iOS10から、PPTPVPNが設定できなくなりました。
ルーターに付属のPPTPで簡易的にVPNを作成されていた方も多いと思います。
安くて高機能、ハイパワーなMikrotik製RouterBoardを使用し、IPsec L2TPを利用してリモート接続ができるようになります。
設定方法を掲載します。
※自己責任にてお願いいたします。
【参考】Mikrotik L2TP with IPsec for mobile clients
まずはL2TPで接続した来た場合に払い出されるIPアドレスのプールを追加します。
GUI
IP>Pool
Name: L2TP-Pool
Adresses: 172.31.86.1-172.31.86.14(自分のアドレス設定)
Next Pool: None
Terminal
/ip pool add name="L2TP-Pool" ranges=172.31.86.1-172.31.86.14(自分のアドレス設定)
L2TP設定
1.L2TP Profile
L2TPサーバーを追加する前に、L2TPプロファイルを設定します。
GUI
PPP>Profiles
Name: l2tp-profile
Local Address: L2TP-Pool
Remote Address: L2TP-Pool
DNS Server: 8.8.8.8
Change TCP MSS: yes
Use Encryption: required
残りはデフォルトの値でオッケーです。
CLI
/ppp profile add name=l2tp-profile local-address=L2TP-Pool remote-address=L2TP-Pool use-encryption=required change-tcp-mss=yes dns-server=8.8.8.8
2.L2TPサーバーの追加
GUI
PPP>Interface>L2TP Server
Enabled: Checked
Max MTU: 1460
Max MRU: 1460
Keepalive Timeout: 30
Default Profile: mschap2
Use IPsec: Checked
IPsec Secret: MYKEY
CLI
/interface l2tp-server server set authentication=mschap2 default-profile=l2tp-profile enabled=yes ipsec-secret=MYKEY max-mru=1460 max-mtu=1460 use-ipsec=yes
3.PPPパスワードの追加
GUI
PPP>Secrets
Enabled: Checked
Name: MYUSER(お好きなID)
Password: MYPASSWORD(お好きなパスワード)
Service: l2tp
Profile: l2tp-profile
あとはデフォルトの値
CLI
/ppp secret add name=MYUSER password=MYPASSWORD service=l2tp profile=l2tp-profile
IPsec 設定
1.IPsec プロポーザル
GUI
IPsec>Proposals
Enabled: Checked
Name: L2TP-Proposal
Auth. Algorithm: sha1
Encr. Algorithm: 3des, aes-256 cbc
PFS Group: none
CLI
/ip ipsec proposal add name=L2TP-Proposal auth-algorithms=sha1 enc-algorithms=3des,aes-256-cbc pfs-group=none
2.IPsec Peers
GUI
IPsec>Peers
Enabled: Checked
Address: 0.0.0.0
Auth. Method: pre shared key
Secret: MYKEY
Policy Template Group: default
Exchange Mode: main l2tp
Send Initial Contact: Checked
NAT Traversal: Checked
My ID: auto
Proposal check: obey
Hash Algorithm: sha1
Encryption Algorithm: 3des, aes-256
DH Group: modp1024
Generate policy: port override
CLI
/ip ipsec peer add address=0.0.0.0/0 port=500 auth-method=pre-shared-key secret="MYKEY" generate-policy=port-override exchange-mode=main-l2tp
send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=3des,aes-256 dh-group=modp1024
※上記の"MYKEY"はL2TP設定の2の設定と同じでなければなりません。
3.IPSec Policies
GUI
Enabled: Checked
Src. Address: ::/0
Dst. Address: ::/0
Protocol: 255(all)
Template: Checked
Group: default
Action: encrypt
Level: require
IPsec Protocols: esp
Tunnel: Not checked
SA Src. Address: 0.0.0.0
SA Dsr. Address: 0.0.0.0
Proposal: L2TP-Proposal
CLI
/ip ipsec policy add src-address=::/0 dst-address=::/0 protocol=all template=yes group=default action=encrypt level=require ipsec-protocols=esp tunnel=no sa-src-address=0.0.0.0 sa-dst-address=0.0.0.0 proposal=L2TP-Proposal
あとは、スマートフォンでL2TP接続の設定を行えばOKです。
※こちらから、Firewall設定も確認ください。
iPhone
タイプ:L2TP
サーバ:固定IPアドレスかそのドメイン、DynamicDNSを利用したドメイン。
アカウント:MYUSER
パスワード:MYPASSWORD
シークレット:MYKEY
Android
VPNネットワークのタイプ:L2TP/IPsec PSK
サーバアドレス:固定IPアドレスかそのドメイン、DynamicDNSを利用したドメイン。
IPsec事前共有鍵:MYKEY
L2TP接続ユーザ名:MYUSER
L2TP接続パスワード:MYPASSWORD