リモートアクセスVPN(IKEv2)の設定手順

$Date: 2026/01/30 13:36:59 $

概要
注意事項
対応機種とファームウェアリビジョン
IKEv2の設定例

ルーターのWAN側が固定アドレスの場合の設定例
ルーターのWAN側が動的アドレスの場合の設定例
複数のIKEv2クライアントの接続を受け付ける設定例
IKEv1の拠点間接続と併用する設定例
IKEv2の拠点間接続と併用する設定例
L2TP/IPsecリモートアクセスVPN接続と併用する設定例

IKEv2のクライアント設定例

動作確認済みクライアント一覧
iOS端末に標準搭載されたIKEv2クライアントの設定手順
Android端末に標準搭載されたIKEv2クライアントの設定手順

SYSLOGメッセージ一覧
関連技術資料

1. 概要

ヤマハルーターに搭載されているIKEv2を用いたリモートアクセスVPN接続機能について説明します。
ヤマハルーターには以下のリモートアクセスVPN機能があります。

L2TP/IPsec
IKEv2

本ドキュメントではIKEv2を用いたリモートアクセスVPN接続について説明します。

▲ このドキュメントの先頭へ

2. 注意事項

認証方式として事前共有鍵方式(PSK)に対応しています。
トンネル内で利用するアドレスの割り当てには、IPv4のみ対応しています。
長時間の利用時にVPN接続が意図せず切断される場合は、ヤマハルーターのSA寿命を長く指定することで改善する可能性があります。
dhcp scopeに設定しているアドレスとmode-cfgで設定しているアドレスが重複しないように設定する必要があります。
ipsec ike local name 及び ipsec ike remote name コマンドで指定する自機側/相手側のID及びタイプについて、IDの内容やIKEv2クライアントの動作仕様に依存して、ヤマハルーターに設定されたタイプと異なるタイプが選択されてしまいVPN接続が正常に確立できないことがあります。本ドキュメントに示す設定例はすべてのIKEv2クライアントでの動作を保証するものではありません。
リモートアクセスVPN接続(IKEv2)では、接続に必要なパラメータの送受信に Configuration ペイロードを利用します。ヤマハルーターは Configuration ペイロードに含まれる以下の属性タイプのリクエストに対して応答することができます。
- INTERNAL_IP4_ADDRESS
- INTERNAL_IP4_NETMASK
- INTERNAL_IP4_DNS
その他の属性タイプのリクエストについては応答せずに無視します。

▲ このドキュメントの先頭へ

3. 対応機種とファームウェアリビジョン

ヤマハルーターでは以下の機種およびファームウェアで、リモートアクセスVPN接続をサポートしています。

機種	ファームウェア
vRX さくらのクラウド版	すべてのリビジョン
RTX840
RTX3510
RTX1300	Rev.23.00.05 以降
RTX1220	Rev.15.04.05 以降
RTX830	Rev.15.02.27 以降
RTX1210	Rev.14.01.42 以降
RTX5000	Rev.14.00.34 以降
RTX3500	Rev.14.00.34 以降
NVR510	Rev.15.01.25 以降
NVR700W	Rev.15.00.24 以降

▲ このドキュメントの先頭へ

4. IKEv2の設定例

4.1 ルーターのWAN側が固定アドレスの場合の設定例

構成図

設定

iOSクライアント設定
- IPアドレス : 203.0.113.1
- IPsec事前共有鍵 : yamaha (任意の文字列)
- リモートID : 203.0.113.1
- ローカルID : sample_ios.com (任意の文字列)
Androidクライアント設定
- IPアドレス : 203.0.113.1
- IPsec事前共有鍵 : yamaha (任意の文字列)
- IPsecID : sample_android.com (任意の文字列)

*iOS のローカル IDと Android の IPSec ID は同じ意味です。

ヤマハルーターの設定
- ヤマハルーターのホスト名 : 203.0.113.1
- ヤマハルーターのプライベートアドレス : 192.168.100.1
- IKEv2クライアントへ配布するアドレス : 192.168.100.200-192.168.100.215
- IPsecのトンネルダウン検知 : 使用するインターバル10秒ダウン検知までのカウント3回

