- ベストアンサー
3拠点WAN接続方法について
拠点A、B、Cがあり、 それぞれ 192.~、 172.~、 10.~のネットワークだとします。 AとB、BとCがルータで接続されている場合、 AからCのネットワークに接続は 出来るのでしょうか? ※ AとCは直接繋がっていないので Bを経由して その場合、NATが必要でしょうか? (出来ればNAT無しで接続したいのです) どなたかご存知でしたらお教え下さいませ。
- r32gtsTypeS
- お礼率52% (10/19)
- ネットワーク
- 回答数4
- ありがとう数5
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
RTX1000でインターネットVPN(IPSec)を構築する際の設定例を紹介します。 なおルータに添付されていた設定例集P.263を元に多少加工してみました。 「22.3 インターネット接続を併用する場合(固定IP アドレス使用)」 インターネットVPNを構築するには拠点A、拠点Bのプロバイダのどちらかが固定IPアドレスに対応している必要があります。今回は両方のプロバイダが固定IPだった場合の設定例を紹介します。 【前提条件】 <拠点A> RT-A WANアドレス:211.*.10.1/32(ISP固定IP1) RT-A LANアドレス:192.168.1.1/24 <拠点B> RT-B1 WANアドレス:211.*.20.1/32(ISP固定IP1) RT-B1 LANアドレス:172.16.1.1/24 RT-B2 WANアドレス:10.0.10.1/24 RT-B2 LANアドレス:172.16.1.254/24 <拠点C> RT-C WANアドレス:10.0.10.254/24 RT-C LANアドレス:10.0.1.1/24 -------------------------------------------- <RT-Aの設定例> # ip lan1 address 192.168.1.1/24 # pp select 1 pp1# pp always-on on pp1# pppoe use lan2 pp1# pp auth accept pap chap pp1# pp auth myname ISP接続ID ISP接続パスワード pp1# ppp lcp mru on 1454 pp1# ppp ccp type none pp1# ip pp address 211.*.10.1/32 pp1# ip pp mtu 1454 pp1# ip pp nat descriptor 1 pp1# pp enable 1 pp1# tunnel select 1 tunnel1# ipsec tunnel 101 tunnel1# tunnel enable 1 tunnel1# ip route 172.16.1.0/24 gateway tunnel 1 tunnel1# ip route 10.0.1.0/24 gateway tunnel 1 tunnel1# ip route 10.0.10.0/24 gateway tunnel 1 tunnel1# ip route default gateway pp 1 tunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASS tunnel1# ipsec ike remote address 1 211.*.20.1 tunnel1# ipsec ike local address 1 192.168.1.1 tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac tunnel1# nat descriptor type 1 masquerade tunnel1# nat descriptor masquerade static 1 1 192.168.1.1 udp 500 tunnel1# nat descriptor masquerade static 1 2 192.168.1.1 esp tunnel1# nat descriptor address outer 1 211.*.10.1 tunnel1# ipsec auto refresh on tunnel1# save -------------------------------------------- <RT-B1の設定例> # ip lan1 address 172.16.1.1/24 # pp select 1 pp1# pp always-on on pp1# pppoe use lan2 pp1# pp auth accept pap chap pp1# pp auth myname ISP接続ID ISP接続パスワード pp1# ppp lcp mru on 1454 pp1# ppp ccp type none pp1# ip pp address 211.*.20.1/32 pp1# ip pp mtu 1454 pp1# ip pp nat descriptor 1 pp1# pp enable 1 pp1# tunnel select 1 tunnel1# ipsec tunnel 101 tunnel1# tunnel enable 1 tunnel1# ip route 192.168.1.0/24 gateway tunnel 1 tunnel1# ip route 10.0.1.0/24 gateway 172.16.1.254 tunnel1# ip route 10.0.10.0/24 gateway 172.16.1.254 tunnel1# ip route default gateway pp 1 tunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASS tunnel1# ipsec ike remote address 1 211.