拠点間のVPN接続は一般的に良く使われていますが、公衆インターネット回線を使用している場合がほとんどではないかと思います。同じインターネット回線でもフレッツの閉域網を使用できるサービスがフレッツ・グループアクセスです。用途は限定的ですが、それゆえでもあるセキュリティレベルを、下記のようなコストでできるのは画期的だと思いました。

• フレッツ・グループアクセスライト

http://flets.com/groupaccess/s_outline.html
10拠点までフレッツ網内で固定IPを取得できる(上位サービスでプロ版もあります)
月額735円

グループアクセス用のユーザーでPPPoEにより固定IPを取得するので、セッションを1つ食います。フレッツ自体の標準的サービスであるハイパーファミリータイプであれば一般のプロバイダも含めて2セッションまで接続できるので、そのままでもできますが、フレッツスクウェアなど、すでに2セッションを使っている場合は、セッションプラスで同時セッション数を追加できます。

• フレッツ・セッションプラス

http://flets.com/sessionplus/index.html
月額315円で1セッション単位で追加できます

閉域のフレッツ網であれば、VPNにしなくてもいい場合もありますが、あえてVPNするならと、下記にサンプルがありました。

• RTX1100でのVPN構築例

http://netvolante.jp/solution/flets/term1.html
2拠点間のサンプル

実際に設定する機会があったので、上記サンプルを元に下記のように設定してみました。

2拠点間で、

A側LAN
192.168.100.0/24

B側LAN
192.168.200.0/24

の相互接続をしました。

########################
#### A側ルータ設定 #####
########################
# ルーティングの設定
#B拠点のローカルアドレス
ip route 192.168.200.0/24 gateway tunnel 1

#B拠点に払い出されたB拠点のリモートアドレス
ip route xxx.xxx.xxx.bbb gateway pp 1

# LANの設定
ip lan1 address 192.168.100.1/24

### PP 1の設定 ###
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap

#フレッツサービスのPPPoEユーザ名とパスワード
pp auth myname ****** ******
ppp lcp mru on 1454
#ppp ipcp ipaddress on
ip pp mtu 1454
pp enable 1

### TUNNEL 1の設定 ###
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 on

#A拠点に払い出されたA拠点のリモートアドレス
ipsec ike local address 1 xxx.xxx.xxx.aaa

#*の場所にテキストでパスフレーズを入力する(AB拠点ともに共通)
ipsec ike pre-shared-key 1 text ******

#B拠点に払い出されたB拠点のリモートアドレス
ipsec ike remote address 1 xxx.xxx.xxx.bbb
tunnel enable 1
ipsec auto refresh on

########################
### B側ルータ設定 ###
########################
# ルーティングの設定
#A拠点のローカルアドレス
ip route 192.168.10.0/24 gateway tunnel 1

#A拠点に払い出されたA拠点のリモートアドレス
ip route xxx.xxx.xxx.aaa gateway pp 1

# LANの設定
ip lan1 address 192.168.200.1/24

### PP 1の設定 ###
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap

#フレッツサービスのPPPoEユーザ名とパスワード
pp auth myname ****** ******
ppp lcp mru on 1454
ppp ipcp ipaddress on
ip pp mtu 1454
pp enable 1

### TUNNEL 1の設定 ###
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 on

#B拠点に払い出されたB拠点のリモートアドレス
ipsec ike local address 1 xxx.xxx.xxx.bbb

#*の場所にテキストでパスフレーズを入力する(AB拠点ともに共通)
ipsec ike pre-shared-key 1 text ******

#A拠点に払い出されたA拠点のリモートアドレス
ipsec ike remote address 1 xxx.xxx.xxx.aaa
tunnel enable 1
ipsec auto refresh on

サンプルに忠実に設定し、今回の用途では不要なNATの設定をしたい場合は鍵交換ではじかれたりするので、別途いろいろ設定しないといけないのでご注意ください(UDP500番とESP)。
http://www.rtpro.yamaha.co.jp/RT/docs/example/vpnclient/ymsvpn1.html