【経路設定】
ip route default gateway pp 1
 
【LAN設定】
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
 
【プロバイダとの接続設定】
pp select 1
 pp always-on on
 pppoe use lan2
 pp auth accept (認証方式)
 pp auth myname (ユーザ名) (パスワード)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
pp enable 1
 
【NAT設定】
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.100.1 esp
nat descriptor masquerade static 1 2 192.168.100.1 udp 500
nat descriptor masquerade static 1 3 192.168.100.1 udp 4500
 
【DNS設定】
dns server pp 1
 
【IKEv2リモートアクセスVPN接続で使用するトンネルの設定】
tunnel select 1
 description tunnel iPhone
 tunnel encapsulation ipsec
 ipsec tunnel 1
  ipsec sa policy 1 1 esp
  ipsec ike version 1 2
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on rfc4306 10 3
  ipsec ike local name 1 203.0.113.1 ipv4-addr
  ipsec ike pre-shared-key 1 text yamaha
  ipsec ike remote name 1 sample_ios.com fqdn
  ipsec ike mode-cfg address 1 1
  ipsec auto refresh 1 off
 tunnel enable 1

 tunnel select 2
 description tunnel Android
 tunnel encapsulation ipsec
 ipsec tunnel 2
  ipsec sa policy 2 2 esp
  ipsec ike version 2 2
  ipsec ike keepalive log 2 off
  ipsec ike keepalive use 2 on rfc4306 10 3
  ipsec ike local name 2 203.0.113.1 ipv4-addr
  ipsec ike pre-shared-key 2 text yamaha
  ipsec ike remote name 2 sample_android.com fqdn
  ipsec ike mode-cfg address 2 1
  ipsec auto refresh 2 off
 tunnel enable 2

ipsec ike mode-cfg address pool 1 192.168.100.200-192.168.100.215/24

【重要】
・IKEv2リモートアクセスVPN接続では、ipsec auto refresh GATEWAY_ID off を設定してください。
・端末のモバイル回線やWi-Fiが不慮に切断されたとき、
  ルーター側でセッションが残ってしまい次の接続をすぐ受けることができなくなります。
  対策としてルーター側で早期に切断を検知できるよう、
  TUNNELに対してキープアライブを有効にすることを薦めます。

【設定のポイント】
NVR510 以外のルーターには以下のコマンドがデフォルトで設定されているため、コマンドを入力する必要はありません。
・tunnel encapsulation ipsec

▲ このドキュメントの先頭へ

4.2 ルーターのWAN側が動的アドレスの場合の設定例

構成図

設定

iOSクライアント設定
- IPアドレス : XXXX.aaX.netvolante.jp(ネットボランチDNS)
- IPsec事前共有鍵 : yamaha (任意の文字列)
- リモートID : XXXX.aaX.netvolante.jp(FQDN)
- ローカルID : sample_ios.com (任意の文字列)
Androidクライアント設定
- IPアドレス : XXXX.aaX.netvolante.jp(ネットボランチDNS)
- IPsec事前共有鍵 : yamaha (任意の文字列)
- IPSec ID : sample_android.com (任意の文字列)

*iOS のローカル ID と Android の IPSec ID は同じ意味です。

ヤマハルーターの情報
- ヤマハルーターのホスト名 : XXXX.aaX.netvolante.jp
- ヤマハルーターのプライベートアドレス : 192.168.100.1
- IKEv2クライアントへ配布するアドレス : 192.168.100.200-192.168.100.215
- IPsecのトンネルダウン検知 : 使用するインターバル10秒ダウン検知までのカウント3回

【経路設定】
ip route default gateway pp 1
 
【LAN設定】
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
 
【プロバイダとの接続設定】
pp select 1
 pp always-on on
 pppoe use lan2
 pp auth accept (認証方式)
 pp auth myname (ユーザ名) (パスワード)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
pp enable 1
 
【NAT設定】
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.100.1 esp
nat descriptor masquerade static 1 2 192.168.100.1 udp 500
nat descriptor masquerade static 1 3 192.168.100.1 udp 4500
 
