Q&A
いつでもOK

Android12以降でVPN接続をしたい!

nobuta
nobutaさん
マスター
Q&AのURLをコピー

現在、Android11までのOSで、自宅Windowsサーバ宛にL2TP/IPsec-PSKでのVPNを張っています。

しかし、Android12以降はIKEv2でないとVPNを張ることができないようです。
(12に、アップした端末は、それまでの設定で利用可能/新規追加不可)

なるべく余計なソフトをインストールせず、自宅サーバーとVPN接続をしたいのですが、良い方法はないでしょうか?
一応、StrongSwanをインストールして試してますが、こちらも、、、、

WindowsServer上での設定は終わっていると思っているのですが、Android側の設定が、不明で困っています。

Windows上での設定(一部改変済み)
接続名:nobuta.net(DDNS)
ユーザー名:nobuta@nobutanet.local
パスワード:P@ssw0rd
事前共有キー:nobuta-house
※このまま入力しても、繋がりませんので悪しからず。。。

今まで、L2TP接続のときは、上記を当てはめるだけで接続できていたのですが、IKEv2の場合
IPsec-IDなるものを入力しないと設定が完了できず、また、PSKでは、ユーザー名を入力できなかったり、MSCHAPv2では、PSKを入力できなかったりしており、うまく設定ができません。

なにか解決策をご存じの方はおられないでしょうか?

【2022/11/28 01:26 追記】

ちなみに、VPNサーバ構築において、設定内容は、
・ADサーバ上にグループ"VPN"を追加し、グループ”VPN”に属している人をVPN接続許可する。
・リモートアクセスの機能をインストールする
・IPsec用事前共有キーを設定する
・ポートに穴をあける
・暗号化強度を少し上げる
以上です。。。
これで、"SSTP”,”L2TP”,”IKEv2”,”PPTP”,”PPPoE”,”GRE”等、すべてのリモートアクセス設定が出来上がる素晴らしい仕様でした。。。


チップについて
0
ナイス!
2

お気に入り
3

知りたい
10
9 件の回答
ヨッシーセブン@北京
SGマスタサポートアンバサダー
回答のURLをコピー

HUAWEI Mate 30 Pro 5G(その他) medal ベストアンサー獲得数 1,490 件

ググってみただけで、内容理解できていませんが、ご紹介させていただきます。
https://www.runserver.jp/vpn/ipsec-ikev2-vpn-for-mac-windows-android/
チップについて
1
ナイス!
1
返信
1
  • 1
nobuta
nobutaさん・質問者
マスター
回答のURLをコピー

Xperia 1 IV(mineo(docomo)) ベストアンサー獲得数 1 件

>>1 ヨッシーセブンさん

そのサイトも拝見させていただきました。
IKEv2でヒットするサイトは一通りチェックさせていただきましたが、今ひとつ『これだ!』という答えが見つけられていない状態です。
チップについて
0
ナイス!
0
返信
1
  • 7
ヨッシーセブン@北京
SGマスタサポートアンバサダー
回答のURLをコピー

HUAWEI Mate 30 Pro 5G(その他) medal ベストアンサー獲得数 1,490 件

Screenshot_20221128_112559.jpg

>>7 nobutaさん

私は、自宅のASUS製Wi-Fiルーターが内蔵しているVPNサーバー機能を用いてVPN利用しています。
その他、有料のVPNサービスも利用しています。

どちらも、端末側にはVPNアプリをインストールして利用しています。
チップについて
0
ナイス!
0
返信
0
  • 20
yoshi君
yoshi君さん
SGマスタ
回答のURLをコピー

Pixel 8 Pro(mineo(au)) medal ベストアンサー獲得数 425 件

zRk0O2WQTXiqyVJcGTBHZw.jpg

すみません、詳しい知識は持ち合わせていないので全く参考にならなければスルーして下さいm(_ _)m


https://wi2.co.jp/jp/
https://wi2.co.jp/jp/personal/gigazo/
私はギガぞうWi-Fiを使ってお店のフリーWi-FiとVPN接続をしていますが、自宅のWi-Fiにおいてもギガぞうが働いているようです(添付写真の通り)

有料にはなりますが自宅だけでなく使えるお店も多いので、お試しになってみるのはいかがでしょうか。

ちなみに私のスマホはpixel6pro、OSはAndroid13です。
チップについて
1
ナイス!
1
返信
1
  • 2
nobuta
nobutaさん・質問者
マスター
回答のURLをコピー

