- ベストアンサー
VR-S1000とAR570S二重ルータでVPN
- VR-S1000(Buffalo)とAR570S(アライドテレシス)の二重ルータでVPNを構築する方法について
- AポイントからBポイントのVPN接続やAポイント端末からBポイント-NASへの接続は可能だが、Bポイント端末からAポイント-NASへの接続ができない問題
- AポイントのAR570SにBポイントのローカルネットワークのルーティングを設定しても、うまく動作しない問題やAR570SからVR-S1000へのpingの一部が飛ぶ問題についての質問
- みんなの回答 (7)
- 専門家の回答
質問者が選んだベストアンサー
AR570Sルーターでのファイアーウォール機能や動的NAT・フィルタ機能を利用(プライベートIP側にグローバルIP払い出し、プライベートIP払い出し)を要求される場合には、Aポイント側ルーターはNATトラバーサルでのESPパケット透過を考慮する必要があるかと存じます。 当然ですが、NATトラバーサル設定を考慮される場合、BポイントのルーターもUDP4500、UDP1701番でのトランスポート転送を考慮しないといけないかと。
その他の回答 (6)
- nnori7142
- ベストアンサー率60% (755/1249)
補足返事確認しました。うまくいくと良いですね。 AR570Sルーターの配下と言えど、VR-S1000にはWAN側にグローバルIPを固定+NAPT設定しているかと存じますので、グローバルIPである以上、AR570SのIPセキュアフィルターなどは阻害しないかと考えます。 ただし、AR570SルーターのVR-S1000のWAN側グローバルIPへ、対向側VR-S1000ルーターのIPSEC-autokey-map、ESPパケット認証レベル+ESP暗号化レベルなども確認下さい。 VR-S1000ルーターのIPSEC仕様が、それぞれ同一セグメントでのVPN接続も許容されるか、Buffaloへ確認すると良いかと。 ※Twice-NATやL2TPv3-VPN機能は搭載されておりませんので、恐らくは無理かと。
お礼
ようやく開通しました。いろいろとアイディアをいただきありがとうございました。 結論から言うと、ESPとUDPの500番、4500番を通過させることで実現できました。 では、なぜ通過できなかったというとはっきりした理由はわかりません。 行った手順を思い出してみたのですが、 1:AR570SにESP/UDPの設定をしてもうまくつながりませんでした。 2:AR570Sを再起動してもうまくつながりませんでした。 3:VR-S1000のIPSecを切断・接続をしてもうまくつながりませんでした。 4:何度もVR-S1000のIPsec設定を見直したりやり直したりしたのですが、うまくつながりませんでした。 VR-S1000のメーカ(Buffalo)に問い合わせをしましたが、「あまり設定箇所がないので、それでつながらないのは上位ルータが原因の可能性がある」ということでした。 解決策がなく、ここでOKwaveに書き込みしました。 皆さんの意見を聞いて、AR570Sに設定をするのですが、命令文が誤っている可能性もあるのでアライドテレシスに命令文の問い合わせをしました。 (ESP通過と全データを通過する命令文) --- この間、皆さんのご意見を検証しました。 --- どうも、うまく動作しないのでBuffaloが言うVR-S1000が先頭に来るようにAR570SにVR-S1000への全データを通過する設定をしました。(仮想で上位に持っていったみたいなものですが) その時に、VR-S1000の動作がおかしくなりVR-S1000を再起動しました。 再起動後、確認したところ相互通信が可能となりました。(かなりの感激でした) 次に、AR570SにESPとUDPだけを通過するように設定し、VR-S1000を再起動するとうまく相互通信ができました。 ちなみに、ここでESPをふさぐとやはり片方通信となりました。 「AR570SにESP/UDPを設定し、VR-S1000を再起動する」。これが答えでした。 VR-S1000も再起動したことは何度もあったのですが、その時はAR570Sの設定ができていませんでした。 通常、設定した機器しか再起動しませんので「こんなことがあるのか」といい経験になりました。 bunjiiさん、nnori7142さん、本当にありがとうございました。
- bunjii
- ベストアンサー率43% (3589/8249)