【DNS設定】
dns server pp 1
 
【ネットボランチDNS設定】
netvolante-dns hostname host pp server=1 XXXX.aaX.netvolante.jp
 
【IKEv2リモートアクセスVPN接続で使用するトンネルの設定】
tunnel select 1
 description tunnel iPhone
 tunnel encapsulation ipsec
 ipsec tunnel 1
  ipsec sa policy 1 1 esp
  ipsec ike version 1 2
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on rfc4306 10 3
  ipsec ike local name 1 XXXX.aaX.netvolante.jp fqdn
  ipsec ike pre-shared-key 1 text yamaha
  ipsec ike remote name 1 sample_ios.com fqdn
  ipsec ike mode-cfg address 1 1
  ipsec auto refresh 1 off
 tunnel enable 1

 tunnel select 2
 description tunnel Android
 tunnel encapsulation ipsec
 ipsec tunnel 2
  ipsec sa policy 2 2 esp
  ipsec ike version 2 2
  ipsec ike keepalive log 2 off
  ipsec ike keepalive use 2 on rfc4306 10 3
  ipsec ike local name 2 XXXX.aaX.netvolante.jp fqdn
  ipsec ike pre-shared-key 2 text yamaha
  ipsec ike remote name 2 sample_android.com fqdn
  ipsec ike mode-cfg address 2 1
  ipsec auto refresh 2 off
 tunnel enable 2

ipsec ike mode-cfg address pool 1 192.168.100.200-192.168.100.215/24

【重要】
・IKEv2リモートアクセスVPN接続では、ipsec auto refresh GATEWAY_ID off を設定してください。
・端末のモバイル回線やWi-Fiが不慮に切断されたとき、
  ルーター側でセッションが残ってしまい次の接続をすぐ受けることができなくなります。
  対策としてルーター側で早期に切断を検知できるよう、
  TUNNELに対してキープアライブを有効にすることを薦めます。

【設定のポイント】
NVR510 以外のルーターには以下のコマンドがデフォルトで設定されているため、コマンドを入力する必要はありません。
・tunnel encapsulation ipsec

▲ このドキュメントの先頭へ

4.3 複数のIKEv2クライアントの接続を受け付ける設定例

構成図

設定

クライアントA : Android
- IPアドレス : XXXX.aaX.netvolante.jp(ネットボランチDNS)
- IPsec事前共有鍵 : yamaha (任意の文字列)
- IPSec ID : sample_android.com (任意の文字列)
クライアントB : iOS
- IPアドレス : XXXX.aaX.netvolante.jp(ネットボランチDNS)
- IPsec事前共有鍵 : yamaha (任意の文字列)
- リモートID : XXXX.aaX.netvolante.jp
- ローカルID : sample_ios.com (任意の文字列)
クライアントC : iPadOS
- IPアドレス : XXXX.aaX.netvolante.jp(ネットボランチDNS)
- IPsec事前共有鍵 : yamaha (任意の文字列)
- リモートID : XXXX.aaX.netvolante.jp
- ローカルID : sample_ipados.com (任意の文字列)

ヤマハルーターの情報
- ヤマハルーターのホスト名 : XXXX.aaX.netvolante.jp
- ヤマハルーターのプライベートアドレス : 192.168.100.1
- IKEv2クライアントへ配布するアドレス : 192.168.100.200-192.168.100.215
- IPsecのトンネルダウン検知 : 使用するインターバル10秒ダウン検知までのカウント3回

【経路設定】
ip route default gateway pp 1
 
【LAN設定】
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
 
【プロバイダとの接続設定】
pp select 1
 pp always-on on
 pppoe use lan2
 pp auth accept (認証方式)
 pp auth myname (ユーザ名) (パスワード)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
pp enable 1
 
【NAT設定】
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.100.1 esp
nat descriptor masquerade static 1 2 192.168.100.1 udp 500
nat descriptor masquerade static 1 3 192.168.100.1 udp 4500
 
