先日はRTX1220でL2TP/IPsecの設定を書きましたが、今回はIKEv2の設定方法を書きます。
RTXのIKEv2設定はCUIでしか設定を行いませんでしたが、今回のファームウェアアップデートでGUIによる設定が可能となりました。
Windows11で接続できない
RTX1220 と Windows 11 を IKEv2 で接続できないのは、両者がサポートしている 認証方式が根本的に一致していないためです。
Windows 11 の IKEv2 クライアントは「EAP‑MSCHAPv2」または「証明書認証」を前提としており、PSK(事前共有鍵)方式をサポートしていません。一方 RTX1220 の IKEv2 は PSK を中心とした実装で、Windows 11 が要求する EAP‑MSCHAPv2 をサポートしていません。
このため、RTX1220 側にどれだけ IKEv2 の設定を行っても、Windows 11 の認証方式と噛み合わず、接続は成立しません。
さらに、証明書方式での接続を検討し、RTX1220 のコマンドリファレンスをAIに確認してもらいましたが、Windows 11 が求める IKEv2 証明書認証に必要な設定項目(EAP‑TLS や RSA‑SHA256 など)は存在せず、RTX1220 の IKEv2 では Windows 11 の証明書方式にも対応できないことが分かりました。
そのため、現行の RTX1220 の IKEv2 実装では、Windows 11 標準クライアントとの接続は実質的に不可能という結論になります。
Windwos11側はL2TP/IPsec設定の縮小や廃止の話もありますし、RTX側もOS側に合わせるようなこともしないと思われます。IKEv2に移行をする流れになると思いますが、双方が合わせてくれるように期待をします。
前置きが長くなりましたが、最初にRTX1220の設定をおこないます。
最初にRTX1220の設定をおこないます。
管理画面から[かんたん設定]ー[VPN]ー[リモートアクセス]の画面に移ります。
IPsec/IKEv2を選択して、「IPsec/IKEv2のリモートアクセスVPNの設定を新規作成します。」の新規ボタンを押下します。
基本設定画面で必要な項目を登録します。
ルーター側の設定
- 設定名 適宜入力
- クライアントに割り当てるIPアドレス 1IPアドレス(CIDR表記など範囲指定不可)
クライアントの情報
- クライアントID ログインIDに当たるもので適宜登録(FQDNでなくてもOKみたいです)
クライアントと合わせる設定
- ルーター側のホスト名またはIPアドレス プロバイダー接続で使用中のIPアドレス
環境によっては、下の「任意のホスト名またはIPアドレス」に登録。 - 認証鍵(per-shared-key) 適宜入力
登録したら入力内容の確認画面に遷移して設定完了させます。
RTX1220の設定は完了です。
次にandroidの設定を行います。
VPNプロファイル編集画面を開いて必要項目を登録します。
- 名前 適宜入力
- タイプ IKEv2/IPSec PSK
- サーバーアドレス 接続先VPNのIPアドレス
- IPSec ID RTX1220で登録したクライアントID
- IPSec事前共通鍵 RTX1220で登録した認証鍵
保存ボタンを押下して、登録完了です。
VPN接続ができる事を確認して終わりです。