※ ChatGPTを利用し、要約された質問です(原文:YAMAHAルーターでのVPNにおけるVPN使用機器の制限方法について)
YAMAHAルーターでのVPNにおけるVPN使用機器の制限方法について
このQ&Aのポイント
YAMAHAルーターでのVPN使用機器の制限方法について解説します。
YAMAHAルーターはポリシーベースではないため、VPN使用機器の制限方法には異なる手法が必要です。
YAMAHAルーターのVPN設定において、Netscreenと同様の制限をかける方法を紹介します。
YAMAHAルーターでのVPNにおけるVPN使用機器の制限方法について
YAMAHAルーターでのVPNにおけるVPN使用機器の制限方法について
現在、各拠点間でVPN設定しているルーターを、Netscreen系のルーターから YAMAHA機器(RTX1200やRT107eなど)に置き換えを進めています。
通常のLAN同士のVPNは問題なくできましたが、その先に追加する設定方法で悩んでおります。
これまで不要なアクセスを制限するために、Netscreen にて各拠点でVPNを使用するPCやサーバーを、Netscreenの「Object-Addresses-list」へ登録し、Policy上で接続を作成しておりました。
たとえば、
拠点A 192.168.1.0/24
拠点B 192.168.2.0/24
拠点C 192.168.3.0/24 があるとして
拠点A-B間のVPNは、192.168.1.100/32 ~ 192.168.2.0/24
拠点A-C間のVPNは、192.168.1.100/32 ~ 192.168.3.100/32
のようなpolicyを作成し、それ以外のVPNは通さないといった具合です。
Netscreenでは、簡易にこのような設定ができていました。
YAMAHAルーターはポリシーベースではないため、全く違う手法が必要かもしれませんが、ヒントや設定例だけでもご教授いただければと思います。よろしくお願いします。
お礼
こちらで頂いた内容などを参考にした結果、 目的のVPN設定ができるようになりました。 ありがとうございました。
補足
回答ありがとうございます。 ルーティングやフィルタリングについてはマニュアルで確認中です。 > 特定のあて先に該当するルーティングのみをトンネルインターフェースに向ける これは質問の例で上げました「拠点A-B間のVPNは、192.168.1.100/32 ~ 192.168.2.0/24」でいうと、 ip route 192.168.1.100/32 gateway tunnel 1 のような記述を、拠点Bのルーターに設定、拠点Aにも対向する設定をに書くことで実現されるということでしょうか。 これまでは、"ip route 192.168.1.0/24 gateway tunnel 1" というような記述でした。 > ルーティングはネットワークで指定し、フィルタリングする ここがよくわかりませんが、同様に質問の例で上げました「拠点A-C間のVPNは、192.168.1.100/32 ~ 192.168.3.100/32」でいえば、 ip route 192.168.1.100/32 gateway tunnel 1 ip filter 300001 pass-nolog 192.168.3.100 192.168.1.100 ip filter 300002 reject-nolog 192.168.3.* 192.168.1.* 拠点Cのルーターにのような指定を行ない、 この後、" ip tunnel secure filter 300001 300002" といったコマンドにて設定する。 拠点Aにも対向する設定を追加するということで良いでしょうか? 勉強不足で申し訳ありませんが、よろしくお願いします。