YAMAHA RTXシリーズ と ShrewSoft VPN Client で順調に使用していたのですが気付いた事を捕捉しておきます。
RTX1500に限りNATトラバーサルを有効にするとファストパスが効かないかもしれません。
(今頃RTX1500って、、、という声は聞こえないフリをする。)
ファストパスに関するドキュメントの「機種毎に異なる制限」で、RTX1500のIPsecのESPトンネルのUDPカプセリングが非対応になっている・・・
これって、RTX1500の場合はパケット転送や暗号化処理はファストパスでハ-ドウェアが高速に処理してくれるものの、NATトラバーサル(=ESPトンネルのUDPカプセリング?)はノーマルパスになるというコトでは?
難しいコトはわからんので実際に試してみたところ、NATトラバーサルをOFFにすると体感で早くなった気がしました。
ツールを使用した計測等はやっていないのでプラシーボ効果かもしれませんがw
ググってみると実際にCPU負荷があがる症状になった方がいるようです。
ノーマルパスだとハード処理じゃなくなるので計算しまくるのでしょう。
なので、ルーターの設定でOFFにすることも試した方がいいかもしれません。
ipsec ike nat-traversal 2 on
上記をカット、もしくは明示的に off に。
完全に使用しないのであれば UDP 4500 まわりの制御も不要といえば不要。
ip pp secure filter in ... 100 101 102 ...
102のみカット。
ip filter 102 pass * 192.168.1.1 udp * 4500
IPフィルタと
nat descriptor masquerade static 1000 3 192.168.1.1 udp 4500
静的IPマスカレードも削除できる。
ま、残しておいても問題はないでしょうけどw
ただしNATトラバーサルを使用しない場合、クライアント側ルーターがWAN側からのespを通す必要があります。
ShreSoft VPN Client の場合 esp が通らないと「tunnel enabled」にはなるものの通信できませんでした。
YAMAHAのルーターであれば、使用するPCのプライベートIPアドレスを 192.168.3.2 (固定)として
ip filter 101 pass * 192.168.3.2 esp * *
というフィルタを追加します。
DHCPを使っているのであれば
ip filter 101 pass * 192.168.3.0/24 esp * *
とかでもいけますが、セキュリティ的には必要最低限にするべきかと。
ルーターによってはフィルタ等で TCP と UDP 以外のポートを指定できないモノもあります。
そういう場合はあきらめてNATトラバーサルを使いましょう。
接続台数にもよりますが、リモートアクセスであれば常時接続と違って許容範囲の負荷だと思います。
(PPPoEブリッジを使用して他のルーターを使ったり方法はありますが・・・)
改めて見てみると新しい機種はIPsecのESPトンネルのUDPカプセリング対応していますね。
それとファームウェアのバージョンによって差もあるのでバージョンアップも大事。
今回はRTX1500についてでしたが、ご利用のRTXについても調べてみると良いかもしれません。