こんにちは。宮嶋ともうします。
現在CENTURY社製ルータNXR-G240とL2TPV3/IPsec通信をしようとしていますが、うまく繋がりません。
#実績が無いということは聞いておりますが・・・
症状としては、IPsecの接続はできているようですが、そのトンネル内でのL2TPv3接続を
SoftEtherサーバが L2TP(not v3)接続と認識してしまう為接続できないように見受けられます。
ルータメーカーともやりとりしているのですが、ルータ側LOGには
Error: cant find Router ID AVP in SCCRQ
と出ており、L2TPV3プロトコル上のAVPパラメータの不一致が原因ではないかと考えています。
的外れな質問でしたら恐縮ですが、SoftEtherサーバが期待するAVPパラメータを教えていただけないでしょうか?
CENTURYルータとのL2TPV3/IPsec通信について
-
cedar
- Site Admin
- Posts: 2265
- Joined: Sat Mar 09, 2013 5:37 am
Re: CENTURYルータとのL2TPV3/IPsec通信について
https://github.com/SoftEtherVPN/SoftEth ... TP.c#L1663
AVPパラメータは、送られてきたベンダ名などから使い分けているようです。
逆に、ルータ側で必要なAVPパラメータが分かれば、ここでハードコードできると思います。
AVPパラメータは、送られてきたベンダ名などから使い分けているようです。
逆に、ルータ側で必要なAVPパラメータが分かれば、ここでハードコードできると思います。
-
miyajima
- Posts: 4
- Joined: Fri May 11, 2018 5:34 am
Re: CENTURYルータとのL2TPV3/IPsec通信について
早速のコメントありがとうございます。
得てして、このようなケースは、相手側の情報を期待して鶏と卵状態になりがちです。
いただいた情報は当然先方とも確認しますが、
softetherサーバ側としても、今一歩踏み込んだ情報をいただければ幸いです。
中間管理職的なユーザとして、双方の歩み寄りをいただければ助かるのですが。。。
得てして、このようなケースは、相手側の情報を期待して鶏と卵状態になりがちです。
いただいた情報は当然先方とも確認しますが、
softetherサーバ側としても、今一歩踏み込んだ情報をいただければ幸いです。
中間管理職的なユーザとして、双方の歩み寄りをいただければ助かるのですが。。。
-
miyajima
- Posts: 4
- Joined: Fri May 11, 2018 5:34 am
Re: CENTURYルータとのL2TPV3/IPsec通信について
失礼しました。
このソース部を書き換えて、ルータが期待しているパラメータにしてしまうという事ですね。
勘違いしていました。
やってみます。
ご連絡ありがとうございました。
このソース部を書き換えて、ルータが期待しているパラメータにしてしまうという事ですね。
勘違いしていました。
やってみます。
ご連絡ありがとうございました。
-
hiro-gj
- Posts: 23
- Joined: Thu Mar 14, 2019 2:10 am
Re: CENTURYルータとのL2TPV3/IPsec通信について
皆さまこんにちは
「FutureNet NXR-G100 Series」(ファームver 6.19.3)では、
「tunnel vendor cisco」コマンドを入力(またはGUIのプルダウンからciscoを選択)することによって
”Error: cant find Router ID AVP in SCCRQ”は回避できました。
※私は只今次のフェーズの
”Error: Peer [リモート側ローカルIPアドレス] Authentication fail for create a tunnel”で悩んでおります。。
「FutureNet NXR-G100 Series」(ファームver 6.19.3)では、
「tunnel vendor cisco」コマンドを入力(またはGUIのプルダウンからciscoを選択)することによって
”Error: cant find Router ID AVP in SCCRQ”は回避できました。
※私は只今次のフェーズの
”Error: Peer [リモート側ローカルIPアドレス] Authentication fail for create a tunnel”で悩んでおります。。
-
hiro-gj
- Posts: 23
- Joined: Thu Mar 14, 2019 2:10 am
Re: CENTURYルータとのL2TPV3/IPsec通信について
IPSecトンネルは張れましたがL2TPv3ができません。
まさに事例に記載のエラー2種類です。
※2つめのほうはリモート側アドレスなどを替えてテストした際に出るのでそもそも設定を間違えていると思うのですが
1つめのほうはSEのL2TPv3設定の「ISAKMP Phase 1 ID」(現在は*)に起因しているのかと思うのですがいかがでしょうか?
