Linuxが搭載されたデバイスでVPNアクセスのL2TP/IPsecプロトコルで接続する場合のセットアップ方法です。

root権限のあるシェルにアクセスできることを前提に手順を記載しています。

1. L2TP/IPsecクライアントをセットアップする

L2TP/IPsecクライアントとしてxl2tpdとstrongswanを使用します。それらのソフトウェアは、aptなどのパッケージ管理ソフトウェアを用いてインストールできます。以下のコマンドを実行してください。

apt install xl2tpd strongswan

2. IoTサービスでVPNアクセスを追加する

コントロールパネル にログインし、VPNアクセスを追加します。

VPNアクセスの追加方法は、VPNアクセス画面の作成に従って進めてください。

手順に従い作成すると、以下のような完了画面が表示されます。このままブラウザを閉じずに次のステップに進んでください。

3. L2TP/IPsecを設定する

3.1. IPsecを設定する

/etc/ipsec.confを編集し、VPNアクセス用のIPsecの設定を書き込みます。以下コマンドのようにリダイレクションなどを使用して実施してください (<接続先アドレス>はコントロールパネルに表示されている接続先アドレスに変更してください)。

cat >> /etc/ipsec.conf << EOF
conn vpn
        type=transport
        authby=secret
        rekey=yes
        keyingtries=1
        keyexchange=ikev1
        ike=3des-sha256-modp2048
        esp=aes128-sha256
        dpdaction=restart
        dpddelay=10s
        dpdtimeout=30s
        left=%any
        leftprotoport=udp/l2tp
        leftikeport=4500
        right=<接続先アドレス>
        rightid=%any
        rightprotoport=udp/%any
        rightikeport=4500
        forceencaps=yes
        auto=start
EOF

/etc/ipsec.secretsに事前共有鍵を追記します。以下、<事前共有鍵>をコントロールパネルに表示されている事前共有鍵に変更した上で実行してください。

cat >> /etc/ipsec.secrets << EOF
: PSK "<事前共有鍵>"
EOF

3.2. L2TPを設定する

/etc/xl2tpd/xl2tpd.confにL2TP接続設定を追記します。以下、<接続先アドレス>をコントロールパネルに表示されている接続先アドレスに変更した上で実行してください。

cat >> /etc/xl2tpd/xl2tpd.conf << EOF
[lac vpn]
lns = <接続先アドレス>
require chap = yes
refuse pap = yes
require authentication = yes
pppoptfile = /etc/ppp/options.xl2tpd.vpn
length bit = yes
autodial = yes
redial = yes
redial timeout = 10
max redials = 100
EOF

続けて、/etc/ppp/options.xl2tpd.vpnに認証情報を追記します。以下、<ユーザ名>と<パスワード>をコントロールパネルに表示されている内容に変更した上で実行してください。

cat > /etc/ppp/options.xl2tpd.vpn << EOF
noauth
nodefaultroute
usepeerdns
logfile /var/log/vpn.log
name "<ユーザ名>"
password "<パスワード>"
EOF

/etc/ppp/ip-up.d以下にスクリプトを配置します。このスクリプトは、IoTサービスに必要なルーティング設定をL2TP/IPsec接続時に自動設定するスクリプトです。以下のコマンドを実行して設定してください (最後のコマンドで/var/log/ppp-ipupdown.logを作成していますが、このファイルをあらかじめ作成しておくと実行ログが出力されます)。

cat > /etc/ppp/ip-up.d/001vpnaccess << EOF
#!/bin/sh

ip route add 10.64.2.0/24 dev \$1
EOF
chmod +x /etc/ppp/ip-up.d/001vpnaccess
touch /var/log/ppp-ipupdown.log

上記の設定コマンドは、VPNゲートウェイを利用しない場合の設定方法です。 VPNゲートウェイを利用したVPNアクセスの場合、ルーティング設定はお客様のIIJプライベートバックボーンサービスやプライベートコネクタの構成により異なります。

WISE-PaaSコネクタを利用してWISE-PaaSへ接続する場合、WISE-PaaSコネクタのIPアドレスセグメントに記載されている全てのIPアドレスセグメントをルーティング設定に追加する必要があります。 ルーティング設定を追加するには、/etc/ppp/ip-up.d/001vpnaccess ファイルを編集し、行末に「ip route add <WISE-PaaSアドレスセグメント> dev $1」をアドレスセグメントごとに1つずつ追記してください。

3.3. 設定を反映する

IPsecとL2TPの設定を反映します。以下のコマンドを実行し、各デーモンを再起動してください。

systemctl restart ipsec
systemctl restart xl2tpd

4. IoTサービスに接続する

4.1. L2TP/IPsecインタフェースを有効化する

作成したインタフェースを有効化して接続します。以下のコマンドを実行してください。

ipsec up vpn
xl2tpd-control connect vpn

4.2. IoTサービスの接続状態を確認する

curlで以下のコマンドを実行してください。正常に接続されていれば、作成したVPNアクセスのIPアドレスや名称などがコンソールに表示されます。

curl http://gw.iot.iij.jp/v1/dvc-state/csv

以上でIIJ IoTサービスにデータを送る準備は完了しました。IoTサービスの機能の使用方法については、引き続き本マニュアルを参考にご利用ください。