こんにちは!しらかば堂(@shirakabado)です。
無線LANルータへのVPN(PPTP、L2TP/IPSec)ポート設定手順について紹介します。
目次
無線LANルータにVPN(PPTP、L2TP/IPSec)ポート設定をする
解決できること
PPTP、L2TP/IPSecが使用するポート番号への理解が深まります。また無線LANルータ WSR-2533DHPL(1)への実際のポート番号設定手順が確認できます。
(注1) Buffalo2533DHPL 無線LAN親機 WSR- (Version:1.06)
読んでほしい方
この無線LANルータ WSR-2533DHPLに興味のある方。また自宅で無線LANルータ経由でVPN構築を始めたもののうまく接続できずに悩んでいる方。
VPNにおける無線LANルータ WSR-2533DHPLの位置付け
この図からもわかるように、無線LANルータ WSR-2533DHPLはインターネットプロバイダから貸与されているONUとVPNルータの中間に位置しており
- WAN側から来たVPNパケットをVPNルータ TL-R600VPN に中継する
- WAN側から来たVPN以外のIPパケットを拒絶する
- VPNルータから来たVPNパケットをONU経由でWAN側に中継する
役割を持っていますが、無線LANルータ WSR-2533DHPLはこれらをIPパケット中に含まれるTCP/UDPポート番号(注2)で識別、判断します。
(注2) TCP/IPプロトコルにおけるポート番号のことで、以下の右側のトランスポート層の機能を指定する番号です。トランスポート層にはメッセージの送受を保証する仕組みをもつTCP (Transmission Control Protocol) と持たないUDP (User Datagram Protocol) の2種類があります。
VPNで利用するポート番号の確認
今回の記事で取り上げている
- PPTP
- L2TP/IPSec
の2種類のVPNでは以下のポート番号を利用しています。
PPTPが使用するポート番号
PPTPはリンク層のPPP(注3)のフレームをGRE(注4)によりカプセル化することでIPネットワーク上を通過できるようにしたものです。
| プロトコル | ポート番号 | 説明 |
|---|---|---|
| PPTP | 1723 | PPTPは1723番ポートを使って対向装置とPPTPトンネルの確立をします。 |
PPTP自体は認証や暗号化の方法を定義していませんが、Microsoft社がWindowsに実装したソフトウェア仕様により、MS-CHAP/MS-CHAPv2による認証と、MPPE(Microsoft Point-to-Point Encryption)による暗号化(暗号アルゴリズムはRC4)が併用されます。
(注3) PPP(Point-to-Point Protocol): PPPはOSI参照モデルではデータリンク層に当たるプロトコルで2台の機器間で仮想的な専用の伝送路を確立し、相互に安定的にデータの送受信を行うことができるようにするもの。
(注4) GRE(Generic Routing Encapsulation): PPTPで用いられるプロトコル。PPTPのトンネリングに際しては、IPパケットにGREヘッダが付けられる。インターネットで一般的に用いられるTCPやUDPとは異なるため、ポート番号の概念がなく、IPマスカレードなどに対応できない。そのため、NAT(注5)経由でトンネルを構築する際は「PPTPパススルー」と呼ばれる機能がルーターに必要になる。
(注5) NAT(Network Address Translation)
L2TP/IPSecが使用するポート番号
L2TPはPPPフレームをUDPでカプセル化することでIPネットワーク上での交換を可能としており、IPSecはそのL2TPトンネルの中で動作しています。L2TPはそのL2TPトンネルの確立に当たり1701番ポートを使用します。
IPSecはインターネット層でデータを暗号化するためのプロトコルで、IPSecを構成するトランスポート層のIKE(注6)、ESP(注7)、NAT Traversal(注8)と連携してデータを暗号化します。
これらのプロトコルが使用利用するポート番号は以下の通りです。
| プロトコル | ポート番号 | 説明 |
|---|---|---|
| L2TP | 1701 | L2TPは1701番ポートを使って対向装置とL2トンネルの確立をします。 |
