YAMAHAルータにL2TPできない IPv4 over IPv6
YAMAHAルータにL2TPできないと困って解決したので記録に残す。RTX1220に対してL2TPができない。RTX1210やRTX830はできるのになぜ?iPhoneもL2TPはOKで自分のPCだけできないという時の対処法(2026年5月)。ちなみにルータにエラーログが出力されており、ルータとWindowsのL2TPのやり取りがうまくいかないことは分かっている。IP間違えやシークレットキーのタイポではない。ちなみにL2TPサービスのルータのインターネット回線が、IPv4 over IPv6 というのが根本原因だ。
[CENTER-IPv6]# show log
2026/05/13 20:17:06: same message repeated 1 times
2026/05/13 20:17:06: [IKE] respond ISAKMP phase to 219.xxx.xxx.xxx
2026/05/13 20:17:06: [IKE] respond IPsec phase to 219.xxx.xxx.xxx
2026/05/13 20:17:06: IP Tunnel[24] Up
2026/05/13 20:17:06: [IKE] respond IPsec phase to 219.xxx.xxx.xxx
2026/05/13 20:17:09: same message repeated 1 times
2026/05/13 20:17:09: [IKE] respond ISAKMP phase to 222.xxx.xxx.xxx
2026/05/13 20:17:13: [IKE] respond IPsec phase to 219.xxx.xxx.xxx
2026/05/13 20:17:24: same message repeated 1 times
2026/05/13 20:17:31: [IKE] respond IPsec phase to 219.xxx.xxx.xxx
2026/05/13 20:17:35: [IKE] initiate informational exchange (delete)
2026/05/13 20:17:35: [IKE] respond ISAKMP phase to 222.xxx.xxx.xxx
2026/05/13 20:17:41: same message repeated 1 times
2026/05/13 20:17:42: IP Tunnel[24] DownNAT-Tの有効化
解決手順:レジストリの変更
以下の手順でWindowsの設定を変更してください。
レジストリエディターを起動する
キーボードの Windowsキー + R を押して「ファイル名を指定して実行」を開きます。
regedit と入力して「OK」をクリックします。(「このアプリがデバイスに変更を加えることを許可しますか?」と出たら「はい」を選択します)
対象のキーに移動する
左側のツリーを以下の順に展開し、PolicyAgent フォルダをクリックします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
新しい値を作成する
右側の空白の領域で 右クリック し、「新規」>「DWORD (32ビット) 値」を選択します。
作成された項目の名前を、一言一句間違えずに以下の通り入力します(コピー&ペースト推奨です)。
AssumeUDPEncapsulationContextOnSendRule
数値を変更する
作成した AssumeUDPEncapsulationContextOnSendRule をダブルクリックします。
「値のデータ」に 2 を入力し、「OK」をクリックします。
※「2」はサーバーとクライアントの両方がNATの背後にある場合でも接続を許可する設定です。
PCを再起動する
設定を反映させるため、必ずWindowsを再起動。
Windows側のVPN設定
接続プロパティ:ユーザー名とパスワード、共有キーの使用
その他のVPNプロパティ → セキュリティタブ
その他調査
マイクロソフトの説明