>AポイントからBポイントはスムーズに見えるのですが、BポイントからAポイントはできない。 AR570SにVPNの設定をしているためにLAN-AからLAN-BへのリクエストはVR-S1000を経由して正常に届くでしょう。 しかし、LAN-BからLAN-AへのリクエストをAR570SにスタティックルーティングでVRS-S1000へ向かう設定が無いとインターネットへ送られてパケットが消失するでしょう。 >AR570Sで何かを止めているように思います。 AR570SのLAN側にはVR-S1000の他に何が繋がっているのでしょうか? NASの属するLANではない幾つかのLANが接続されているのでしょうか? 公開サーバー以外に接続されていなければAR570SにVLANの設定をする理由がありません。 AR570SのLANポートへPC(グローバルIP)を接続してNAS-Aへpingで疎通を確認されると良いでしょう。 この時、PCのデフォルトGWはAR570Sとしてください。 疎通が無いときにデフォルトGWをVR-S1000に書き換えて疎通を確認します。 また、VR-S1000にローカルルーターモードが有れば試されることをお勧めします。
- nnori7142
- ベストアンサー率60% (755/1249)
ネットワーク構成図を確認しましたが、やはりAR570SルーターはPPPOE-Unnumbered設定(LAN側にはグローバルIPのみの払い出し)→VR-S1000はWAN側グローバルIP固定でのIPSEC-VPNとなりますので、NATトラバーサルは不要です。 ただし、対向同士のIPSEC-VPN接続の際のプライベートIP体系は、同一IP体系(192.168.0.0/24)ですので、パケットルーピングしませんか? YamahaやNEC系VPNルーターですと可能ですが、同一セグメントでのIPSEC-VPNには、Twice-NAT設定やL2TPv3-VPNなどの仮想ハブ構成でのVPN接続でなければ、接続許容されないかと。 VR-S1000の仕様を見る限り、IPSEC-VPNのみしか許容されない仕様ですので、AR570Sルーター側のVR-S1000を192.168.0.0/24、対向側VR-S1000を192.168.1.0/24へ変更、AR570Sルーター側VR-S1000のトンネル・スタティックルートとして192.168.1.0/24経路追加、対向側VR-S1000にはトンネル・スタティックルート192.168.0.0/24を経路追加といった構成でなければ無理では?
補足
AR570SにはBポイントのルーティングを書いています。BポイントのVR-S1000にはルーティングを書いていませんので書いてみます。 日中と夜間バッチの間でしかテストできないため、ご報告が遅くなりすみません。皆さんのご意見、大変ありがたく思っています。結果が出次第アップします。 よろしくお願いいたします。
- bunjii
- ベストアンサー率43% (3589/8249)
>とにもかくにもおかしくてもこの接続を実現したいと思いますので、何卒お知恵を拝借願います。 考え方として添付画像のような接続で良いと思います。 Aポイント、Bポイント共にVR-S1000へVPNの設定を行えば通信可能と思われます。 AR570Sは固定IP8の接続用として公開サーバーとVPNルーターの仲介のみに役割を絞れば合理的な運用になるでしょう。 ルーターの設定については現役から離れて10年程になりますので具体的な記述をアドバイスできません。
お礼
bunjiiさん、ありがとうございました。アップしていただいた図は考えをまとめるのに大変役に立ちました。「仲介のみの役割に」という言葉で、VR-S1000の全面開放を思いつき、それが今回の解決のきっかけになったと思います。大変感謝しております。 ちなみに、AR570Sでは下記の命令文で全通信を通過させるそうです。参考にアップしておきます。 <<全通信通過>> add fire poli=net ru=1 ac=allo int=ppp0-0 prot=all ip=VR-S1000のIPアドレス <<現在使用している設定>> add fire poli=net ru=1 ac=allo int=ppp0-0 prot=esp ip=VR-S1000のIPアドレス add firewall poli=net ru=2 ac=allo int=ppp0-0 prot=udp po=500 ip=VR-S1000のIPアドレス add firewall poli=net ru=3 ac=allo int=ppp0-0 prot=udp po=4500 ip=VR-S1000のIPアドレス
補足
