YAMAHA RTX 1100とフレッツ・グループアクセスで、フレッツ閉域網内で2拠点間をVPN接続する
拠点間のVPN接続は一般的に良く使われていますが、公衆インターネット回線を使用している場合がほとんどではないかと思います。同じインターネット回線でもフレッツの閉域網を使用できるサービスがフレッツ・グループアクセスです。用途は限定的ですが、それゆえでもあるセキュリティレベルを、下記のようなコストでできるのは画期的だと思いました。
- フレッツ・グループアクセスライト
http://flets.com/groupaccess/s_outline.html
10拠点までフレッツ網内で固定IPを取得できる(上位サービスでプロ版もあります)
月額735円
グループアクセス用のユーザーでPPPoEにより固定IPを取得するので、セッションを1つ食います。フレッツ自体の標準的サービスであるハイパーファミリータイプであれば一般のプロバイダも含めて2セッションまで接続できるので、そのままでもできますが、フレッツスクウェアなど、すでに2セッションを使っている場合は、セッションプラスで同時セッション数を追加できます。
- フレッツ・セッションプラス
http://flets.com/sessionplus/index.html
月額315円で1セッション単位で追加できます
閉域のフレッツ網であれば、VPNにしなくてもいい場合もありますが、あえてVPNするならと、下記にサンプルがありました。
- RTX1100でのVPN構築例
http://netvolante.jp/solution/flets/term1.html
2拠点間のサンプル
実際に設定する機会があったので、上記サンプルを元に下記のように設定してみました。
2拠点間で、
A側LAN 192.168.100.0/24 B側LAN 192.168.200.0/24
の相互接続をしました。
######################## #### A側ルータ設定 ##### ######################## # ルーティングの設定 #B拠点のローカルアドレス ip route 192.168.200.0/24 gateway tunnel 1 #B拠点に払い出されたB拠点のリモートアドレス ip route xxx.xxx.xxx.bbb gateway pp 1 # LANの設定 ip lan1 address 192.168.100.1/24 ### PP 1の設定 ### pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap #フレッツサービスのPPPoEユーザ名とパスワード pp auth myname ****** ****** ppp lcp mru on 1454 #ppp ipcp ipaddress on ip pp mtu 1454 pp enable 1 ### TUNNEL 1の設定 ### tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on #A拠点に払い出されたA拠点のリモートアドレス ipsec ike local address 1 xxx.xxx.xxx.aaa #*の場所にテキストでパスフレーズを入力する(AB拠点ともに共通) ipsec ike pre-shared-key 1 text ****** #B拠点に払い出されたB拠点のリモートアドレス ipsec ike remote address 1 xxx.xxx.xxx.bbb tunnel enable 1 ipsec auto refresh on
######################## ### B側ルータ設定 ### ######################## # ルーティングの設定 #A拠点のローカルアドレス ip route 192.168.10.0/24 gateway tunnel 1 #A拠点に払い出されたA拠点のリモートアドレス ip route xxx.xxx.xxx.aaa gateway pp 1 # LANの設定 ip lan1 address 192.168.200.1/24 ### PP 1の設定 ### pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap #フレッツサービスのPPPoEユーザ名とパスワード pp auth myname ****** ****** ppp lcp mru on 1454 ppp ipcp ipaddress on ip pp mtu 1454 pp enable 1 ### TUNNEL 1の設定 ### tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on #B拠点に払い出されたB拠点のリモートアドレス ipsec ike local address 1 xxx.xxx.xxx.bbb #*の場所にテキストでパスフレーズを入力する(AB拠点ともに共通) ipsec ike pre-shared-key 1 text ****** #A拠点に払い出されたA拠点のリモートアドレス ipsec ike remote address 1 xxx.xxx.xxx.aaa tunnel enable 1 ipsec auto refresh on
サンプルに忠実に設定し、今回の用途では不要なNATの設定をしたい場合は鍵交換ではじかれたりするので、別途いろいろ設定しないといけないのでご注意ください(UDP500番とESP)。
http://www.rtpro.yamaha.co.jp/RT/docs/example/vpnclient/ymsvpn1.html