MacOS Xで遠隔会議するとき、XMeetingをよく使う。このとき、プライベートアドレスだとハマることが多い。それならいっそのことグローバルアドレス使えばいいじゃん、という流れ。会議は手段なので、PacketiX VPNみたいなソフトが使えるなら、迷わず使いたいところ。残念ながら、MacOS X用はまだでないようだ。
気をつけないといけなかった点は以下の通り。
- OS XクライアントでMicrosoft Point-To-Point Encryption (MPPE) Protocol (RFC 3078)を使わないように設定
- OS X Serverのファイアウォールで、IKE (UDP 500)、IKE NAT Traversal (UDP 4500)、L2TP (UDP 1721)を通すように設定
- 当然、NATボックスも上記UDPポートを通すように設定
1.に関して、MacOS XのL2TP接続設定にはMPPEをオフにする設定がない。ウェブを見回っていたら、/Library/Prefences/SystemConfiguration/preferences.plistのCCPMPPE128EnabledとCCPMPPE40Enabledの値を0にすればよいという情報を見つけたので、それで対応する。
MPPEはPPPペイロード (PPP Information Payload) を暗号化するための仕様。L2TPとPPPの終端装置が同じ物で、しかもIPsecを使ってL2TPのUDPトラフィックを暗号化している限りにおいては、MPPEでPPPペイロードを暗号化しなくてもよいだろう、と判断。というか、いまどき大切な情報をリンク層の暗号化機能のみで守る時代でもないだろうし。
なお、L2TP (+ IPsec)は、UDP 500、1721、4500が使えることが前提。次の問題は、これらのポートが空いているかどうかかな。
0 件のコメント:
コメントを投稿