        server 1.pool.ntp.org {
        }
        server 2.pool.ntp.org {
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
}
vpn {
    ipsec {
        ipsec-interfaces {
            interface eth1
        }
        nat-networks {
            allowed-network 10.0.2.0/24 {
            }
        }
        nat-traversal enable
    }
    l2tp {
        remote-access {
            authentication {
                local-users {
                    username TESTUSER {
                        password ****************
                    }
                }
                mode local
            }
            client-ip-pool {
                start 10.0.2.101
                stop 10.0.2.200
            }
            ipsec-settings {
                authentication {
                    mode pre-shared-secret
                    pre-shared-secret ****************
                }
            }
            outside-address 111.111.111.111
            outside-nexthop 111.111.111.1
        }
    }
}

イメージ説明

■事前共有キーについて
vyosへの投入コマンドをテキストに書いてからコピペしていたので、間違えてはいないと思います。
■ログについて
ログは以下となっておりました。現在メッセージ内容について調査しています。

packet from xxx.xxx.xxx.xxx:11711: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008]
packet from xxx.xxx.xxx.xxx:11711: received Vendor ID payload [RFC 3947]
packet from xxx.xxx.xxx.xxx:11711: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
packet from xxx.xxx.xxx.xxx:11711: ignoring Vendor ID payload [FRAGMENTATION]
packet from xxx.xxx.xxx.xxx:11711: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]
packet from xxx.xxx.xxx.xxx:11711: ignoring Vendor ID payload [Vid-Initial-Contact]
packet from xxx.xxx.xxx.xxx:11711: ignoring Vendor ID payload [IKE CGA version 1]
"remote-access-mac-zzz"[13] xxx.xxx.xxx.xxx:11711 #7: responding to Main Mode from unknown peer xxx.xxx.xxx.xxx:11711
"remote-access-mac-zzz"[13] xxx.xxx.xxx.xxx:11711 #7: Oakley Transform [AES_CBC (256), HMAC_SHA1, ECP_384] refused due to strict flag
"remote-access-mac-zzz"[13] xxx.xxx.xxx.xxx:11711 #7: Oakley Transform [AES_CBC (128), HMAC_SHA1, ECP_256] refused due to strict flag
"remote-access-mac-zzz"[13] xxx.xxx.xxx.xxx:11711 #7: Oakley Transform [AES_CBC (256), HMAC_SHA1, MODP_2048] refused due to strict flag
"remote-access-mac-zzz"[13] xxx.xxx.xxx.xxx:11711 #7: Oakley Transform [3DES_CBC (192), HMAC_SHA1, MODP_2048] refused due to strict flag
"remote-access-mac-zzz"[13] xxx.xxx.xxx.xxx:11711 #7: NAT-Traversal: Result using RFC 3947: peer is NATed
"remote-access-mac-zzz"[13] xxx.xxx.xxx.xxx:11711 #7: Peer ID is ID_IPV4_ADDR: '192.168.250.111'
"remote-access-mac-zzz"[14] xxx.xxx.xxx.xxx:11711 #7: deleting connection "remote-access-mac-zzz" instance with peer xxx.xxx.xxx.xxx {isakmp=#0/ipsec=#0}
"remote-access-mac-zzz"[14] xxx.xxx.xxx.xxx:27258 #7: sent MR3, ISAKMP SA established
"remote-access-mac-zzz"[14] xxx.xxx.xxx.xxx:27258 #7: cannot respond to IPsec SA request because no connection is known for 111.111.111.111:4500[111.111.111.111]:17/1701...xxx.xxx.xxx.xxx:27258[192.168.250.111]:17/%any===192.168.250.111/32
"remote-access-mac-zzz"[14] xxx.xxx.xxx.xxx:27258 #7: sending encrypted notification INVALID_ID_INFORMATION to xxx.xxx.xxx.xxx:27258
"remote-access-mac-zzz"[14] xxx.xxx.xxx.xxx:27258 #7: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)
"remote-access-mac-zzz"[14] xxx.xxx.xxx.xxx:27258 #7: sending encrypted notification INVALID_MESSAGE_ID to xxx.xxx.xxx.xxx:27258
"remote-access-mac-zzz"[14] xxx.xxx.xxx.xxx:27258 #7: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)
"remote-access-mac-zzz"[14] xxx.xxx.xxx.xxx:27258 #7: sending encrypted notification INVALID_MESSAGE_ID to xxx.xxx.xxx.xxx:27258
"remote-access-mac-zzz"[14] xxx.xxx.xxx.xxx:27258 #7: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)
"remote-access-mac-zzz"[14] xxx.xxx.xxx.xxx:27258 #7: sending encrypted notification INVALID_MESSAGE_ID to xxx.xxx.xxx.xxx:27258
"remote-access-mac-zzz"[14] xxx.xxx.xxx.xxx:27258 #7: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)
"remote-access-mac-zzz"[14] xxx.xxx.xxx.xxx:27258 #7: sending encrypted notification INVALID_MESSAGE_ID to xxx.xxx.xxx.xxx:27258
"remote-access-mac-zzz"[14] xxx.xxx.xxx.xxx:27258 #7: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)
"remote-access-mac-zzz"[14] xxx.xxx.xxx.xxx:27258 #7: sending encrypted notification INVALID_MESSAGE_ID to xxx.xxx.xxx.xxx:27258
"remote-access-mac-zzz"[14] xxx.xxx.xxx.xxx:27258 #7: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)
"remote-access-mac-zzz"[14] xxx.xxx.xxx.xxx:27258 #7: sending encrypted notification INVALID_MESSAGE_ID to xxx.xxx.xxx.xxx:27258
"remote-access-mac-zzz"[14] xxx.xxx.xxx.xxx:27258 #7: received Delete SA payload: deleting ISAKMP State #7
"remote-access-mac-zzz"[14] xxx.xxx.xxx.xxx:27258: deleting connection "remote-access-mac-zzz" instance with peer xxx.xxx.xxx.xxx {isakmp=#0/ipsec=#0}