Xperia 1 IV(mineo(docomo)) ベストアンサー獲得数 1 件

>>2 yoshi君さん

返信ありがとうございます。
VPNで、フリーwifiを暗号化したいのではなく、自宅とのネットワークを直接つなぐためにVPNを構築して利用しています。

Android12以降でも使えるVPNは、ないでしょうか?
チップについて
0
ナイス!
0
返信
0
  • 8
よっちおじさん
Gマスター
回答のURLをコピー

Galaxy S23 Ultra(au) medal ベストアンサー獲得数 277 件

筑波大学が公開してるVPNなんかどうなんでしょうか?

詳しくは
VPN Gate 筑波大学による公開 VPN 中継サーバープロジェクト
https://www.vpngate.net/ja/
チップについて
1
ナイス!
1
返信
1
  • 3
よっちおじさん
Gマスター
回答のURLをコピー

Galaxy S23 Ultra(au) medal ベストアンサー獲得数 277 件

補足
L2TP/IPsec VPN プロトコルを用いた VPN Gate への接続方法
https://www.vpngate.net/ja/howto_l2tp.aspx
チップについて
1
ナイス!
1
返信
1
  • 4
nobuta
nobutaさん・質問者
マスター
回答のURLをコピー

Xperia 1 IV(mineo(docomo)) ベストアンサー獲得数 1 件

>>4 よっちおじさんさん

返信ありがとうございます。

このサイトも参考にして、構築したのですが、結局のところ、IPsec-IDが解決できず、困っています。
どこで、どのようにして指定するのか。。。

なお、インターネットの中継にVPNを、使いたいのではなく、
スマホ−自宅間をセキュアにつなぎたいので、オープンなVPNサーバを使うのは用途として違っているんです。。。
チップについて
0
ナイス!
0
返信
0
  • 9
ばななめろん
SGマスタ
回答のURLをコピー

BlackBerry KEY2(その他) medal ベストアンサー獲得数 80 件

既にヨッシーセブンさんがコメントされているように、Android標準の VPNクライアントを利用しない方法が現状の対応方法と考えます。

[参考]
●2021/11/11 Android 12 で新しい L2TP/IPsec 接続が作成できない問題について (SoftEther Project)
https://ja.softether.org/9-about/news/903_211111

●Android 12以降でVPNに接続する方法(yappli Tech Blog)
https://tech.yappli.io/entry/android12-vpn

上記参考文献では
1.Android 12から L2TPなどの接続・認証方式を廃止している模様
2.Android 13以降は既存の L2TP接続プロファイルも利用出来なくなる可能性

が類推できます。
他代替 VPNクライアントとして OpenVPNクライアントやら strongSwan(こちらはヨッシーセブンさんのコメントリンク先で利用)などを検討するのが次善の策かと思います。
チップについて
1
ナイス!
1
返信
1
  • 5
nobuta
nobutaさん・質問者
マスター
回答のURLをコピー

Xperia 1 IV(mineo(docomo)) ベストアンサー獲得数 1 件

>>5 ばななめろんさん

返信ありがとうございます。

その新しい接続(IKEv2)を試みて、わからない設定があり、相談させてもらっております。

IPsec-IDってなんでしょうか??
チップについて
0
ナイス!
0
返信
0
  • 10
amiyy
amiyyさん
Gマスター
回答のURLをコピー

iPhone SE (第2世代)(povo) medal ベストアンサー獲得数 195 件

nobutaさん こんにちは

>>WindowsServer上での設定は終わっていると思っているのですが

先ずはこれを確定されてはいかがでしょうか。
「今までやってからできるはず」という思い込みをやめて、一歩一歩確実に確認して頂上(ゴール)を目指してください。

ご自宅側の環境が謎なのでエスパーですが、とりあえず”両側NATなし”の構成から始めてRASの設定を確定するのが一合目かとおもいます。自宅サーバーなら同一セグメントに端末をおくのは難しくないでしょう。
チップについて
1
ナイス!
1
返信
1
  • 6
あいだの1件を表示
amiyy
amiyyさん
Gマスター
回答のURLをコピー

iPhone SE (第2世代)(povo) medal ベストアンサー獲得数 195 件

>>11 nobutaさん
>>両側NATは、挟んでないです。。。

ん???
mineo回線使ったandroidスマホなんですよね?
ではmineo側には確実にNAT入ってます。
※昔のOCNモバイルとかならNATなしもあり得ます。
チップについて
1
ナイス!
0
返信
1
  • 12
nobuta
nobutaさん・質問者
マスター
回答のURLをコピー

