- ベストアンサー
NECのUNIVERGEシリーズでVPN構築:業者の説明に困惑
- NECのUNIVERGEシリーズを使用して、本部と6ヵ所の支店にVPNを構築しようとしています。
- IPアドレス設定は問題なく行いましたが、各支店のPCから別の支店のPCへのアクセスができないという問題が発生しています。
- 希望通りに全事業所を1つのLANにすることは、この機種では不可能と業者から言われています。
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
こんにちは。hirasaku です。 まずは、打ち合わせの時点でその要件を業者に伝え書面として残しているのですかね? 今更ですけど・・・ それは置いといて、 では、本部と各支店のIPアドレスを使うホスト(プリンタなど含めて)254台以下ですか? この台数を超えると 192.168.0.0/24 でまとめることは無理ですね。 それと、WAN側の網は何を使っているのでしょうか? インターネットVPNでは無理でしょう。広域イーザ網を使わなければ。 網側の選定によって、つなぐ機器を選びますが、広域イーサであればルータが必要ない場合もあります。 ルータはそもそも異なるネットワークをつなぐ機器ですので、セグメントが一緒なら 使う必要がないということですね。 では、今の構成でできないのか。 というと、できないわけではないと思いますが。 (考え方として全拠点のホストと通信できるようにするという考え) 機器を変更せず、インターネットVPNでということで考えますけど。 妥協点として、本部、各拠点のIP構成はセグメントを別としてこのままの構成にする。 で、本部は当然グローバルの固定IPを持ってると思います。 1つ目は 各支店にグローバル固定IPを持っているのならば、各支店に本部以外のIPSecトンネルを 支店分設定し経路を作る。これはメッシュ型の接続です。 2つ目は 本部のみグローバル固定IPで各支店はグローバル動的IPの場合。 各支店はダイナミックDNSを使って1つ目と同じように設定する。 個人的に私はこの設定はおすすめしませんが・・・ 個人ならダイナミックDNSはいいですけど、法人ではちょっと。。。 3つ目 各支店はグローバル動的IPのままのでダイナミックDNSを使わないということで。 今の各支店は経路を 192.168.0.0/24 で本部のトンネルに向けてると思いますが、 これを 192.168.0.0/16 で本部のトンネルに経路を向ける。 こうすれは、各支店は本部経由で別支店に通信できます。 ハブ・アンド・スコープ型の接続ですね。 本部との通信が切れると、別支店の通信もできなくなりますが・・・ まあ、業者さんと話し合ってください。 網側を変更するなら、また構成は変わりますが。 では。
その他の回答 (5)
- nnori7142
- ベストアンサー率60% (755/1249)
当方説明のL2TPv3-VPNですが、仮想的にEthernet over IP規格をIPSECトンネル通信許諾させる事で、厳密にはL2TPv3-VPNとは違うのですが、類似仕様としてIX2105ルーターとIX2215ルーターなどには実装しており、同一IP体系でのVPN設定を可能にしている規格です。 インターネット回線上に、L2レベルでVPN接続をさせる場合に、IPSECトンネル網の設定する事を条件になっております。先刻の設定事例ページを参考下さい。
- nnori7142
- ベストアンサー率60% (755/1249)
「PC、プリンター、警備システム、IP電話アダプター総計で100アドレス未満」との件ですが、IP電話アダプタはもしかして、光電話オフィスアダプタ(VG430Xa/VG430Xi、OG400Xa/OG400Xiなど)でしょうか? 光電話オフィスアダプタであれば、VPNルーターの上位に設置し、ビジネスフォン主装置への接続されているかと存じますので、IP体系には含まなくてもOKです。 ※ 光電話オフィスアダプタのPPPOEブリッジ機能にて、IX2105ルーターでのPPPOE接続とIPSEC-VPN、若しくはL2Tpv3-VPN接続形態を採用する方法となります。 もし、IP電話アダプタを接続してあり、拠点毎の無料通話システムを構成している場合には、IX2105ルーターには、SIP-NAT設定が別途必要ですが、残念ながらIX2105ルーターは、SIP-NAT設定には対応しておりませんので、静的IPマスカレード設定でのVOIPアダプタの固定IPアドレス転送設定が必要となります。(UPNP機能も対応しておりません) 更に、警備システム(アラームセンダ―)が導入されているとの事ですが、ALSOKやSECOMなどの場合には、VPNパススルーの設定が必要になるかと存じます。その際には、IX2105ルーターにTCP1723とGREパケットの透過設定(静的IPマスカレード設定)も考慮下さい。 IP体系が、100アドレス未満との事で、同一IPセグメントでのVPN構成を検討される場合には、業者へL2TPv3-VPN構成にて、打診して下さい。 