■接続設定に関して
PPPoE接続やNAPTについて知識が乏しくよくわからない状態で設定をしています。
参考にしたサイトのURLが抜けていたのですが、接続イメージはそこのサイトと同じと考えています。
外からvyosに繋いで、そこからvyosにつながっているローカル環境へつなげればと考えています。
http://qiita.com/khayama/items/c63d4d5f02abdf348889

イメージ図

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • t_obara

    2017/03/02 19:44

    事前共有キーが異なっているということはないのでしょうか? まずはログを記録して状況を確認したり、エラー番号などでググって見るとよろしいのではないでしょうか?

    キャンセル

  • over

    2017/03/02 20:00

    該当マシンはPPPoE接続をしているのでしょうか?それとも内部にあって、NAPT等で該当機と通信できるだけの設定を施していますか?

    キャンセル

回答 1

checkベストアンサー

+1

ポインタ頂いているサイトでは該当機がグローバルIPを持つ事を前提として説明されているようです。
これを満たしていますか?
インターネット側から、内部のネットワークリソースに接続することを望む場合、NAT、NAPT、グローバルIPの知識は必須です。
従って、

PPPoE接続やNAPTについて知識が乏しくよくわからない状態で設定をしています。

と言われてしまうと、他ご回答者様も回答することができないと思います。
ある程度、構築しようとしている環境のネットワーク状況をご質問内容に加えてみては如何でしょうか?

推測にはなりますが、ログを見る限りではNATルータ配下に該当機が設置されていて失敗しているように見受けられます。

なお、ポインタ頂いたサイトに「NATトラバーサルはONにすることが必須になっています」とありますが、グローバルIPを持つ機器であれば、本設定は必要ないような気がします。
※上位にL2フィルタリングを行うような機器があれば別ですが・・・

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/03/03 19:29

    回答頂きありがとうございます。
    現状の環境イメージ図を加えました。

    NATトラバーサルについては、disable、delete すると、enabledが必須といったメッセージが表示されました。
    「L2TP VPN configuration error: "vpn ipsec nat-traversal" must be enabled.」

    引き続き調査をしています。

    キャンセル

  • 2017/03/03 22:27

    vyos機がNATルータ配下にあるかもしれないので、構成などの情報を再確認します。

    キャンセル

  • 2017/03/06 11:38

    ログを見て気づきましたが、接続元PCのIPをローカルIPにしていますね。接続元のIPはルータでNATされるので、接続元アクセスを制限するのであれば、接続元のグローバルIPで制限する必要があります。
    とはいえ、接続元のグローバルIPは固定化されていないことが大半なので、接続元制限をanyとするのも手だと思います。

    > 「L2TP VPN configuration error: "vpn ipsec nat-traversal" must be enabled.」
    ソフトウェアの仕様なのでしょうか?
    そうであれば有効化するしかないですね。

    キャンセル

  • 2017/03/06 18:07

    vpn ipsec nat-networks allowed-networkをany(0.0.0.0/0)にしたところ、VPNがつながったみたいです。
    vyosに割り当てたローカルIPへのPing応答がありました。
    ただ、vyosの先の端末に接続ができないので、再度設定を見直します。

    キャンセル

  • 2017/03/06 18:17 編集

    > vyosに割り当てたローカルIPへのPing応答がありました。
    これは具体的にどのIPからの応答があったのでしょうか。

    > vyosの先の端末に接続ができないので、再度設定を見直します。
    該当の端末のゲートウェイの設定が正しいでしょうか?

    キャンセル

  • 2017/03/08 19:17

    ・ping応答があったのは、vyosのIPアドレスでした。
    ・端末のゲートウェイは設定は正しいです。

    設定をいろいろいじっていたのですが、以下の設定を入れると、他のローカルPCへのPing応答がありました。

    ※client-ip-poolを10.0.100.0/24の範囲に変更して以下を追記。
    set nat source rule 1 outbound-interface 'eth1'
    set nat source rule 1 source address 10.0.100.0/24
    set nat source rule 1 translation address masquerade

    キャンセル

同じタグがついた質問を見る

  • VPN

    101questions

    VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。