Xperia 1 IV(mineo(docomo)) ベストアンサー獲得数 1 件

>>12 amiyyさん

あ、そういう意味ですね。

>とりあえず”両側NATなし”の構成から始めてRASの設定を確定する

とりあえず、自身の環境で一番シンプルな構成という意味で、枚ネットワーク内のルーティングや、NAT等の変換はしていないという意味合いで記載しました。

失礼しました。。。

ただ、知り合い等にファイルサーバの貸し出し等もしてますので、今の環境を長期に渡って切断するわけにもいかず、なるべく今のままの環境は残しながら、構築しないといけないので、ネットワークを大きくいじるのも。。。

だれか、詳しい方からの、
「1.このコマンドを入力!
 2.次に、このコマンドを。。。
 3.ユーザー名入力してかんせい!」
みたいな答えを書き込める方はいないでしょうか???(笑)

もしくは、IPsec-IDは、WindowsServer上の、この設定ですよ!って言っていただける方。。。
チップについて
0
ナイス!
0
返信
0
  • 16
jyoro@人類最下位
Gマスター
回答のURLをコピー

AQUOS zero SH-M10(ahamo) ベストアンサー獲得数 1 件

VPN自体がそもそもVPN Gateしか使ったことないし、構築したことないのでわからないですが、VPN構築時になにかポリシーファイルとかを作成していませんか。その名前を指定してみたらいいかもしれません?
チップについて
1
ナイス!
0
返信
1
  • 13
nobuta
nobutaさん・質問者
マスター
回答のURLをコピー

Xperia 1 IV(mineo(docomo)) ベストアンサー獲得数 1 件

>>13 jyoroさん

返信ありがとうございます。

ポリシーファイルの名前ですか。。。確かに。。。

って、指定したのは、許可するユーザー名だけですね。。。
IPsecの中でいじっているのは、事前共有キーですが、これは別に指定しているので、何かが違う感。。。

そして、入内な事実・・・
l2tp/ipsec接続(現在の運用)でも、IPsec-IDは、入力可能で、空白にしています。
なので、なおのこと、この項目IKEv2でも空白で接続したいのですが、空白だと保存できないんですよ。。。オヨヨヨヨ。。。。
チップについて
0
ナイス!
0
返信
0
  • 17
きんたろーー@肉
SGマスタ
回答のURLをコピー

iPhone 7 docomo(docomo) ベストアンサー獲得数 3 件

Android非使用者ですが、気になったので調べました。

■VPN受け側:YAMAHAルータの場合
接続できないようです。
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/index.html
概要の一番下に
・Android 12では、L2TP/IPsecが使用できなくなったため、ヤマハルーターとAndroid 12のクライアント間でのL2TP/IPsec接続はできません。

対策としては、メーカーの対応待ち

■ソフトウェアを利用する場合
OpenVPNクライアントアプリを利用する方法があるようです。
https://note.com/noblehero0521/n/n0c928374be3c

どのルータを使用しているか不明ですが、各ルータメーカーの対応が待たれると思います。
チップについて
1
ナイス!
0
返信
1
  • 14
あいだの1件を表示
きんたろーー@肉
SGマスタ
回答のURLをコピー

iPhone 7 docomo(docomo) ベストアンサー獲得数 3 件

>>15 つづき

WindowsServerでしたね
チップについて
1
ナイス!
0
返信
0
  • 18
nobuta
nobutaさん・質問者
マスター
回答のURLをコピー

Xperia 1 IV(mineo(docomo)) ベストアンサー獲得数 1 件

>>15 きんたろーーさん

環境としては、
OpenWRTのルータ(Linuxベースカスタムルータ)
内部に、Windowsサーバにて、VPNサーバを立てています。

関係するパケットは、NAPT変換でVPNサーバへ飛ばしている状況です。

OpenVPNでのサーバ構築であれば、OpenVPN同士でないとつながらない感はありますが、代用できそうですね。
最悪は、こちらで使いたいと思います。
ただ、できれば、大きくいじることがない環境が望ましいので、引き続き、IPsec-ID以下ry
チップについて
1
ナイス!
1
返信
0
  • 19
nobuta
nobutaさん・質問者
マスター
回答のURLをコピー