【DNS設定】
dns server pp 1
 
【ネットボランチDNS設定】
netvolante-dns hostname host pp server=1 XXXX.aaX.netvolante.jp
 
【IKEv2リモートアクセスVPN接続で使用するトンネルの設定】
tunnel select 1
 tunnel template 2-3
 description tunnel Android
 tunnel encapsulation ipsec
 ipsec tunnel 1
  ipsec sa policy 1 1 esp
  ipsec ike version 1 2
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on rfc4306 10 3
  ipsec ike local name 1 XXXX.aaX.netvolante.jp fqdn
  ipsec ike pre-shared-key 1 text yamaha
  ipsec ike mode-cfg address 1 1
  ipsec auto refresh 1 off
 tunnel enable 1
ipsec ike mode-cfg address pool 1 192.168.100.200-192.168.100.215/24
 
【IKEv2 クライアント A】
tunnel select 1
description tunnel Android
ipsec ike remote name 1 sample_android.com fqdn
 
【IKEv2 クライアント B】
tunnel select 2
description tunnel iPhone
ipsec ike remote name 2 sample_ios.com fqdn
 
【IKEv2 クライアント C】
tunnel select 3
description tunnel iPad
ipsec ike remote name 3 sample_ipados.com fqdn

【重要】
・IKEv2リモートアクセスVPN接続では、ipsec auto refresh GATEWAY_ID off を設定してください。
・端末のモバイル回線やWi-Fiが不慮に切断されたとき、
  ルーター側でセッションが残ってしまい次の接続をすぐ受けることができなくなります。
  対策としてルーター側で早期に切断を検知できるよう、
  TUNNELに対してキープアライブを有効にすることを薦めます。

【設定のポイント】
NVR510 以外のルーターには以下のコマンドがデフォルトで設定されているため、コマンドを入力する必要はありません。
・tunnel encapsulation ipsec

▲ このドキュメントの先頭へ

4.4 IKEv1の拠点間接続と併用する設定例

構成図

設定

Androidクライアント設定
- IPアドレス : kyoten1.aaX.netvolante.jp(ネットボランチDNS)
- IPsec事前共有鍵 : yamaha (任意の文字列)
- IPSec ID : sample_android.com (任意の文字列)

ヤマハルーターの情報
- 拠点1のヤマハルーターの情報
  - ヤマハルーターのホスト名 : kyoten1.aaX.netvolante.jp
  - ヤマハルーターのプライベートアドレス : 192.168.100.1
  - IKEv2クライアントへ配布するアドレス : 192.168.100.200-192.168.100.215
  - IPsecのトンネルダウン検知 : 使用するインターバル10秒ダウン検知までのカウント3回
- 拠点2のヤマハルーターの情報
  - ヤマハルーターのホスト名 : kyoten2.aaX.netvolante.jp
  - ヤマハルーターのプライベートアドレス : 192.168.200.1

拠点1のヤマハルーターの設定例

【経路設定】
ip route default gateway pp 1
ip route 192.168.200.0/24 gateway tunnel 1
 
【LAN設定】
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
 
【プロバイダとの接続設定】
pp select 1
 pp always-on on
 pppoe use lan2
 pp auth accept (認証方式)
 pp auth myname (ユーザ名) (パスワード)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
pp enable 1
 
【NAT設定】
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.100.1 esp
nat descriptor masquerade static 1 2 192.168.100.1 udp 500
nat descriptor masquerade static 1 3 192.168.100.1 udp 4500
 
【DNS設定】
dns server pp 1
 
【ネットボランチDNS設定】
netvolante-dns hostname host pp server=1 kyoten1.aaX.netvolante.jp
 
【IPsecの拠点間接続で使用するトンネルの設定】
tunnel select 1
 ipsec tunnel 1
  ipsec sa policy 1 1 esp aes256-cbc sha256-hmac
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on heartbeat 10 6
  ipsec ike local address 1 192.168.100.1
  ipsec ike nat-traversal 1 on
  ipsec ike pre-shared-key 1 text yamaha
  ipsec ike remote address 1 kyoten2.aaX.netvolante.jp
 ip tunnel tcp mss limit auto
 tunnel enable 1
ipsec auto refresh on
 
