第6回は同じプライベートアドレス同士の拠点間で通信する設定を行います。
拠点間でVPNを構築する場合、各拠点間のIPアドレス帯は別々のアドレス帯を利用します。
VPN構築を前提として各拠点のIPアドレス帯がちゃんと考えられていれば問題はありませんが、運用途中でVPNを導入するといった場合は各拠点間で同じIPアドレス帯を利用しているケースがあります。その場合、各拠点のIPアドレス帯を整理し再設定が必要となります。
しかしながら、既に運用されているネットワークを変更することは多大なリスクと時間を伴います。
今回は各拠点のIPアドレス帯が同じでもVPNを構築する設定を紹介します。
今回のネットワーク設定例の条件です。
・A支店、Y支店ともにRTX1200を使用
・A支店、Y支店とも同じローカルIPアドレス帯を利用している
・A支店とY支店のパソコン間でファイル共有を行う
ネットワーク構成
今回設定するネットワーク構成になります。
パソコンAとパソコンYは固定のローカルIPアドレスを設定します。
ルータ設定内容
■ルータA(A支店ルータ)
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 |
ip route default gateway pp 1 ip route 172.16.1.0/24 gateway tunnel 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.0.1/24 pp select 1 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname ISP接続アカウント ISPパスワード ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp secure filter in 1020 1030 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107 ip pp nat descriptor 1 pp enable 1 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike pre-shared-key 1 text (事前共有鍵) ipsec ike remote address 1 対向ルータのグローバルIPアドレス ip tunnel nat descriptor 2 reverse 3 tunnel enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.0.0/24 * ip filter 1030 pass * 192.168.0.0/24 icmp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * netmeeting ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.0.1 udp 500 nat descriptor masquerade static 1 2 192.168.0.1 esp nat descriptor type 2 nat nat descriptor address outer 2 172.16.2.1-172.16.2.254 nat descriptor static 2 1 172.16.2.1=192.168.0.1 254 nat descriptor type 3 nat nat descriptor address outer 3 172.16.1.1-172.16.1.254 nat descriptor static 3 1 172.16.1.1=192.168.0.1 254 ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.0.2-192.168.0.100/24 dns server select 1 pp 1 any . restrict pp 1 dns private address spoof on dashboard accumulate traffic on |
■ルータY(Y支店ルータ)
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 |
ip route default gateway pp 1 ip route 172.16.2.0/24 gateway tunnel 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.0.1/24 pp select 1 pp keepalive use lcp-echo pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname ISP接続アカウント ISPパスワード ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp secure filter in 1020 1030 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107 ip pp nat descriptor 1 pp enable 1 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 auto ipsec ike pre-shared-key 1 text (事前共有鍵) ipsec ike remote address 1 対向ルータのグローバルIPアドレス ip tunnel tcp mss limit auto tunnel enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.0.0/24 * ip filter 1030 pass * 192.168.0.0/24 icmp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * netmeeting ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.0.1 esp nat descriptor masquerade static 1 2 192.168.0.1 udp 500 ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.0.2-192.168.0.100/24 dns server pp 1 dns server select 500001 pp 1 any . restrict pp 1 dns private address spoof on |
今回はTwice NAT機能を利用します。
Twice NATの設定
Twice NAT機能はパケットの始点アドレスと終点アドレスの両方が変換され、各拠点が同じIPアドレス帯を利用していても拠点間の通信ができます。
Twice NAT機能の設定はルータAでは27行目および50~55行目に記載されている下記になります。
|
1 2 3 4 5 6 7 |
ip tunnel nat descriptor 2 reverse 3 nat descriptor type 2 nat nat descriptor address outer 2 172.16.2.1-172.16.2.254 nat descriptor static 2 1 172.16.2.1=192.168.0.1 254 nat descriptor type 3 nat nat descriptor address outer 3 172.16.1.1-172.16.1.254 nat descriptor static 3 1 172.16.1.1=192.168.0.1 254 |
さらに2行目に記載されているルーティングの設定も必要です。
|
1 |
ip route 172.16.1.0/24 gateway tunnel 1 |
ルータYでは2行目に記載されているルーティングの設定だけが必要です。
|
1 |
ip route 172.16.2.0/24 gateway tunnel 1 |
ルータA、ルータYそれぞれ上記の設定で
A支店からはY支店が 172.16.2.0/24 のIPアドレス帯で見えるようになり、
Y支店からはA支店が 172.16.1.0/24 のIPアドレス帯で見えるようになります。
図で説明すると・・・
まずはA支店からY支店を見た場合です。
上の図からA支店からY支店を見ると172.16.1.0/24のアドレス帯でみれます。
これは、A支店のパソコンA(192.168.0.110)の端末からY支店のパソコンYの端末にアクセスする場合、A支店のパソコンから172.16.1.0/24のIPアドレス帯への通信はルータAによってY支店に届くときには192.168.0.0/24のIPアドレス帯に変換されるためA支店からは172.16.1.0/24でアクセスできます。
したがってパソコンAからパソコンYにアクセスする場合のIPアドレスは「172.16.1.120」になります。
次にY支店からA支店を見た場合です。
上の図からY支店からA支店を見ると172.16.2.0/24のアドレス帯でみれます。
これは、Y支店のパソコンY(192.168.0.120)の端末からA支店のパソコンAの端末にアクセスする場合、Y支店のパソコンから172.16.2.0/24のIPアドレス帯への通信はルータAによってA支店に届くときには192.168.0.0/24のIPアドレス帯に変換されるためY支店からは172.16.2.0/24でアクセスできます。
したがってパソコンYからパソコンAにアクセスする場合のIPアドレスは「172.16.2.110」になります。
これらの設定でA支店のパソコンとY支店のパソコンがアクセス可能になりファイル共有を行うことができます。
まとめ
VPN構築にあたり各支店が同じIPアドレス帯を利用していてもルータの設定だけで拠点間VPNを構築できる利点は非常に大きなものになります。支店全体のIPアドレス帯を変更するということはパソコンはもちろんネットワークに接続されているプリンタや固定ローカルIPアドレスが設定されている機器全般に影響がおよびます。
そして設定変更に時間が掛かるだけでなく、どこかにミスやトラブルが発生すると問題解決にさらに時間が掛かり通常の業務に大きな支障がでてしまいます。
どうしても支店のIPアドレス帯が変更ができない場合は、Twice NAT機能の利用も検討する価値は十分あります。
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet02.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet03.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