Xperia 1 IV(mineo(docomo)) ベストアンサー獲得数 1 件

無題.png

皆さんお世話になります。

ikev2での接続において、必要な設定を把握するため、
取り急ぎ、ikev2対応のやっすいルーター(ASUS/RT-AX55)を買いました。
そして、てきとーなIPV4接続として、使っていない回線も用意して、試したところ、無事に接続可能となりました♬
(Android12標準VPNにて、IKEv2/IPsec MS-CHAPv2で接続できました。
 尚、IPsec-IDは、任意な文字列(入力は必須)でした。
このあたりは、解決した際に、投稿元に書き込みたいと思います。)

~Caution!!~Caution!! ただ~し! ~Caution!!~Caution!!~

つながっただけ。自宅のファイルサーバにアクセスできず、困っています。
原因は、今まで、VPNで接続できた際は、同一ネットワークに所属させていましたが、ルーターでの接続は、別ネットワーク扱い。
AD/DNS認証ができていないようで、困っています。

別ネットワークを追加した際のネットワーク認証のさせ方、ご存じの方はおられないでしょうか。
(というより、ASUSのVPNは、どのIPでL3のスイッチングをしているのでしょうか。。。初期設定では、VPNに割り当てるIPアドレスが10.10.10.1~10.10.10.254 となっており、GWアドレスが指定されていないように見受けられたもので。。。)

現状は、以下の通りです。
※テストはすべてLTE回線から行っています。

VPN接続後可能な作業
・WEBブラウジング(SPEEDテストにて、自宅ネットワーク経由のIPになっていることを確認)
・IPアドレスにてLAN内WEBページ参照可能を確認(L2-SW等の管理画面にて確認)
・ドメイン管理されていないサーバ(IPアドレスベース)へのPING確認

VPN接続するもできない作業
・ファイルサーバへのアクセス(IPアドレス指定も不可)
・ターミナルアプリより、ドメイン管理されているサーバへのPING確認不可(IP直打ち/ホスト名ともに)
 (直接接続では可能を確認)

参考までに、簡易なネットワークを書いて貼り付けます。

尚、調査をしても、
「VPN接続後、共有ファイルを参照できない場合の3つの解決法!」とか、それっぽい記事も見ましたが、
FQDNでアクセス!とか、直接IPを入力!とか、hostsファイルをいじる!とか、
そんな、初手でつまずいているんじゃないんです。
もっと初歩なんです!!たぶん(笑)

ということで、なにか、心当たりがありましたら、よろしくお願いします。
チップについて
0
ナイス!
0
返信
0
  • 21
ゆ~ちゃん84
マスター
回答のURLをコピー

AX7(mineo(softbank)) medal ベストアンサー獲得数 47 件

ぶっちゃけOpenWrtとVPN張れば良いだけのような気がしますけど、まず野豚ネットワーク内の各ホストに10.10.10.0/24宛を192.168.xxx.2に向けるstatic routeは追加されてますか

でないと非対称ルートになってしまうと思いますが。
チップについて
10
ナイス!
1
返信
2
  • 22
あいだの1件を表示
nobuta
nobutaさん・質問者
マスター
回答のURLをコピー

Xperia 1 IV(mineo(docomo)) ベストアンサー獲得数 1 件

>>22 ゆ~ちゃん84さん

時間作るまでも無く、寝る前に試してみたら、あっさり解決しました。
動的ルーティング以外の個所で躓いてたんですね。。。
(管理用ネットワークのWEBサイトが見れたのはめっちゃ不思議。。。)

あとは、この経験を生かして、証明書発行して、OpenWRTに組み込みたいと思います。(心が折れたらこのまま本運用にします。w)
チップについて
0
ナイス!
0
返信
1
  • 24
ゆ~ちゃん84
マスター
回答のURLをコピー

AX7(mineo(softbank)) medal ベストアンサー獲得数 47 件

WEBサイトが見られたのはOpenWrtからICMP redirectが出てるんじゃないですかね

いずれにせよ解決して何よりです。
繋がらないetc.うまくいかない場合はパケットキャプチャー取るのが一番です。WindowsでもWireSharkが使えます。
暗号化されてて中身が分からん…という場合もIKEの復号とか出来ますよ(もちろん秘密鍵があれば、ですが)
チップについて
0
ナイス!
0
返信
0
  • 25