none
動的IPアドレスのVPNサーバへ、メインモードで接続できる理由が分からない。 RRS feed

  • 質問

  • 使用OS:WS2008R2
    有効なサービス:
    ルーティング&リモートアクセスサービス (L2TP/IPsec VPN)
    ActiveDirectory証明書サービス

    ネットワーク環境
    サーバー:動的IPアドレス (DDNSサービスによりドメイン取得)
    クライアント:動的IPアドレス (WiMaxや公衆無線LANなど)
    クライアントのOS:Windows XP / 7
    クライアントのVPN接続ソフト:Windows標準のVPNクライアント L2TP/IPsec (レジストリ変更によるNAT-T設定済)

    お世話になります。
    現在WS2008r2にてL2TP/IPSecによるVPNサーバを運用しております。(ルーティング&リモートアクセスサービス)
    WS2008r2とクライアントとの間で 本来はできない事 が出来ており、疑問が解決できません。教えてください。

    ■本来ならば・・・
    L2TP/IPsecの仕様上、VPNサーバーが動的IPアドレスの場合はアグレッシブモードで通信を行います。
    ですから現在のように、WS2008r2(VPNサーバ)が動的アドレスの場合はアグレッシブモードで動作するはずです。
    またWindows標準のVPNクライアントはメインモードのみ対応しており、アグレッシブモードの通信はできません。

    つまり、本来はVPN接続できないはずなんです。

    ■実際は接続できる
    上記のような環境ですが、今現在WindowsサーバへのVPN接続が成功してしまいます。
    WS2008r2(VPNサーバ)も動的IPアドレスで動いているため動作はアグレッシブモードのはずですが・・・違うのでしょうか?
    それとも、メインモードで動作しているWindows標準クライアントを特別に受け入れる設定が、WS2008r2には搭載されているのでしょうか?

    勘違い・理解不足などご指摘頂ければ幸いです。
    よろしくお願いします。

    2012年8月2日 2:01

回答

  • サーバー側が動的アドレスになってるのは「想定外」だと思いますので、動作モードとは無関係でしょう。(業務運用として通常選択されないパターンですから)

    クライアント側が動的 IP の場合は、RFC 的にはアグレッシブモードになりますが、Windows Server 2008 以降のネットワーク実装は RFC 準拠ですが、所々独自拡張されている所もあります。

    この手の仕様は、内部構造がわからないと、どうにも手の出しようのないあたりので、どうしても真相をお知りになりたいのでしたら、インシデントを使ってサポートに問い合わせるしかないと思います。

    MVP for Virtual Machine : Networking

    • 回答の候補に設定 星 睦美 2012年8月16日 1:56
    • 回答としてマーク 星 睦美 2012年8月28日 6:09
    2012年8月7日 3:30
    モデレータ