- ベストアンサー
インターネットVPNの仕方
- インターネットVPNで拠点同士を接続する方法について調べました。通常は拠点Bから拠点AにVPN通信でCIFSデータを送信し、httpデータはインターネットに送信します。
- 拠点Bからのインターネット通信を拠点Aのプロキシサーバに通す設定条件には制約はありません。ただし、ファイル通信や必要データ以外はVPN以外を通して通信させることも可能です。
- 拠点Aと拠点BをインターネットVPNで接続する方法について調査しました。ファイルサーバデータはVPN通信で送信し、httpデータはインターネットに送信するのが一般的です。拠点Bからのインターネット通信をプロキシサーバ経由で制限しない設定も可能です。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
お尋ねの件ですが、指摘環境ですと、CiscoルーターにてIPSEC-VPN(GP1・アグレッシブモード接続)が安価に出来るかと存じます。Ciscoルーターにて、セキュリティ面でしたらIPフィルタ-in/out登録の必要にて、セキュア通信は可能、インターネット通信とVPNの同時・ダイナミックルーティングは可能です。 A地点・B7地点にて、IPSEC設定と静的ルーティング登録、UDP500番とespパケット転送(パススルー)とLinuxサーバ(samba)宛てに通信可能にすればOKです。IPSECのトンネルルーティングも必要ですが、双方のトンネル先IPの静的ルーティング登録は必要です。 インターネット接続については、CiscoルーターにてルーティングさせればOKです。
その他の回答 (1)
- nby1215tkd
- ベストアンサー率60% (9/15)
現行のCiscoルータ(モデル・IOSなど不明なので)でできるできないはおいておいて、 「拠点Bから送信される「httpデータ」は、インターネットに送信。」とは、どういう意味でしょうか? 拠点BにあるHTTPサーバのHTTPパケットの戻り(HTTP応答パケット)のことでしょうか? それとも拠点Bの端末から拠点外のHTTPサーバへのアクセス'(HTTP要求パケット)のことでしょうか? 機器に関係なく、IPルーティングは、宛先IPアドレスで実施されるため、プロトコルで分けるより、 宛先で分けられるのであれば、VPNのコントロールも宛先で行ったほうが良いと思います。 プロトコルで宛先を分けるのはL4以上の制御ですし、そもそも、今回は宛先で単純に経路制御 した方が簡単ではないでしょうか? 要は、プロトコルなんて関係なく、単純に拠点A-拠点B間の送受信だけVPN側に回すだけで 十分ではないのでしょうか? 少なくとも考えているプロトコルでわける方法だけでは、拠点内に組織内用HTTPサーバ(要は イントラWWWサーバ)がある場合、その通信がVPN側でなく、インターネット側になってしまうと 思います。 また、宛先でコントロールすれば拠点先が追加・変更されない限り、設定変更は不要ですが、 プロトコルでコントロールだとプロトコルを追加・変更するたびに設定変更が大変だと思います。
お礼
>機器に関係なく、IPルーティングは、宛先IPアドレスで実施されるため、プロトコルで分けるより、宛先で分けられるのであれば、VPNのコントロールも宛先で行ったほうが良いと思います。 >また、宛先でコントロールすれば拠点先が追加・変更されない限り、設定変更は不要ですが、プロトコルでコントロールだとプロトコルを追加・変更するたびに設定変更が大変だと思います。 確かに、おっしゃられる通りです。IPアドレスでVPN通信させるほうがいいですね。 参考になりました。 ありがとうございました。
お礼
>IPSEC設定と静的ルーティング登録、UDP500番とespパケット転送(パススルー)とLinuxサーバ(samba)宛てに通信可能にすればOKです。 >インターネット接続については、CiscoルーターにてルーティングさせればOKです。 なるほど。そういうやり方で出来るのですね。 情報ありがとうございました。