【IKEv2リモートアクセスVPN接続で使用するトンネルの設定】
tunnel select 2
 description tunnel Android
 tunnel encapsulation ipsec
 ipsec tunnel 2
  ipsec sa policy 2 2 esp
  ipsec ike version 2 2
  ipsec ike keepalive log 2 off
  ipsec ike keepalive use 2 on rfc4306 10 3
  ipsec ike local name 2 kyoten1.aaX.netvolante.jp fqdn
  ipsec ike pre-shared-key 2 text yamaha
  ipsec ike remote name 2 sample_android.com fqdn
  ipsec ike mode-cfg address 2 1
  ipsec auto refresh 2 off
 tunnel enable 2
ipsec ike mode-cfg address pool 1 192.168.100.200-192.168.100.215/24

【重要】
・IKEv2リモートアクセスVPN接続では、ipsec auto refresh GATEWAY_ID off を設定してください。
・ipsec auto refresh on を設定した状態で、ipsec auto refresh GATEWAY_ID off を設定しても、
設定したトンネルのみ refresh sa されなくなるため問題なく使用可能です。
・端末のモバイル回線やWi-Fiが不慮に切断されたとき、
  ルーター側でセッションが残ってしまい次の接続をすぐ受けることができなくなります。
  対策としてルーター側で早期に切断を検知できるよう、
  TUNNELに対してキープアライブを有効にすることを薦めます。

拠点2のヤマハルーターの設定例

【経路設定】
ip route default gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
 
【LAN設定】
ip lan1 address 192.168.200.1/24
 
【プロバイダとの接続設定】
pp select 1
 pp always-on on
 pppoe use lan2
 pp auth accept (認証方式)
 pp auth myname (ユーザ名) (パスワード)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
pp enable 1
 
【NAT設定】
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.200.1 esp
nat descriptor masquerade static 1 2 192.168.200.1 udp 500
nat descriptor masquerade static 1 3 192.168.200.1 udp 4500
 
【DNS設定】
dns server pp 1
 
【ネットボランチDNS設定】
netvolante-dns hostname host pp server=1 kyoten2.aaX.netvolante.jp
 
【IPsecの拠点間接続で使用するトンネルの設定】
tunnel select 1
 ipsec tunnel 1
  ipsec sa policy 1 1 esp aes256-cbc sha256-hmac
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on heartbeat 10 6
  ipsec ike local address 1 192.168.200.1
  ipsec ike nat-traversal 1 on
  ipsec ike pre-shared-key 1 text yamaha
  ipsec ike remote address 1 kyoten1.aaX.netvolante.jp
 ip tunnel tcp mss limit auto
 tunnel enable 1
ipsec auto refresh on

▲ このドキュメントの先頭へ

4.5 IKEv2の拠点間接続と併用する設定例

構成図

設定

Androidクライアント設定
- IPアドレス : kyoten1.aaX.netvolante.jp(ネットボランチDNS)
- IPsec事前共有鍵 : yamaha (任意の文字列)
- IPSec ID : sample_android.com (任意の文字列)

ヤマハルーターの情報

拠点1のヤマハルーターの情報
- ヤマハルーターのホスト名 : kyoten1.aaX.netvolante.jp
- ヤマハルーターのプライベートアドレス : 192.168.100.1
- IKEv2クライアントへ配布するアドレス : 192.168.100.200-192.168.100.215
- IPsecのトンネルダウン検知 : 使用するインターバル10秒ダウン検知までのカウント3回

拠点2のヤマハルーターの情報
- ヤマハルーターのホスト名 : kyoten2.aaX.netvolante.jp
- ヤマハルーターのプライベートアドレス : 192.168.200.1

拠点1のヤマハルーターの設定例

【経路設定】
ip route default gateway pp 1
ip route 192.168.200.0/24 gateway tunnel 1
 
【LAN設定】
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
 
【プロバイダとの接続設定】
pp select 1
 pp always-on on
 pppoe use lan2
 pp auth accept (認証方式)
 pp auth myname (ユーザ名) (パスワード)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
pp enable 1
 
【NAT設定】
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.100.1 esp
nat descriptor masquerade static 1 2 192.168.100.1 udp 500
nat descriptor masquerade static 1 3 192.168.100.1 udp 4500
 