*.10.1 tunnel1# ipsec ike local address 1 172.16.1.1 tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac tunnel1# nat descriptor type 1 masquerade tunnel1# nat descriptor masquerade static 1 1 172.16.1.1 udp 500 tunnel1# nat descriptor masquerade static 1 2 172.16.1.1 esp tunnel1# nat descriptor address outer 1 211.*.10.1 tunnel1# ipsec auto refresh on tunnel1# save -------------------------------------------- ※急ぎで作ったのでIPアドレスが若干間違ってるかもしれませんが、「設定例集」を参照してください。 あとはRT-B2とRT-Cの設定も必要です。 RT-B2のルーティング:10.0.1.0/24⇒10.0.10.254 RT-Cのルーティング:デフォルトルート⇒10.0.10.1 Cのルータにもスタティックルート(デフォルトルート)を記述する必要はあります。 AからCへアクセスした場合 行き:[RT-A]→[RT-B1]→[RT-B2]→[RT-C]→ ↓ 帰り:[RT-A]←[RT-B1]←[RT-B2]←[RT-C]← というようにCまで行ってAに戻ってきますよ。つまりCからAへ帰るためのルーティングが必要です。同じようにBからAへ帰るためのルーティングも必要です。
その他の回答 (3)
- neumann
- ベストアンサー率39% (900/2303)
>具体的にはRT-B1にて拠点Cの範囲のアドレスは RT-B2へ、RT-B2にて >拠点Aの範囲のアドレスはRT-B1へルーティング設定すればOK(RT-AやRT-Cは特に設定不要) でしょうか? 基本的にあってます。 ただしRT-AとRT-Cにもスタティックルートを記述する必要があります。 (デフォルトルートをWAN側に向ける必要があります。) 今回は以下のような構成だと思います。 [RT-A]--(Internet)--[RT-B1]---[RT-B2]--(Ether)--[RT-C] スタティックルーティングのみを使う場合、各ルータのルーティングは以下のようになります。 RT-A :デフォルトルートをRT-B1にする RT-B1:拠点Aへのルーティング先をRT-Aにする :拠点Cへのルーティング先をRT-B2にする RT-B2:拠点Aへのルーティング先をRT-B1にする :拠点Cへのルーティング先をRT-Cにする RT-C :デフォルトルートをRT-B2にする ※デフォルトルートとは、ルータに直接接続されたローカルネットワーク以外の全パケットを送信する先です。 なおRT-A、RT-B1の機種によっては、上記ルーティング以外にVPN用のルーティングが必要になる場合もあります。(ヤマハのRTX1000、RTX2000などがそうです) またインターネットVPN用のルータの場合、ルーティング先を相手のルータのアドレスを指定せず、VPN用の仮想番号などを指定する機種もあります。(これもRTX1000などがそうです) 詳しくは各ルータのコマンドリファレンス等を参照してください。
補足
ありがとうございます。 アドバイス頂いたように、コマンドリファレンスを 読んでみたのですが、理解出来ないところが あります。 まさに、RT-AとTR-B1はヤマハのRTX1000を 使用してVPNを構築しています。 まずやりたいのは拠点AからCに繋ぐ事なのですが (CからAへ繋ぐ事は無い)、Cの設定も しないとAからCへ繋がらないものでしょうか? (RT-Aの設定をB、Cの範囲のアドレスはRT-B1の アドレスへルーティングするだけでは 駄目でしょうか?)
- neumann
- ベストアンサー率39% (900/2303)
補足を見ました。 そのような条件の場合、設計手法、使用機器(ルータ)にもよりますがNATを使わず通信可能ですよ。 ただし厳密にはインターネットに接続するルータでNATを使うのですが、IPSecなどを使ってインターネットVPNを構築する場合にはNATを意識せず通信ができます。 [PC-A]-----[RT-A]---(Internet)---[RT-B]-----[PC-B] 上記の図の[RT-A]と[RT-B]で通常NATを使いますが、[RT-A]~[RT-B]間でインターネットVPNを構築すればPC側からはインターネット上のグローバルアドレスを意識する必要がありません。[RT-A]と[RT-B]がNATを使わず直接専用線で接続されているようなイメージになります。 ただしルーティングプロトコルとしてRIP(ver1)を使う場合は注意が必要です。今回は使用しているアドレス体系が拠点ごとにまったく違うため、RIPv1では運用できません。 スタティックルーティングのみ、もしくはRIPv2、OSPFなどを使う必要があります。
お礼
ありがとうございます。 幸いルータはRIP2、OSPFをサポートしています。 ただ、スタティックルーティングすれば 良いのかと思っています。 具体的にはRT-B1にて拠点Cの範囲のアドレスは RT-B2へ、RT-B2にて 拠点Aの範囲のアドレスはRT-B1へ ルーティング設定すればOK (RT-AやRT-Cは特に設定不要) でしょうか? ※拠点AとはRT-B1、 拠点CとはRT-B2で接続
- neumann
- ベストアンサー率39% (900/2303)
基本的にはできますが、具体的にどのような回線を利用するつもりですか? 専用線?IP-VPN?広域イーサネット?インターネット? 回線によってネットワーク設計の条件が変わってきます。
補足
早速のご回答ありがとうございます。 AとBがインターネットのVPNです。 (IP-VPNではありません) BとCが広域イーサです。 ちなみに、中継点Bは Aと繋ぐルータ、Cと繋ぐルータが 別です。
お礼
丁寧なご回答、本当に助かりました。 実際の設定は、すぐには行えないのですが (各拠点でInternet接続が本稼動してしまっているので) 頂いたものを参考に設定してみます。 本当にありがとうございます。