- 締切済み
2重ルータでVPN接続
2重構成のルータからのVPN接続について質問させて頂きます。 (1)インターネット接続済みの拠点をインターネットVPNで接続したい。 (2)VPNルータで各拠点のルータを置き換えれば済むと考えていたところ、 実は各拠点のルータで光電話等‥のVPNルータ側にない機能が使われており 単純に置換すると今まで利用できた機能が使えなくなるので置き換えできない。 上記の理由から、現状のルータを活かしたまま、VPNルータを2重構成にする方向で考えています。 (2重構成で無くても構わない場合はその方法も知りたいですが、既にVPNルータ購入済みの状態 から作業を引き継いだので、VPNルータは活かしたいです。) 実現したい構成を纏めると下記のようになります。 拠点A 拠点B ------------------------------------------------------------------- PC -> VPNルータ -> ルータ ->(インターネット)<- ルータ <- VPNルータ<- PC ↑ ↑ その他PC その他PC VPN接続が必要な端末は限られているので、その他のPCは今まで通り、 通常のルータに接続したままを考えています。(要はVPNルータとVPN接続用PCのみ追加予定です。) 拠点Aに関してはその他PCとVPN接続下のPCでファイルの共有等はやる予定です。 新規のVPNルータはYAMAHAのRTX1200、既存ルータがNECのWEBCASTER V110です。 拠点BのルータはYAMAHA製です。(機種番号は失念しました) こちらのサイトを参考に設定したのですが、うまくいきませんでした。 http://news.mynavi.jp/series/vpn/010/ 拠点B側も2重構成という部分が異なる為だと考えていますが、 設定方法等分かる方がいらっしゃればお知恵を拝借できれば と思います。 長々とすみませんが、宜しくお願い申し上げます。
- みんなの回答 (6)
- 専門家の回答
みんなの回答
- koi1234
- ベストアンサー率53% (1866/3459)
No4 訂正(他にもあるかも) >ip route 拠点BIPセグメント gateway tunnel 1 ip route 拠点B新ルータLAN側IPセグメント gateway tunnel 1
- nnori7142
- ベストアンサー率60% (755/1249)
追加補足返答確認しました。ルーター構成はイメージ通りで合っています。 回線終端装置→V110ルーター→RTX1200→PCでOKです。先刻の通りの設定、RTX1200にてPPPOE認証設定+IPSEC-VPN設定の方がトラブルが無いかと存じます。 セキュリティ機器が接続されているとの事ですが、SECOMやALSOK等警備通信設備用の機器(アラームセンダー)ではないでしょうか?アラームセンダーであれば、警備保障会社との接続にインターネット接続を利用し、PPTPパススルー設定が基本ルーターに必要なケースが考えられますので、アラームセンダーが接続されているLANケーブルをRTX1200側へ変更し、RTX1200側の設定でTCP1723とGREパケットを透過する設定をすれば、恐らくはOKかと存じます。 セキュリティ関連機器が、上記アラームセンダーではなく、ファイアーウォール機器(UTM機器)であれば、どちらかのOA機器販社が導入されているかと存じますが、そのファイアーウォール機器のUDP500番とESPパケットを透過する設定をファイアーウォール機器に投入しなければ、IPSEC-VPN通信が拒否されてしまう可能性もありますので、そのあたりが確認事項です。 実際に構築するとしましたら、回線終端装置→V110ルーター→RTX1200→セキュリティ機器となる構成かと存じますが、V110の方は光電話のみの設定(PPPOEブリッジのみ有効)+RTX1200(PPPOE認証投入、IPSEC設定)→配下セキュリティ機器での制御となるかと思います。 2重ルーターで構築するとしたら、V110ルーターに追加設定で、DMZ設定でRTX1200側に充てるIP登録、RTX1200の方はWANインターフェイスは固定IP(V110のDMZ-IPに指定した数値)、ゲートウェイ登録(V110のIP)、DNSサーバにV110のIPと設定を投入、IPSEC-VPN設定といった流れになるかと存じます。 上記の2重ルーターでの構成で、RTX1200のWAN側に相当するIPは、V110のプライベートIPの固定数値ですので、もしプロバイダ契約が動的グローバルIPの契約で、グローバルIPの名称解決のためのNetvolanteDNS設定は動作しません。→この状態ですと、IPSEC-VPNの通信時のグローバルIPが変動した時に問題が出るケースもありますので、お勧めしません。(もし、実施するとしましたら、プロバイダ契約の方へグローバルIP固定契約の確認が必要になるかと存じます。) RTX1200にPPPOE設定を投入する形式(2重ルーターではない構成)でしたら、プロバイダの契約が動的グローバルIPでもNetvolanteDNS設定が可能な方法ですので、グローバルIP固定契約無しでも問題は無いかと存じます。
- koi1234
- ベストアンサー率53% (1866/3459)