【DNS設定】
dns server pp 1
 
【ネットボランチDNS設定】
netvolante-dns hostname host pp server=1 kyoten1.aaX.netvolante.jp
 
【IPsec(IKEv2)の拠点間接続で使用するトンネルの設定】
tunnel select 1
 ipsec tunnel 1
  ipsec sa policy 1 1 esp
  ipsec ike version 1 2
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on rfc4306 10 6
  ipsec ike local name 1 kyoten1.aaX.netvolante.jp fqdn
  ipsec ike pre-shared-key 1 text yamaha
  ipsec ike remote name 1 kyoten2.aaX.netvolante.jp fqdn
 tunnel enable 1
ipsec auto refresh on
 
【IKEv2リモートアクセスVPN接続で使用するトンネルの設定】
tunnel select 2
 description tunnel Android
 tunnel encapsulation ipsec
 ipsec tunnel 2
  ipsec sa policy 2 2 esp
  ipsec ike version 2 2
  ipsec ike keepalive log 2 off
  ipsec ike keepalive use 2 on rfc4306 10 3
  ipsec ike local name 2 kyoten1.aaX.netvolante.jp fqdn
  ipsec ike pre-shared-key 2 text yamaha
  ipsec ike remote name 2 sample_android.com fqdn
  ipsec ike mode-cfg address 2 1
  ipsec auto refresh 2 off
 tunnel enable 2
ipsec ike mode-cfg address pool 1 192.168.100.200-192.168.100.215/24

【重要】
・IKEv2リモートアクセスVPN接続では、ipsec auto refresh GATEWAY_ID off を設定してください。
・ipsec auto refresh on を設定した状態で、ipsec auto refresh GATEWAY_ID off を設定しても、
設定したトンネルのみ refresh sa されなくなるため問題なく使用可能です。
・端末のモバイル回線やWi-Fiが不慮に切断されたとき、
  ルーター側でセッションが残ってしまい次の接続をすぐ受けることができなくなります。
  対策としてルーター側で早期に切断を検知できるよう、
  TUNNELに対してキープアライブを有効にすることを薦めます。

拠点2のヤマハルーターの設定例

【経路設定】
ip route default gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
 
【LAN設定】
ip lan1 address 192.168.200.1/24
ip lan1 proxyarp on
 
【プロバイダとの接続設定】
pp select 1
 pp always-on on
 pppoe use lan2
 pp auth accept (認証方式)
 pp auth myname (ユーザ名) (パスワード)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
pp enable 1
 
【NAT設定】
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.200.1 esp
nat descriptor masquerade static 1 2 192.168.200.1 udp 500
nat descriptor masquerade static 1 3 192.168.200.1 udp 4500
 
【DNS設定】
dns server pp 1
 
【ネットボランチDNS設定】
netvolante-dns hostname host pp server=1 kyoten2.aaX.netvolante.jp
 
【IPsec(IKEv2)の拠点間接続で使用するトンネルの設定】
tunnel select 1
 ipsec tunnel 1
  ipsec sa policy 1 1 esp
  ipsec ike version 1 2
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on rfc4306 10 6
  ipsec ike local name 1 kyoten2.aa0.netvolante.jp fqdn
  ipsec ike pre-shared-key 1 text yamaha
  ipsec ike remote name 1 kyoten1.aa0.netvolante.jp fqdn
 tunnel enable 1
ipsec auto refresh on

▲ このドキュメントの先頭へ

4.6 L2TP/IPsecリモートアクセスVPN接続と併用する設定例

構成図

設定

Androidクライアント設定
- IPアドレス : XXXX.aaX.netvolante.jp(ネットボランチDNS)
- IPsec事前共有鍵 : yamaha (任意の文字列)
- IPSec ID : sample_android.com (任意の文字列)
L2TP/IPsecクライアント設定
- IPアドレス : XXXX.aaX.netvolante.jp(ネットボランチDNS)
- IPsec事前共有鍵 : yamaha (任意の文字列)
- ユーザー名 : user (任意の文字列)
- パスワード : pass (任意の文字列)