L2TPv3-VPN構成を検討される場合、それぞれの拠点のIX2105ルーターのみIPアドレスを分けて設定し、VPN構成はL2TPv3-VPN(本拠点のみグローバル固定IP取得)接続させる方法になります。 ※ 本拠点IX2105ルーター(192.168.0.1/24)→拠点(2)IX2105ルーター(192.168.0.2/24)、拠点(3)IX2105ルーター(192.168.0.3/24)、拠点(4)IX2105ルーター(192.168.0.4/24)、拠点(5)IX2105ルーター(192.168.0.5/24)、拠点(6)IX2105ルーター(192.168.0.6/24)といった構成。 IX2105ルーターの設定事例も有りますので、参考事例を業者へ提示下さい。 ※ 27.4 EtherIP を IPsec でカプセル化する(動的アドレス)・・jpn.nec.com/univerge/ix/Manual/EX/IX1-3K-EX-9.0.pdf、UNIVERGE設定事例集。
お礼
nnori7142さん、本当に丁寧なお答えありがとうございます。 私の知識ではよく理解できませんが、今度来られる時に業者の方に相談してみます。 今回の件で判った事は、大規模なネットワークに素人が手を出すと大変だという事。 手に負えなくなってから相談するより、最初の構成の段階からプロに入ってもらうべきだという事。 今後の教訓に致します。
- hirasaku
- ベストアンサー率65% (106/163)
こんにちは。hirasaku です。 ちょこっと調べてみたんですけど。 その機種のルータは Ethernet over IP が使えるので、 希望の構成作れそうですけど。 同一セグメントとして1つのLANで。 ただ、IPアドレスの管理、IPを使うホストの台数には気をつけてください。 いずれにすても業者さん次第ですね。 では。
補足
hirasakuさん、希望が持てる回答をありがとうございます。 Ethernet over IP でググったら 「Ethernet over IP機能は、受信したイーサネットフレームを、IPネットワーク上に構成したトンネルを経由してブリッジ転送する機能です。」 と出てきました。 何となく、私の希望通りの事がでいそうなニュアンスですね。 業者の方に、この情報を伝えようと思います。
- nnori7142
- ベストアンサー率60% (755/1249)
補足です。 それぞれの拠点VPNルーターに複数の対向IPネットワークへのルーティング・テーブルを張るのは、サブネット(255.255.0.0)のルーティングテーブルではなく、ネットワーク制限も併せルーティングも限定させる為でも有ります。
補足
nnori7142さん、詳しいお答えありがとうございます。 詳しすぎて、私には理解不能な部分もありますので、これからgoogle先生に教えてもらいながら、ぼちぼち勉強します。 IPアドレスの数ですが、PC、プリンター、警備システム、IP電話アダプター全部合わせても100個いかないですし、これからも増える可能性はありません。 次に業者さんに来てもらう時、少しでも解決への話が出来きればなぁ~と思っています。
- nnori7142
- ベストアンサー率60% (755/1249)
お尋ねの件ですが、論理的には可能です。 ただし、専門業者からの導入内容として、同一セグメントでのVPN(L2TPv3-VPN)は出来ないと判断しているのであれば、その構成はセグメントIP上限の為無理かと判断されているのではないでしょうか。 別セグメントIP体系でも、支店B→支店Cなどといったアクセスの設定は可能です。 その際には、支店Bに支店Cのスタティックルートのトンネルルート宛ての設定追加下さい。逆に支店Cには支店Bのスタティックルート設定をトンネルルート宛てに設定追加下さい。 上記の条件を全ての支店に適用下さい。 本拠点のセンタールーター経由にて、トンネル・スタティックルート接続は可能かと存じます。 つまり、支店Bのスタティックルート追加には、192.168.3.0/24と192.168.4.0/24、192.168.5.0/24、192.168.6.0/24といったルーティング登録、支店Cには、192.168.2.0/24、192.168.4.0/24、192.168.5.0/24、192.168.6.0/24とルーティング追加をトンネル側へ設定下さい。(他支店もルーティング設定確認)
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_3_thumbnail_img_sm.png)
補足
hirasakuさん、お答えありがとうございます。 >>ルータはそもそも異なるネットワークをつなぐ機器ですので この言葉、業者さんにも言われました。 そもそものところで、私に勘違いがありました。 この機械は、VPNのトンネルを作るためのものだとばかり・・・。 とりあえず、出来る可能性があるという事が判っただけでもありがたいです。 現在のところ、業者さんには設定を元に戻して一旦お帰り頂いてます。 もともと、この話を持って行った業者さんから下請けで来た方なので、こちらの意向がうまく伝わってなかったようです。 詳しくない者同士で決めた事を、専門業者が作業して発覚した・・・という感じです。