No3 です >これは、Tunnel設定時に、local側のアドレスは新VPNルータの内側? >アドレスを指定し、remote側にもう一方の拠点の内側?アドレスを指定する 両方固定IPだとした場合以下のような設定になるかと思います (両拠点固定IP IPSecVPN) ---------拠点A側 設定例 (B側は逆になるだけ) ip route 拠点BIPセグメント gateway tunnel 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 拠点A側 新ルータLAN側アドレス ipsec ike pre-shared-key 1 text 事前キーパスワード ipsec ike remote address 1 拠点B側旧ルータクローバルIP ipsec auto refresh 1 on tunnel enable 1 先に書いた単体クライアントでのテストするなら 以下の設定を行ってください (PPTPによるanonymous接続) pp select anonymous pp bind tunnel10 pp auth request mschap-v2 pp auth username ユーザ名 パスワード ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type mppe-any ppp ccp no-encryption reject ip pp remote address pool 拠点A新ルータLAN アドレスでIP予約 ip pp mtu 1280 pp enable anonymous tunnel select 10 tunnel encapsulation pptp tunnel enable 10 pptp service on 各コマンドの詳細はリファレンスマニュアルなどを参照してください 必ずしも記載のままでいいとは限りません YAMAHAの設定例にそれなりにサンプルがあるので それ見てもいいと思います (私も基本的にそれら参考にして設定しました)
- koi1234
- ベストアンサー率53% (1866/3459)
No1 です >新ルータの外側アドレス宛に設定 これだけで(1)~(4)の状態にはならない筈ですし これがきちんとできているなら旧ルータでそれ以上の設定はいらない筈です (5)(6)に関しても同じ 以下はYAMAHA RTシリーズでの話ですが参考にしてください http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/faq_2_k.html 新ルータにVPNサーバの機能があってそこでサーバ機能動かすなら (7)(8)なんてのもいりません そうした場合上記URLでの端末IPってのが新ルータのLAN側IPアドレスに該当します またTunnel設定で相手側セグメントの通信のゲートウェイを 設定したTunnelに向ける必要があります パケットフィルタなどが入ってくると話がさらに複雑になってしまうので あくまでVPN限定で話をしています 一気にすべて実現させようとしないで 1.拠点AでVPNサーバ構築 拠点B(の1クライアント)からそこに対してアクセスを確認 2.拠点B川のルータ自体で拠点Aに対して LAN間 VPN 接続の確認 それができたら今度は逆の確認の手順で作業したほうがいいかもしれません というか 拠点間LANでVPN組むなら逆方向も何もないですが あと VPNパススルーでも使えるプロトコルが限定されていることがあるかもしれませんので どうしてもうまくいかなければそこも確認したほうがいいかもしれません
- nnori7142
- ベストアンサー率60% (755/1249)
お尋ねの件ですが、指摘光電話ルーター「Webcaster V110」ですと、PPPOEモード設定時にPPPOEブリッジ機能の有効化設定があります。既存V110設定にPPPOEインターネット接続設定が投入されている場合、その設定を削除し、PPPOEブリッジ機能を有効化にチェックを投入して下さい。 その後、「RTX1200」にPPPOE設定を投入し、インターネット接続がRTX1200経由で可能かどうか確認してみて下さい。可能であれば、「RTX1200」のLAN3インターフェイス若しくはLAN2インターフェイスにグローバルIPが配布されている筈ですので、IPSEC-VPNネットワーク構築が可能となります。 わざわざ2重ルーターを考える必要が無くなります。 V110のPPPOEブリッジ設定については、V110の設定メニュー→ルーター設定→ネットワーク設定欄にありますので、PPPOEブリッジ機能を有効化し、更にPPPOE設定欄のPPPOE設定欄→セッション1の接続ユーザー名/接続パスワードを削除し設定保存をかけて下さい。 上記段階で、RTX1200のPPPOE接続/IPSEC-VPNネットワーク構築が可能となります。 RTX1200でのPPPOE(グローバルIP不定/NetvolanteDNS有)IPSEC-VPN設定例としては、下記サイトを参考に。(http://jp.yamaha.com/products/network/solution/vpn/connect/two_point_rtx1200/) 固定のグローバルIP契約をお持ちの場合には、下記にて。(http://jp.yamaha.com/products/network/solution/vpn/connect/vpn-connect-triadic_8-rtx1200/)
お礼
この場合、 PC -> ルータ -> VPNルータ -> (インターネット)<- VPNルータ <- ルータ <- PC になる解釈で合ってますか? koi1234さんの回答にもあったのですが、その他の機能というのを今日現場で調べてきました。 何やらセキュリティ関連の機器(システム?)が接続されているようです。 これらの設定方法の変更等が既に担当者不在で不明なようなので、できれば今のルータはそのままで、下につなげる方式にしようと思います。 一応、最終手段として、ご回答頂いたルータの構成変更は上の人間に打診するつもりです。 詳しい説明有難うございます。
- koi1234
- ベストアンサー率53% (1866/3459)
2重ルータでも既存ルータでVPNパススルーの設定して該当パケットを 新ルータ(VPNルータ)に流してやるだけでできると思います お使いのjルータがVPNパススルー対応してるか確認してみては >2重構成で無くても構わない 使えなくなる機能というのがなんなのかわからないと判断できません 影響ありそうなのは光電話対応ルータかと思いますが ブリッジ設定にすればいいだけだの話と違いますか?