既定では、Windows Vista および Windows Server 2008 では、NAT デバイスの背後にあるサーバーへのインターネット プロトコル セキュリティ (IPsec) ネットワーク アドレス変換 (NAT) トラバーサル (NAT-T) セキュリティ アソシエーションはサポートされていません。 仮想プライベート ネットワーク (VPN) サーバーが NAT デバイスの背後にある場合、Windows Vista または Windows Server 2008 ベースの VPN クライアント コンピューターは、VPN サーバーへのレイヤー 2 トンネリング プロトコル (L2TP)/IPsec 接続を確立できません。 このシナリオには、Windows Server 2008 と Windows Server 2003 を実行している VPN サーバーが含まれます。
NAT デバイスがネットワーク トラフィックを変換する方法により、次のシナリオで予期しない結果が発生する可能性があります。
- サーバーを NAT デバイスの背後に配置します。
- IPsec NAT-T 環境を使用します。
通信に IPsec を使用する必要がある場合は、インターネットから接続できるすべてのサーバーにパブリック IP アドレスを使用します。 サーバーを NAT デバイスの背後に配置し、IPsec NAT-T 環境を使用する必要がある場合は、VPN クライアント コンピューターと VPN サーバーのレジストリ値を変更して通信を有効にすることができます。
WindowsのNAT-T(NAT Traversal)とは
WindowsのNAT-T(NATトラバーサル)とは、NAT(ルーター)の内部にある機器同士が、IPsecによる暗号化通信(VPNなど)をスムーズに行うための技術です。
本来、IPsecの通信パケットはNAT(IPアドレス変換)を通過すると、データが書き換わったと判定されて通信が破棄されてしまいます。NAT-Tは、IPsecパケットをさらにUDP(ポート番号4500)のパケットで包み込む(カプセル化する)ことで、ルーターに不正なパケットとみなされるのを防ぎ、安全にNATを通過させます。
なぜレジストリ変更の「要・不要」が分かれるのか?
同じヤマハのルーター(RTXシリーズなど)を使っていても、PCのレジストリ変更をしないと接続できないケースがある理由は、「ルーター自体がインターネットのグローバルIPアドレスを直接持っているか、それともルーターの手前にさらに別のルーターがあるか」という環境の違いによるものです。ヤマハルーター側の機種や性能の差ではありません。
Windowsにはセキュリティ上の仕様(制限)があり、「VPNサーバー(ヤマハルーター)がNAT環境下(プライベートIPアドレスを持つ状態)にある場合、デフォルトではL2TP/IPsec接続をブロックする」というルールが初期状態(無効)になっています。
具体的な違いは以下の2つのパターンに分かれます。
パターン1:レジストリ変更が「不要」なケース(直接接続)
- ネットワーク構成:
インターネット── (グローバルIP) [ヤマハルーター] - 理由: ヤマハルーターがプロバイダ(PPPoEやIPoE)と直接通信し、外側のインターフェースにグローバルIPアドレスを持っています。VPNサーバー自身がNATの配下にいないため、Windowsのセキュリティ制限に引っかからず、レジストリを変更しなくてもそのままL2TP/IPsec接続が成功します。
パターン2:レジストリ変更が「必要」なケース(二重ルーター環境)
- ネットワーク構成:
インターネット── [ひかり電話ルーター/ホームゲートウェイ等] ── (プライベートIP) [ヤマハルーター] - 理由: ヤマハルーターの手前にNTTなどの回線事業者からレンタルしたルーター(ホームゲートウェイ)があり、ヤマハルーターにはプライベートIPアドレスが割り当てられています(いわゆる二重ルーター・配下設置の状態)。
- この場合、Windows側から見ると「VPNサーバーがNATの奥に隠れている」状態になります。Windowsは安全性のためにこの接続を拒否するため、レジストリ(
AssumeUDPEncapsulationContextOnSendRule)の値を「2」に変更し、「NATの奥にあるサーバーへの接続も許可する」ように設定を強制的に変える必要があります。
IPv4 over IPv6
- この環境ではルーターが外側から直接見える位置(純粋なIPv4グローバル環境)に立てないため、「NATの奥にVPNサーバーがある」状態になり、レジストリ変更が必要になります。
もし現在のネットワーク構成でVPN接続が上手くいかない場合、以下の情報があればさらに詳しい対策をご案内できます:
- ご利用中のインターネット回線・プロバイダの接続サービス名(例:v6プラス、等)
- ヤマハルーターがIPv4 over IPv6の接続設定(トンネル設定)を直接持っているか、それとも手前のルーターに繋いでいるだけか