| IKE | 500 | IKEは500番ポートを使って対向装置とネゴシエーションし、互いに認証したのち、対向装置と双方向の暗号化トンネル(IKE SA)(注9)を構築し、SPD(注10)とSAD(注11)を完成させるための情報を交換します。 |
| ESP | 50 | ESPは50番ポートを使ってパケットが改ざんされていないかどうかの認証を行い、続いてSADに基づき実際のパケットのペイロード部の暗号化を行います。 |
| NAT Traversal | 4500 | IKEが対向装置とネゴシエーションする際に対抗装置との間にNAPT(注12)機器が存在するか確認し、存在する場合にIKEで使用するポートを500番→4500番に変更します。 |
(注6)IKE(Internet Key Exchange):鍵交換を行うプロトコル
(注7) ESP(Encapsulated Security Payload):ペイロード部(実際に送付したいデータ)に対する暗号化を行うプロトコル。RFC2406、RFC4303形式のESPには認証機能も含まれている
(注8) NAT Traversal:IKEが対向装置とネゴシエーションする際に対抗装置との間にNAPT機器が存在するか確認し、存在する場合にIKEで使用するポートを500番→4500番に変更します。
(注9) SA(Security Association): 対向する2つのVPNゲートウェイ間のコネクションのことをIPsecではSAと呼び、IPsecの通信はこのSAを使用して行われます。SAは一方通行のトンネルなので、パケットを送受信するためには送信用のSA、受信用のSAの合計2つが必要です。
(注10) SPD(security policy database):IPsec が使用するデータベースの一つで、IPアドレス、プロトコル(TCP/UDP/ICMP等)、TCPポートといった情報に応じパケットを破棄(discard)するのか、IPsecを使わずに送信(bypass IPsec)するのか、IPsecを使って送信(apply IPsec)するのかを決めるセキュリティポリシー用のデータベースです。
(注11) SAD(security association database): IPsec が使用するもう一つのデータベースで、各ピアとSAを確立する際に用いるパラメータのデータベースです。
(注12) NAPT(Network Address Port Translation)
無線LANルータ WSR-2533DHPLでのポート変換登録
無線LANルータ WSR-2533DHPLでのポート変換登録をするためには、Windows 10 搭載 PCのブラウザから、無線LANルータの管理画面へログイン後
セキュリティ > ポート変換
のようにたどった「ポート変換の新規追加」画面で登録個数分登録します。
| 入力項目 | 記入値 | 説明 |
|---|---|---|
| グループ | 任意 | これから登録しようとするポート変換登録に対する名称。わかりやすさという意味で、プロトコル名を入れるのがオッ進めです。 |
| Internet側IPアドレス | エアステーションのInternet側IPアドレス | この指定をすると、【自宅VPN構築】(その1) VPN導入に必要な条件を確認する の WAN側IPアドレス確認 で確認した、この無線LANルータ WSR-2533DHPLのWAN側ポートのIPアドレスが自動設定されます。 |
| プロトコル | ポート番号 | TCP/IPの◎をチェックして「任意のTCP/UDPポート欄に指定のポート値を記入します」 |
| LAN側IPアドレス | 192.168.yyy.3 | VPNルータ TL-R600VPNの WAN側IPアドレスとしてすでに設定済のアドレスを記入します。 |
| LAN側ポート | ポート番号 | ポート番号の変更ルールに特に別条件がなければ、上の「プロトコル」で指定したポート番号と同じ番号を入力します。 |
以下に実際に入力したポート変換登録情報を紹介します。
以上で、無線LANルータ WSR-2533DHPLでのポート変換登録作業は終了です。
次の記事ではVPNルータ TL-R600VPN -VPN(PPTP、L2TP/IPSec)設定について紹介してきます。興味のあるかたはどうぞ。
記事を取得できませんでした。記事IDをご確認ください。
記事内のVPN関連機器に興味のある方は次のリンクからどうぞ。
VPN関連機器情報
インターネット、VPNについての教材に興味のある方は次のリンクからどうぞ。
インターネット、VPN関連推薦図書
