如何启用×××服务器端的IPsec功能

　测试版安装完成之后，PacketiX ×××的IPsec功能尚未启用，请参照以下方法将其启用。

请参照以下方法配置×××服务器
×××服务器管理器的操作：
以服务器网络管理员模式，从测试版×××服务器管理器（在Windows上运行的GUI应用程序）对搭载着IPsec功能测试版的×××服务器进行连接，会出现新添加的“IPsec / L2TP 設定”按钮，请点击这个按钮。

然后，出现以下界面。
IPsec服务器被划分成几个组件，可以启用/禁用这个界面内的每项内容。

下面对上述界面设置进行补充说明

• L2TP服务器功能（L2TP over IPsec）

为了从iPhone、iPad、Android等智能手机以及Windows、Mac OS X所标配的L2TP ×××客户端可以连接到PacketiX ××× 服务器，请启用此项。

• L2TP服务器功能（未加密的L2TP）

如需使用特殊的路由器、不支持IPsec的L2TP装置及程序对PacketiX ×××服务器进行连接时，请启用此项。

• EtherIP over IPsec服务器功能

如需从受EtherIP支持的NEC IX2015等路由器对PacketiX ×××搭建2层×××时，请启用此项。
另外，如点击“EtherIP详细设置”按钮，则需对EtherIP相应设备的ISAKMP (IKE) Phase 1 ID及连接到×××服务器的虚拟HUB时用于连接设定的对应表进行定义。（后述）

• IPsec预共享密匙

IPsec预共享密匙英文缩写为PSK（Pre-Shared Key），也可称为“密钥(secret)”。这里的字符串默认为“***”（半角英文），建议更换。该预共享密匙更换后，请告知所有使用该IPsec ×××的用户。

×××CMD的操作

现阶段测试版中不支持使用×××命令行管理工具(***cmd)对IPsec服务器功能进行设置（计划以后支持）。
由此，目前在Linux、Solaris、FreeBSD、Mac OS X系统上设置×××服务器时，必须在Windows终端上启动“×××服务器管理器”，以远程管理模式连接×××服务器服务，对IPsec功能进行设置。

L2TP服务器功能中指定用户名的方法

从支持L2TP的×××客户端向启用了L2TP服务器功能的PacketiX ×××服务器进行×××连接时，客户端指定的用户名是以包含“虚拟HUB名”为原则的。
例如，在PacketiX ×××服务器上有“HUB1”和“HUB2”两个虚拟HUB。用户JIRO登录了HUB1，YAS登录了HUB2。
这种情况下，进行L2TP连接时，请以JIRO@HUB1或YAS@HUB2，按照“用户名@虚拟HUB名”的形式指定用户名。（用户名、虚拟HUB名的字符串不区分大小写）
连接时如果用户名中的虚拟HUB被省略（没有指定@之后的字符串），程序将选择在IPsec服务器设置界面中被选择默认的虚拟HUB。
例如，“HUB2”是被选择默认的虚拟HUB，用户“YAS”即使只使用“YAS”字符串也可以连接到虚拟HUB。

L2TP服务器功能中密码的指定方法

在L2TP用户认证手续上被L2TP ×××客户端所指定的用户名及密码会传递给虚拟HUB的用户认证模块。
因此，需要将L2TP ×××客户端上的用户名及密码事先注册在虚拟HUB上。（如果L2TP ×××客户端上的用户过多，不想一一添加到虚拟HUB，也可以使用“*”用户名，并开启Radius认证以及Active Directory认证等外部用户认证加以解决）
所以，L2TP ×××客户端无法连接证书认证的用户。

EtherIP的详细设置

使用EtherIP时，需要点击“EtherIP的详细设置”按钮，事先对EtherIP客户端（路由器等）与×××服务器进行IPsec连接时提示的ISAKMP (IKE) Phase 1的ID字符串、以及连接对象的虚拟HUB及虚拟HUB内的用户设置等项进行注册。

• NEC IX2015如何使用EtherIP进行连接

注意事项

启用PacketiX ×××的IPsec功能时，建议停止操作系统自带的、非操作系统自带的、以及之后安装的程序、通信功能及相关服务（如IPsec/L2TP商业程序）。
PacketiX ×××的IPsec / L2TP功能可能会与其他公司开发的类似功能使用同一端口（UDP 500, 4500, 1701），由此可能会造成通信受阻或不能使用的现象。
例如，Windows的“路由与远程访问”功能，请停止。
当PacketiX ×××的IPsec功能启用时，Windows的IPsec占用上述端口的服务会被暂停。

一般来说，L2TP ×××客户端的×××中使用的IP地址并非由手动设置，而是从×××服务器端获取的。

（Windows等一部分操作系统中的L2TP客户端可以进行固定IP地址设置，而iPhone及iPad等则没有固定IP地址设置）
L2TP ×××客户端要连接到虚拟HUB时，需要在虚拟HUB的以太网段上运行DHCP服务器。
通过DHCP服务器，IP地址被自动分配给L2TP ×××客户端。而且，子网掩码、DNS服务器地址、默认网关等×××内部通信所必须的参数也是由DHCP服务器来分配的。因此，如果×××连接对象的虚拟HUB的以太网段没有DHCP服务器存在的话，是不能进行来自L2TP的×××连接的。
 DHCP服务器可以使用站点端的设置，如果连接对象的×××网段没有DHCP服务器，也可以使用SecureNAT功能的虚拟DHCP服务器（每个虚拟HUB都可以运行）。

在×××服务器与客户端之间有NAT的时候，请注意以下事项。
 NAT存在于×××服务器端
在NAT（NAPT）背后设置了已启用IPsec功能的×××服务器时，请将NAT设置为可以将由互联网输送到全球IP地址的网络通信流量中以下种类的流量传送到由×××服务器分配的个人IP地址的形式。

• 使用L2TP over IPsec、EtherIP over IPsec时

占用UDP 端口 500, 4500。

• 使用L2TP(没有IPsec)时

占用UDP端口1701

• 另外，当互联网与×××服务器之间设置了防火墙及数据包过滤的时候，请将上述收发信端口设置为允许数据包通过的状态。
• 在使用Windows自带的L2TP ×××客户端功能的情况下，连接对象的×××服务器设置在NAT背后时，请按以下解说编辑注册表：

• Windows XP / Server 2003注册表设置方法
  Windows Vista / 7 / Server 2008 / Server 2008 R2注册表设置方法

NAT在×××客户端

PacketiX ×××服务器搭载的IPsec功能支持最新的NAT驱动（RFC 3947 Negotiation of NAT-Traversal in the IKE）。
因此，即使NAT在×××客户端，也没有必要对NAT 进行设置。
但是，如果防火墙和数据包过滤系统设置了白名单，需要使UDP端口500、4500的UDP数据包能够通过。