プロのインフラエンジニア？が、Android VPN問題をなんとかしてみた。　①　～ 黎明編 ～

★はじめに

Android で L2TP/IPSec が使えなくなったのは12から。正確には11で設定していて12にアップデートしたヒトは使えたけど、12が最初に入ってるスマホとかは使えなくなった。「安全でないから」が理由らしいが、そんなのはユーザーが決めることだ、選ばせろ。

そもそも論として、ウチのルータにNEC IX2106を使ってるのは、L2TP/IPSecを使って外からVPNを張っておうちのリソースが使いたいからで、ソレが出来ないとなると、パーソナルクラウド構想が根本的に成り立たない。まさかのiPadがココで役に立つというのは笑えない話しだ。

★試した対応策

■NEC ICでIKEv2リモートサーバ機能が実装されるのを待つ！
 
待てど暮らせど来ない。実際これが一番スマート。

■LinuxでIKEv2サーバを立てる①
 
Dockerで簡単に入れられるサーバを選択するも、AndroidのIPSecIDの設定が必須問題にぶち当たる。StrongSwanクライアントを使っても駄目だった。

■LinuxでIKEv2サーバを立てる②
 
よろしい、ならばStrongSwanサーバを立てよう！でも、PSKもRSAも駄目だった。なんとなくココらへんで理由がおぼろげになってくる。

■LinuxでOpenVPNサーバを立てる
 
当然コレも駄目。ログをみるにどうしても認証に引っかかる。オレオレ証明書なのかDDNSを使ってるせいなのかは、分からない。

■IKEv2リモートサーバに対応しているルータを買う！
 
いやぁ、お金を出すのは最終手段でしょ・・・ソレはなんとなくヤダ。DDNSの考え方も変えなきゃだし。

■仮想ルータを立てる
 
アレって、Linuxディストリビューションの一種みたいなもんだしなぁ。。CLIならサーバと変わらんし。

★けっきょくどうなった

みたいな感じで七転八倒しながら、時間だけは無駄に過ぎて行く。。そんな中で方針みたいなものが出来てくる。モノを買うのは最終手段・IKEv2にすると全部IKEv2にしないになるのはチト面倒・VMware vSphere Hypervisor の上で使いたい 等。仮想・仮想・・仮想・・・

仮想UTMアプライアンスのSSL-VPN！

コレならNEC IX2106に設定しているL2TP/IPSecを汚さないし、ポートフォワーディングも一つですむ。スマホにクライアント入れるくらいのデメリットは甘受するか・・・個人利用なら無償で使える仮想UTMアプライアンスの存在を仕事で知っていたのも大きかった。GUIも使える！ケド、コレにも結構な壁が立ちはだかってたのですよ。ミスでHypervisorを再インストールするハメどころか、Zabbixの再構築もやったし。でも、バックアップのしかたにも、手を加えるキッカケにもなったし、良しとします。では、、、、

準備編へ続く！