YAMAHA RTX1200 のVPN接続

2018/12/21 23:38

このQ&Aのポイント

YAMAHAのRTX1200を使用してセンターと拠点をVPN接続していますが、メイン回線が切断された場合にバックアップ回線でVPN接続したいと考えています。
設定としては、センターと拠点それぞれにtunnel 1とtunnel 2を設定し、tunnel 1はメイン回線同士、tunnel 2はバックアップ回線同士が接続されるようになっています。
しかし、メイン回線とバックアップ回線の組み合わせによってどのtunnelで接続されるかが曖昧なため、詳しい説明を教えていただきたいです。

YAMAHA RTX1200 のVPN接続

YAMAHA ルータ RTX1200 のVPN接続について質問です。センターと拠点の、２カ所にそれぞれ YAMAHA の RTX1200 を使用しています。インターネット接続は、センター、拠点それぞれ、メイン回線とバックアップ回線の２本ずつ用意しています。メイン回線、バックアップ回線は、それぞれ固定ＩＰです。メイン回線が何らかの事情で切断されたとき、バックアップ回線に切り替わるようになっています。センターと拠点は VPN で接続しています。このような状況で、メイン回線が切断されたときには、VPNもバックアップ回線で接続したいと考えています。その為のトンネルの設定として書いたのが、以下の物です。センター　tunnel select 1 　 ipsec tunnel 101 　 ipsec sa policy 101 1 esp 3des-cbc md5-hmac 　 ipsec ike keepalive use 1 on 　 ipsec ike local address 1 (センターの固定IP（メイン回線）) 　 ipsec ike pre-shared-key 1 text (key) 　 ipsec ike remote address 1 （拠点の固定IP（メイン回線））　 tunnel backup tunnel 2 switch-interface=on 　 tunnel enable 1 　tunnel select 2 　 ipsec tunnel 102 　 ipsec sa policy 102 2 esp 3des-cbc md5-hmac 　 ipsec ike keepalive use 2 on 　 ipsec ike local address 2 (センターの固定IP（バックアップ回線）) 　 ipsec ike pre-shared-key 2 text (key) 　 ipsec ike remote address 2 （拠点の固定IP（バックアップ回線））　 tunnel enable 2 拠点　tunnel select 1 　 ipsec tunnel 101 　 ipsec sa policy 101 1 esp 3des-cbc md5-hmac 　 ipsec ike keepalive use 1 on 　 ipsec ike local address 1 （拠点の固定IP（メイン回線））　 ipsec ike pre-shared-key 1 text (key) 　 ipsec ike remote address 1 (センターの固定IP（メイン回線）) 　 tunnel backup tunnel 2 switch-interface=on 　 tunnel enable 1 　tunnel select 2 　 ipsec tunnel 102 　 ipsec sa policy 102 2 esp 3des-cbc md5-hmac 　 ipsec ike keepalive use 2 on 　 ipsec ike local address 2 （拠点の固定IP（バックアップ回線））　 ipsec ike pre-shared-key 2 text (key) 　 ipsec ike remote address 2 (センターの固定IP（バックアップ回線）) 　 tunnel enable 2 このように記述した場合、センター、あるいは拠点のメイン回線が切断された場合、VPNも切断されてしまうので、その場合はバックアップ回線で VPN 接続される、と考えていますが、この考えで正しいでしょうか。また、 tunnel 1 はセンター、拠点のメイン回線同士が。 tunnel 2 はセンター、拠点のバックアップ回線同士が繋がるような設定です。この場合、例えばセンターのメイン回線が切断されて、センターはバックアップ回線、拠点はメイン回線でインターネットに繋がっているとき、tunnel 1 で接続されるのでしょうか、tunnel 2 で接続されるのでしょうか。それともセンターのバックアップ回線と拠点のメイン回線の間でVPN接続されるのでしょうか？だとすると、例えばセンターのメイン回線と拠点のバックアップ回線が切断され、センターはバックアップ回線で、拠点はメイン回線でインターネットに繋がっているとき、上記 tunnel の設定ではVPN接続されないのでしょうか。そのあたり理解が曖昧なので、教えていただけると助かります。

taro1394
お礼率64% (22/34)

VPN
回答数3
ありがとう数4

みんなの回答 （3）
専門家の回答

質問者が選んだベストアンサー

ベストアンサー

hirasaku
ベストアンサー率65% (106/163)

2018/12/27 17:50 回答No.3

こんにちは。hirasakuです。疑問点の件。疑問１ >センター、あるいは拠点のメイン回線が切断された場合、VPNも切断されてしまうので、・・・回答：バックアップ回線で接続される疑問２ >tunnel 1 はセンター、拠点のメイン回線同士が。 tunnel 2 はセンター、拠点のバックアップ回線同士が繋がるような設定です。・・・回答：tunnel 2で接続される ※switch-interface=onだからtunnel 2の設定がtunnel 1として動く疑問３回答：いや、両方バックアップ回線で接続されている疑問４回答：このようなケースはレアだが、VPNは確立しないこのレアケースまで対応したいのなら、ハブアンドスコープではなくフルメッシュでVPNを構築する必要がある。経路を考えるのが面倒だけど。これでよろしいかな。

質問者

お礼 2018/12/27 21:47

ご回答ありがとうございます。「生きている回線を使い相手の生きている回線へＶＰＮを張る」ですね。そのように書いたつもりで這いましたが、実際の挙動がどのようになるのかが明確ではありませんでした。コマンドの詳細を細かく見直してみます。ありがとうございました。

その他の回答 (2)

noname#259146

2018/12/25 15:03 回答No.2

動作の説明 pp backup pp tunnel backup tunnel のコマンドを使うことで生きている回線を使い相手の生きている回線へＶＰＮを張ることができます。コマンドの詳細はコマンドマニュアルを見てください。

質問者

お礼 2018/12/27 21:43

noname#259146

2018/12/23 17:47 回答No.1

長い間触っていないので最新のファームウェアが理解できていないので他の方法もあるかもしれません。 ipsec ike remote name を使うと相手との接続を動的に扱え扱えるようになるので回線が変わっても大丈夫です。ＹＡＭＡＨＡは事例を多く提供しています。詳細は下記のＨＰを参考にしてください。 http://www.rtpro.yamaha.co.jp/RT/docs/example/backup/vpn_backup_example8.html#map_kyoten_backup1

質問者

補足 2018/12/24 13:00

ご回答ありがとうございます。ご紹介のサイトも拝見しました。今回知りたかったこととしては、ご紹介のサイトにある図は拠点２のメイン回線が切断されたとき、拠点２のバックアップ回線とセンターのメイン回線でVPN接続するような書き方をしています。拠点側の回線切断ならそうなると思うのですが、センター側のメイン回線が切断された例では、センターのバックアップ回線と拠点のメイン回線で接続するようになっています。センターのトンネル設定は、メイン回線の場合とバックアップ回線の場合、それぞれリモート先のＩＰアドレス（もしくは名前）が指定されているのに、どうしてバックアップ回線－バックアップ回線ではなく、バックアップ回線－メイン回線でVPN接続されるのかが理解できずにいました。そういうものだから、ということなのでしょうか・・・

YAMAHA RTX1200 のVPN接続

YAMAHA RTX1200 のVPN接続