添付画像、ありがとうございました。AポイントとBポイントのIPアドレスでCクラスは変えてあります。 AポイントからBポイントはスムーズに見えるのですが、BポイントからAポイントはできない。AR570Sで何かを止めているように思います。
- nnori7142
- ベストアンサー率60% (755/1249)
お尋ねの件ですが、AR570Sルーターにて、PPPOE-Unnumbered接続設定(グローバルIP8個/プライベート側にグローバルIP構成)→VR-S1000でのWANグローバルIP固定1個でのNATプライベートIP共存となるかと。 基本的に、VR-S1000側にグローバルIP固定設定でのインターネット接続NAT変換・プライベートIPでのNAS接続ですと、AポイントのAR570Sルーターには、スタティックルートの設定は不要かと。 逆に、AポイントのVR-S1000ルーターへBポイントのVR-S1000のルーティングをトンネルルートとして設定を追加する位かと。 例として、AポイントVR-S1000(192.168.2.0/24)・・・BポイントVR-S1000(192.168.3.0/24)、AポイントVR-S1000のIPSEC-VPNトンネルへ192.168.3.0/24からのルーティングを書く、逆にBポイントのVR-S1000のVPNトンネル・ルーティングに192.168.2.0/24からのルーティングを書く。 VR-S1000のマニュアルには、記載が有りませんが、ProxyARP代理応答設定は可能なのでしょうか? AR570Sルーターの設定は、プライベート側にグローバルIP払い出し、動的NATやフィルタ設定はしない設定にしていますでしょうか?
補足
nnori7142さん、コメントありがとうございます。 スタティックルートは不要とのことで外してみたのですが、できていたAポイントからBポイントへの通信が止まってしまいました。現在の設定では必要なようでした。 VR-S1000のルーティングは設定で書いているので大丈夫なようです。 ProxyARP代理応答機能があるかはわかりませんでした。設定箇所もなかったので無いように思われます。 AR570Sの設定はフィルタ設定はしていますが、UDPの500/4500の2つを開けています。ここをDMZにして解放してみます。
- bunjii
- ベストアンサー率43% (3589/8249)
>VR-S1000(Buffalo)とAR570S(アライドテレシス)の二重ルータを実現しようとしています。 >AR570Sが上位でVR-S1000が中にあります。固定IP8で2台ともIPアドレスを割り当てています。 2台のルーターのWAN側に固定IP(グローバルIPアドレス)を設定しているのであれば2重ルータになっていません。 LANケーブルを見かけ上で2重ルーター状に接続しても論理的に双方ともインターネットへ直接接続されていることになるはずです。(そのような接続を試したことはありません) 2重ルーターの意味を再認識して接続方法を検討してください。 尚、2重ルーターにする理由も再確認する必要があるでしょう。
補足
bunjiiさん、コメントありがとうございます。 言葉が悪かったようで申し訳ありませんでした。 インターネットへの接続はpppoeで接続しており、その接続はAR570Sで行っています。その配下に、VR-S1000がありますが、前述のごとくそれぞれにIPアドレスを割り当てています。 プロバイダからIPアドレス取得で並列にAR570SとVR-S1000があれば「デフォルトゲートウェイはAR570Sのネットワークで…」と続くと思うのですが、今回はAR570Sにネット接続をしてもらい、VR-S1000がそれに乗っかっているという形になります。 こういった形は一般的には何と呼ぶのでしょうか?残念ながら調べてみたのですが私には「二重ルータ」と表現しか見つけられませんでした。 DMZといいたいところですが、AR570Sである程度ファイヤーウォールをしているので、非武装地帯と呼ぶのもおかしいかと思っています。 こういった接続自体がおかしいのでしょうか? とにもかくにもおかしくてもこの接続を実現したいと思いますので、何卒お知恵を拝借願います。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_3_thumbnail_img_sm.png)
補足
AR570Sですが、GREは解放していたのですがESPは閉じていたので開けてみます。 UDPは4500は空いていませんでしたが、1701は閉じていたので、こちらも開けてみます。