前回、Windows8端末からRTX810のL2TP/IPsecへの接続環境を確保しつつも、XP端末からのOS標準機能での接続を達成することができず、継続捜査で保留とした。
実は、私の外出時持ち歩き用のノートPCはかの名機、ThinkPadx31だ。IBMがLenovoに個人向けPC事業を売り渡して以来、この名機の後継と呼ぶにふさわしい機種が登場しなくなってしまったので買い換えられずにいるのだ。スティックポイントのポインティングデバイスを持つ素晴らしいノートPCの発売を私はいまだに待ち続けているのである。x31に搭載されているOSはWindowsXPである。来年サポートが切れるのであと1年の付き合いになるだろうが、それまでにスティックポイントを持った次の名機の登場を心待ちにするばかりであるが、最もリモートアクセスVPNでつながってほしい端末がL2TP/IPsecに参加することができていないのである。背に腹は代えられない。こうなったらYAMAHAさんの純正VPNクライアントであるところのYMS-VPN7を購入してしまうほかないだろう。
YMS-VPN7を使うということは、VPNはL2TP/IPsecではなく、IPsecでの接続となるので、RTX810側の設定も追加する必要がありそうだ。L2TP/IPsecは一番汎用的に使えるリモートアクセスVPNではあるものの、いまいち速度が出ないというのがちまたで一般的にささやかれている評価である。いわゆるL2TPの速度問題というやつである。対してYAMAHA純正クライアントでつなぐVPNは、スループット、安定度の両面で定評がある。XP端末で2014年まで使い、その後はライセンスを別の端末に移して使うということも考えると、1ライセンス1万円のYMS-VPN7に手を出しても満足いく効果は得られるであろうと判断し、1ライセンスだけの購入に至った。
RTX810側に追加した設定は以下の通りだ。
- トンネルをもう一つ増やす
- 認証用ユーザーとグループを設定する
- その他
sshでRTX810に接続し、こんな感じでtunnnel2を作る。ちなみにtunnnel1はL2TP/IPsec用である。
> administrator
Password:
#
# ipsec tunnel 2
# tunnel select 2
tunnel2# ipsec sa policy 2 2 esp aes-cbc sha-hmac
tunnel2# ipsec ike keepalive log 2 off
tunnel2# ipsec ike keepalive use 2 off
tunnel2# ipsec ike nat-traversal 2 on
tunnel2# ipsec ike pre-shared-key 2 text 事前共有キー
tunnel2# ipsec ike remote address 2 any
tunnel2# ipsec ike remote name 2 端末名 key-id
tunnel2# ipsec ike xauth request 2 on 1
tunnel2# ipsec ike mode-cfg address 2 1
tunnel2# ip tunnel tcp mss limit auto
tunnel2# tunnel enable 2
tunnel2# no tunnel select 2
#
# show config tunnel 2 ←設定結果の確認
tunnel select 2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text 事前共有キー
ipsec ike remote address 2 any
ipsec ike remote name 2 端末名 key-id
ipsec ike xauth request 2 on 1
ipsec ike mode-cfg address 2 1
ip tunnel tcp mss limit auto
tunnel enable 2
#
#
# save
#
続いてユーザーとグループの設定もする。
#
# auth user 1 ユーザー名 パスワード
# auth user group 1 1
# auth user group attribute 1 xauth=on
#
# save
#
さらに、つながったクライアントの為のIPアドレス範囲を設定したり、トンネルの追加をしたりする。さいごのセーブも忘れずにね☆
#
# ipsec ike mode-cfg address pool 1 192.168.151/32
#
# pp select anonymous
anonymous # pp bind tunnel1-tunnel2
anonymous # no pp select anonymous
# save
#
これでたぶん行けるはず。なにしろ設定したのが年明けだったため記憶が定かではない。これ以外に必要な設定もあったかもしれないし、なかったかもしれない。たぶんこれでいけると思う。
次に、WindowsXP側にYMS-VPN7をインストールして設定する。ライセンスを購入すると、ライセンスキーが書かれた物々しい封筒が送られてくる。YMS-VPN7はYAMAHAのHPからダウンロードする。お試し版にライセンスを入れると、製品版となる。自分の環境で使えるかどうかお試し期間中に試して、OKならばライセンスキーを購入するのがいいだろう。設定したお試し版にキーを入れるだけで継続使用ができる。設定項目は以下の通りいたってシンプルだ。
[設定名]は任意にかっこ良い名前を付ける。[事前共有キー]は事前共有キーを、[このクライアントの名前]には”ipsec ike remote name 2 端末名 key-id”で設定した端末名を入れる。[接続先ゲートウェイ]にはRTX810のグローバルIPか、解決されるホスト名かのどちらかを選択し入力する。[接続先ネットワーク]には、接続するネットワークセグメントを指定する。[DNSサーバ]は0.0.0.0として置けば自動で探しに行く。あとはNAT虎バーサルを使用するにチェックを入れて保存する。
これで接続でWindowsXPの端末からもセキュアに接続できるようになった。しばらく使用した感じではとても安定している。出先から拠点のLANにつないでいるのを忘れるほどスムーズな接続が実現している。さすがにファイルサーバーから大きなファイルの転送はちょっと躊躇われるが、拠点ファイルサーバのmp3を出先端末のwinampで再生してイヤホンで聞きながら作業しちゃうなんておちゃめなこともなんら不安なく平気でできてしまう。すばらしい。リモートデスクトップもOpenVPNでつないでいた時とは比べ物にならないほどスムーズな使用感である。スペックの乏しいx31でもクライアント端末としてはまだまだ壊れるまであと3~4年は持ちそうな雰囲気である。Windowsのサポートという問題でこの元気な相棒とお別れしなければならないのが悲しくて仕方がない。Windows8のアップグレード3800円キャンペーン中に一度アップグレードを試みたが、ハードウェアが対応していないとWindows8のインストール前チェックで弾かれてしまい断念した。いよいよx31とともに歩むのもあと一年である。その後はLinuxでも入れてみようかなどと考えているが、どうなるのかは、また別のお話である。
ここまでRTX810を快適に使っている。実に楽しい。思い通りの環境が着々と出来上がってゆく。しかしここにきて、なんとYAMAHAから新製品ヤマハ ファイアウォール FWX120がデビューしたのだ。これは何とも、赤いボディーがニクイあん畜生である。ほしい!RTX810にちょこっとスペックアップしてさらに、ファイアーウォール機能をどーんと追加したような製品である。欲しい!!欲しくて仕方がないが、いかんせんわが社は貧乏である。侘しいのだ。価格など気にせずに買い物ができる身分となれるよう頑張っていく所存である。そうなった暁には、ヤマハ ファイアウォール FWX120を速やかに購入し記事にしたいと思う。