***
https://www.centurysys.co.jp/downloads/ ... n-v100.pdf
L2TPv3 接続が失敗する時に出力されるログとして以下のようなものが挙げられます。
L2TPv3 のホスト名やルータ ID が不一致
l2tpv3[XXXX]: Error: Peer 10.10.10.1 Authentication fail for create a tunnel
(☞) l2tpv3 hostname,l2tpv3 router-id コマンドで設定した値が対向機器と対になっているか確認してくださ い。
対向からの応答がない(リスケジュール設定で再ネゴシエーションを行う)
l2tpv3[XXXX]: Error: Too many retransmissions on tunnel (2038817815/0); closing down
(☞) 対向ルータの WAN 回線が接続されているか、パケットが届いているか、L2TP のフィルタは許可されて いるか L2TPv3 のサービスが起動しているかなどのポイントを確認してください。
まさに事例に記載のエラー2種類です。
※2つめのほうはリモート側アドレスなどを替えてテストした際に出るのでそもそも設定を間違えていると思うのですが
1つめのほうはSEのL2TPv3設定の「ISAKMP Phase 1 ID」(現在は*)に起因しているのかと思うのですがいかがでしょうか?
***
https://www.centurysys.co.jp/downloads/ ... n-v100.pdf
L2TPv3 接続が失敗する時に出力されるログとして以下のようなものが挙げられます。
L2TPv3 のホスト名やルータ ID が不一致
l2tpv3[XXXX]: Error: Peer 10.10.10.1 Authentication fail for create a tunnel
(☞) l2tpv3 hostname,l2tpv3 router-id コマンドで設定した値が対向機器と対になっているか確認してくださ い。
対向からの応答がない(リスケジュール設定で再ネゴシエーションを行う)
l2tpv3[XXXX]: Error: Too many retransmissions on tunnel (2038817815/0); closing down
(☞) 対向ルータの WAN 回線が接続されているか、パケットが届いているか、L2TP のフィルタは許可されて いるか L2TPv3 のサービスが起動しているかなどのポイントを確認してください。
-
hiro-gj
- Posts: 23
- Joined: Thu Mar 14, 2019 2:10 am
Re: CENTURYルータとのL2TPV3/IPsec通信について
皆さまこんにちは
センチュリーシステムズさんにも問い合わせをしていましたが、
SEとの接続情報が無いという事でした。
--ご回答の引用--
大変申し訳ございませんが、弊社側では現時点で、
SoftEtherとのL2TPv3 over IPsecの実績および設定等の情報がありません。
弊社のVXR-x86というサービスがあるのですが、こちらをご提案させて頂きます。
NXRシリーズの豊富な機能をKVM、VMWare等の仮想環境上で動作するソフトウェアとなります。
--------------------
ただし、こちらのスレッドを見る限り何等かの方法はあるはずなのですが・・・
https://www.vpnusers.com/viewtopic.php?f=15&t=63724
すいませんが以降私は別のルータでSEとの接続を試します。
センチュリーシステムズさんにも問い合わせをしていましたが、
SEとの接続情報が無いという事でした。
--ご回答の引用--
大変申し訳ございませんが、弊社側では現時点で、
SoftEtherとのL2TPv3 over IPsecの実績および設定等の情報がありません。
弊社のVXR-x86というサービスがあるのですが、こちらをご提案させて頂きます。
NXRシリーズの豊富な機能をKVM、VMWare等の仮想環境上で動作するソフトウェアとなります。
--------------------
ただし、こちらのスレッドを見る限り何等かの方法はあるはずなのですが・・・
https://www.vpnusers.com/viewtopic.php?f=15&t=63724
すいませんが以降私は別のルータでSEとの接続を試します。