補足
今日、実際に現場で内容を調べたところ、何やらセキュリティ関連のシステムというか機械が旧ルータに接続されているみたいです。(DMZに接続されていました。) 既に担当者不在で何のシステムが不明+そもそも使用しているのか?と、色々疑問もあるのですが、文句を言っても始まらないのと、構成を変えて変に影響がでると怖いので、やはりルータの構成は2重化の方向とし、現行ルータについては、(NAT等の設定は変更するとしても)そのままで行こうと考えています。 今日確認してきた拠点Aの旧ルータについてはVPNパススルーの機能がありましたので有効にし、新ルータの外側アドレス宛に設定してきました。拠点BについてはYAMAHA製なので、参考にしたサイトのコマンドを流してあり、ポートは空いているとは思うのですが、後日調べる予定です。 一応確認なのですが、、 拠点Aの旧ルータ外側WANポート:(PPPOEで自動割当て、DDNS使用) 拠点Aの旧ルータ内側LANポート:XXX.XXX.XXX.254 拠点Aの新ルータ外側LANポート:XXX.XXX.XXX.253 拠点Aの新ルータ内側LANポート:YYY.YYY.YYY.254 拠点Bの旧ルータ外側WANポート:(PPPOEで自動割当て、DDNS使用) 拠点Bの旧ルータ内側LANポート:AAA.AAA.AAA.254 拠点Bの新ルータ外側LANポート:AAA.AAA.AAA.253 拠点Bの新ルータ内側LANポート:BBB.BBB.BBB.254 とした時、 (1)拠点A旧ルータのデフォルトゲートウェイは XXX.XXX.XXX.254に設定 (2)拠点A旧ルータでYYY.YYY.YYY.0/24宛てパケットを XXX.XXX.XXX.253へ流すよう設定 (3)拠点B旧ルータのデフォルトゲートウェイは AAA.AAA.AAA.254に設定 (4)拠点B旧ルータでBBB.BBB.BBB.0/24宛てパケットを AAA.AAA.AAA.253へ流すよう旧ルータにて設定 ここまでの設定で通常の多段ルータ構成、 これに加えて、 (5)拠点Aの旧ルータはVPNパススルー機能があるので、新ルータの外側ポート宛て(XXX.XXX.XXX.253)に有効化。 (6)拠点Bの旧ルータは、後日調査しますが、 ・VPNパススルー機能があれば、新ルータの外側ポート宛て(AAA.AAA.AAA.253)に有効化。 ・VPNパススルー機能が無い場合、NATで対応。 (VPNに使用するポート「UDP:500」+「ESP」をNAT設定で 新ルータの外側アドレス宛て(AAA.AAA.AAA.253)に設定。 (7)拠点Aの新ルータで、BBB.BBB.BBB.0/24宛てのゲートウェイをAAA.AAA.AAA.254宛て?に設定 (8)拠点Bの新ルータで、YYY.YYY.YYY.0/24宛てのゲートウェイをXXX.XXX.XXX.254宛て?に設定 で合っていますでしょうか。(7)(8)辺りがやや曖昧です。。
お礼
分かりづらくてすみません、 たしかにそうですね、一つずつ段階を踏んで解決していこうと思います。 1点だけ、 >またTunnel設定で相手側セグメントの通信のゲートウェイを設定したTunnelに向ける必要があります これは、Tunnel設定時に、local側のアドレスは新VPNルータの内側?アドレスを指定し、remote側にもう一方の拠点の内側?アドレスを指定する ということで合ってますでしょうか。