ヤマハルーターの情報
- ヤマハルーターのホスト名 : XXXX.aaX.netvolante.jp
- ヤマハルーターのプライベートアドレス : 192.168.100.1
- IKEv2クライアントへ配布するアドレス : 192.168.100.200-192.168.100.215
- IPsecのトンネルダウン検知 : 使用するインターバル10秒ダウン検知までのカウント3回

【経路設定】
ip route default gateway pp 1
 
【LAN設定】
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
 
【プロバイダとの接続設定】
pp select 1
 pp always-on on
 pppoe use lan2
 pp auth accept (認証方式)
 pp auth myname (ユーザ名) (パスワード)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
pp enable 1
 
【NAT設定】
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.100.1 esp
nat descriptor masquerade static 1 2 192.168.100.1 udp 500
nat descriptor masquerade static 1 3 192.168.100.1 udp 4500
 
【DNS設定】
dns server pp 1
 
【ネットボランチDNS設定】
netvolante-dns hostname host pp server=1 XXXX.aaX.netvolante.jp
 
【L2TP/IPsecリモート接続で使用する設定】
pp select anonymous
 pp bind tunnel1
 pp auth request (認証方式)
 pp auth username (ユーザー名) (パスワード)
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp remote address pool dhcp
 pp enable anonymous
 
tunnel select 1
 tunnel encapsulation l2tp
 ipsec tunnel 1
  ipsec sa policy 1 1 esp aes256-cbc sha256-hmac
  ipsec ike keepalive use 1 off
  ipsec ike nat-traversal 1 on
  ipsec ike pre-shared-key 1 text yamaha
  ipsec ike remote address 1 any
 l2tp tunnel disconnect time off
 ip tunnel tcp mss limit auto
 tunnel enable 1
ipsec transport 1 1 udp 1701
ipsec auto refresh on

l2tp service on
 
【IKEv2リモートアクセスVPN接続で使用する設定】
tunnel select 2
 description tunnel Android
 tunnel encapsulation ipsec
 ipsec tunnel 2
  ipsec sa policy 2 2 esp
  ipsec ike version 2 2
  ipsec ike keepalive log 2 off
  ipsec ike keepalive use 2 on rfc4306 10 3
  ipsec ike local name 2 XXXX.aaX.netvolante.jp fqdn
  ipsec ike pre-shared-key 2 text yamaha
  ipsec ike remote name 2 sample_android.com fqdn
  ipsec ike mode-cfg address 2 1
  ipsec auto refresh 2 off
 tunnel enable 2
ipsec ike mode-cfg address pool 1 192.168.100.200-192.168.100.215/24

【重要】
・IKEv2リモートアクセスVPN接続では、ipsec auto refresh GATEWAY_ID off を設定してください。
・端末のモバイル回線やWi-Fiが不慮に切断されたとき、
  ルーター側でセッションが残ってしまい次の接続をすぐ受けることができなくなります。
  対策としてルーター側で早期に切断を検知できるよう、
  TUNNELに対してキープアライブを有効にすることを薦めます。

【設定のポイント】
NVR510 以外のルーターには以下のコマンドがデフォルトで設定されているため、コマンドを入力する必要はありません。
・tunnel encapsulation ipsec

▲ このドキュメントの先頭へ

5. IKEv2のクライアント設定例

5.1 動作確認済みOS

IKEv2リモートアクセスVPN接続の動作確認済みOSとして以下のものがあります。

OS	バージョン
Android	13, 14, 15, 16
iOS	15, 16, 17
iPadOS	15, 16, 17

※2025年12月時点の弊社における試験結果に基づきます。
※各端末の初期状態からアプリケーションを何もインストールしていない状態で、
  各端末からヤマハルーターへIKEv2リモートアクセスVPNの接続動作を確認したものです。
  動作検証には各端末に標準搭載されているIKEv2接続を用いています。
  実際のご利用にあたっては、お客さま環境での動作を検証の上、ご利用ください。
※動作検証では、接続・通信・切断が正常に行えることを確認してます。

5.2 iOS端末に標準搭載されたIKEv2クライアントの設定手順

※すべてのiOS端末が下記設定手順通りにIKEv2クライアントを設定できるとは限りません。
詳しい設定はiOS端末のマニュアルを参照してください。
※画像は「iPhone 11 pro」を使用しています。

