この記事は公開から3年以上経過しています。
YAMAHAのファイァウォールルーターFWX120のGUIからVLAN1とVLAN2にLAN分割した環境でL2TP/IPsecによるVPNを構築したところ、デフォルト設定ではVLAN2側にVPN経由で接続できなかったので対応方法の備忘録。
RTX1210などでも同じ症状であれば同様に対応ができると思われます(未検証)。
設定を誤るとネットワークに接続できなくなったり、シリアルケーブル以外でルーター設定を変更できなくなるなど、最悪設定の初期化が必要になる場合もあります。設定を変更する前には必ずコンフィグを保存&バックアップするなど、いつでも復元できる状態で作業を行ってください。
対応
-
ルーターにシリアルコンソール/SSH等でログインして
admin
コマンドで管理ユーザーへ移行する。 -
以下のコマンドを実行してVLANの設定を確認する。
show config | grep 'ip vlan'
上記コマンドの実行結果
Searching ... ip vlan1 address XXX.XXX.XXX.XXX/XX ip vlan1 proxyarp on ip vlan1 secure filter in 1010 500000 ip vlan1 secure filter out 1011 500000 . . . ip vlan2 address YYY.YYY.YYY.YYY/YY ip vlan2 secure filter in 1000 500000 ip vlan2 secure filter out 1001 500000 . . .
-
上記VLAN2の設定に`proxyarp on`が設定されていないことが確認できたら、以下のコマンドで代理ARPを設定する。
ip vlan2 proxyarp on
-
L2TP(anonymous)接続を行う場合は、以下のコマンドでリモートIPアドレスプールの設定を行う。
(FWX120の場合はGUIの`[トップ] > [詳細設定と情報] > [VPN接続の設定] > [VPN接続設定の修正(Anonymous)]`の`接続先に割り当てるIPアドレス`から設定可能)pp select anonymous ip pp remote address pool YYY.YYY.YYY.10-YYY.YYY.YYY.20
-
VPN接続してVLAN2のネットワークへアクセスできることが確認できたら、以下のコマンドでコンフィグを保存する。
save
参考ウェブサイトなど
RTX/RT/SRTシリーズ コマンドリファレンス
9.1.29 代理 ARP の設定
RTX/RT/SRTシリーズ コマンドリファレンス
9.2.2 リモート IP アドレスプールの設定
ヤマハネットワーク製品 設定例
ルーターの設定例:複数のL2TPクライアント(アドレス不定)の接続を受け付ける場合
以上です。