ホーム画面から設定を選択します。
設定画面から「一般」を選択します。
一般画面から「VPNとデバイス管理」を選択します。
VPNとデバイス管理画面から「VPN」を選択します。
「VPN構成を追加...」を選択します。

VPN構成を追加ページのタイプで「IKEv2」を選択し、以下のように各項目を設定します。
例としてIKEv2クライアントの名前を「Yamaha-vpn」とします。
各項目を入力したら「完了」をタップします。

説明	IKEv2クライアントの名前 (任意の文字列)
サーバ	接続先のホスト名もしくはIPアドレス
リモート ID	ルーター側のセキュリティ・ゲートウェイの名前 (ipsec ike local nameコマンドで設定したセキュリティ・ゲートウェイの名前)
ローカル ID	クライアント側のセキュリティ・ゲートウェイの名前 (ipsec ike remote nameコマンドで設定したセキュリティ・ゲートウェイの名前)
ユーザ認証	なし
証明書を使用	オフ
シークレット	IPsecの事前共有鍵 (ipsec ike pre-shared-keyコマンドで設定した事前共有鍵)
プロキシ	オフ

VPN接続(Yamaha-vpn)が作成されますので、作成したVPNを選択してオンにします。
IKEv2リモートアクセスVPNが接続されると、「状況」に「接続済み」と表示されます。

5.3 Android端末に標準搭載されたIKEv2クライアントの設定手順

※すべてのAndroid端末が下記設定手順通りにIKEv2クライアントを設定できるとは限りません。
詳しい設定はAndroid端末のマニュアルを参照してください。
※画像は「Pixel 6 pro」を使用しています。

メニュー画面から「設定」を選択します。
設定画面から「ネットワークとインターネット」を選択します。
ネットワークとインターネットの設定画面から「VPN」を選択します。
VPN設定画面から「+」をタップします。

タイプで「IKEv2/IPsec PSK」を選択し、以下のように各項目を設定します。
例として、IKEv2クライアントの名前を「Yamaha-vpn」とします。
各項目を入力したら保存をおします。

説明	IKEv2クライアントの名前 (任意の文字列)
サーバーアドレス	接続先のホスト名もしくはIPアドレス
IPSec ID	クライアント側のセキュリティ・ゲートウェイの名前 (ipsec ike remote nameコマンドで設定したセキュリティ・ゲートウェイの名前)
シークレット	IPsecの事前共有鍵 (ipsec ike pre-shared-keyコマンドで設定した事前共有鍵)
プロキシ	オフ

VPN(Yamaha-vpn)が作成されますので、作成したVPNを選択します。
「Yamaha-vpnに接続」と表示されるので、「接続」をタップするとIKEv2リモートアクセスVPN接続が開始されます。

▲ このドキュメントの先頭へ

6. SYSLOGメッセージ一覧

本機能において出力されるSYSLOGメッセージを以下に示します。なお、実際に出力される各メッセージの先頭には "[IKE2]" というプレフィックスが付与されます。
主に出力されるSYSLOGメッセージについては以下の通りです。

レベル	SYSLOG	説明
[DEBUG] x payload-info	generate Config payload Config type: reply	リモートアクセスVPNの送信側のペイロードデータ内容
	process Config payload Config type: request	リモートアクセスVPNの受信側のペイロードデータ内容
	INTERNAL_IP4_ADDRESS: INTERNAL_IP4_NETMASK: INTERNAL_IP4_DNS: INTERNAL_IP4_NBNS: INTERNAL_IP4_DHCP: APPLICATION_VERSION: INTERNAL_IP6_ADDRESS: INTERNAL_IP6_DNS: INTERNAL_IP6_DHCP: INTERNAL_IP4_SUBNET: SUPPORTED_ATTRIBUTES: INTERNAL_IP6_SUBNET:	Configuration Payload に含まれるペイロードの種類

▲ このドキュメントの先頭へ

9. 関連技術資料

セキュリティ・ゲートウェイ機能とIPsec

IPsec NATトラバーサル外部仕様書

IKEv2

L2TP/IPsec