今回紹介するのは2つの拠点間で同じIPアドレス帯を使ったネットワーク構築の紹介です。
これは以前紹介した
のネットワーク構成とはまた違ったものになります。
今回は2つの拠点を1つのネットワークで構築します。下記に違いを説明します。
ネットワーク構成の違い
まずは第6回で紹介したネットワーク構成例の図です。
2つの拠点は同じIPアドレス帯ですが、それぞれ単独で2つのネットワークで構成されています。
今回設定するネットワーク構成です。
拠点は2ヶ所ですがネットワークは1つで構成されています。
1つのネットワークで構成されているので各拠点のルータのIPアドレスは同じIPアドレスを設定することはできません。これはパソコンや複合機などネットワーク接続する機器全てに共通します。
アクセス方法の違い
第6回と今回で大きな違いは拠点にあるパソコンへのアクセス方法です。
第6回ではA支店からY支店にあるパソコンYにアクセスするには「192.168.0.120」でアクセスするこはできません。アクセスするには「172.16.1.120」というIPアドレスでアクセスします。これはルータでパケットの始点アドレスと終点アドレスの両方が変換されるTwice NAT機能を利用しているためで、アクセスするIPアドレスが変わってしまい複雑になってしまいます。
しかし、今回のネットワーク構築は本社から支店にあるパソコンYに「192.168.1.50」でアクセスすることができます。IPアドレスの変換がないためとてもシンプルでわかり易いです。
ルータ設定
本社 ルータA設定内容
login password * administrator password * ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.1.1/24 pp select 1 pp keepalive interval 30 retry-interval=30 count=12 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname (ISPの接続アカウント) (ISPのパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ccp type none ip pp mtu 1454 ip pp secure filter in 1020 1030 1040 1041 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107 ip pp nat descriptor 1 pp enable 1 tunnel select 1 tunnel encapsulation l2tpv3 tunnel endpoint address 192.168.1.1 (支店側固定IPアドレス) ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive log 1 on ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.1.1 ipsec ike pre-shared-key 1 text (事前共有鍵) ipsec ike remote address 1 (支店側固定IPアドレス) l2tp always-on on l2tp hostname (接続先に通知するホスト名) l2tp tunnel auth on (L2TP認証用パスワード) l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp syslog on l2tp local router-id 192.168.1.1 l2tp remote router-id 192.168.1.2 l2tp remote end-id (L2TPv3リモートエンドID) ip tunnel tcp mss limit auto tunnel enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.1.0/24 * ip filter 1030 pass * 192.168.1.0/24 icmp ip filter 1040 pass * 192.168.1.1 udp * 500 ip filter 1041 pass * 192.168.1.1 esp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * netmeeting ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.1.1 udp 500 nat descriptor masquerade static 1 2 192.168.1.1 esp nat descriptor masquerade static 1 3 192.168.1.1 udp 4500 ipsec auto refresh on ipsec transport 1 101 udp 1701 telnetd host 192.168.1.1-192.168.1.254 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.1.101-192.168.1.200/24 dns server 8.8.8.8 dns server pp 1 dns private address spoof on l2tp service on l2tpv3 httpd host 192.168.1.1-192.168.1.254
本社のルータAでDHCPの管理を行います。
支店 ルータY設定内容
login password * administrator password * ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.1.2/24 pp select 1 pp keepalive interval 30 retry-interval=30 count=12 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect on pp auth accept pap chap pp auth myname (ISPの接続アカウント) (ISPのパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ccp type none ip pp mtu 1454 ip pp secure filter in 1020 1030 1040 1041 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107 ip pp nat descriptor 1 pp enable 1 tunnel select 1 tunnel encapsulation l2tpv3 tunnel endpoint address 192.168.1.2 (本社側固定IPアドレス) ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive log 1 on ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.1.2 ipsec ike pre-shared-key 1 text (事前共有鍵) ipsec ike remote address 1 (本社側固定IPアドレス) l2tp always-on on l2tp hostname (接続先に通知するホスト名) l2tp tunnel auth on (L2TP認証用パスワード) l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp syslog on l2tp local router-id 192.168.1.2 l2tp remote router-id 192.168.1.1 l2tp remote end-id (L2TPv3リモートエンドID) ip tunnel tcp mss limit auto tunnel enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.1.0/24 * ip filter 1030 pass * 192.168.1.0/24 icmp ip filter 1040 pass * 192.168.1.2 udp * 500 ip filter 1041 pass * 192.168.1.2 esp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * netmeeting ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.1.2 udp 500 nat descriptor masquerade static 1 2 192.168.1.2 esp nat descriptor masquerade static 1 3 192.168.1.2 udp 4500 ipsec auto refresh on ipsec transport 1 101 udp 1701 telnetd host 192.168.1.1-192.168.1.254 dns server 8.8.8.8 dns server pp 1 dns private address spoof on l2tp service on l2tpv3 httpd host 192.168.1.1-192.168.1.254
設定の注意点
今回設定するにあたりいくつか注意点をあげます。
- WEBからのアクセス
- DNSの設定
- IPsecの事前共有鍵、L2TP認証用パスワード、L2TPv3リモートエンドID
WEBからのアクセス
ルータにWEBからアクセスして設定や状態確認などを行う時、今まで設定変更はしないでルータに接続できていました。今回は
httpd host 192.168.1.1-192.168.1.254
の設定が必要でした。
「httpd host」の初期値は「lan」ですが、アクセスを許可する設定値は「any」もしくは「IPアドレスで範囲指定」する必要があります。
これは「telnetd host」でも同様です。「telnetd host」の場合、初期値は「any」になっているので今回の設定でもTELNETでアクセスできましたが、設定値を「lan」にするとアクセスできませんでした。
DNSの設定
DNSの設定は通常下記のようにプロバイダから自動で取得するように設定します。
dns server pp 1
今回はプロバイダのDNSサーバもIpアドレスで指定しないと名前解決ができませんでした。
dns server 8.8.8.8
今回はgoogleの「Google Public DNS」の「8.8.8.8」を使わせて頂きました。
IPsecの事前共有鍵、L2TP認証用パスワード、L2TPv3リモートエンドID
IPsecの事前共有鍵、L2TP認証用パスワード、L2TPv3リモートエンドIDは本社、支店のルータで同じ文字列を使用する必要があります。
■本社ルータ 32行目、36行目、43行目
ipsec ike pre-shared-key 1 text (事前共有鍵) l2tp tunnel auth on (L2TP認証用パスワード) l2tp remote end-id (L2TPv3リモートエンドID)
■支店ルータ 32行目、36行目、32行目
ipsec ike pre-shared-key 1 text (事前共有鍵) l2tp tunnel auth on (L2TP認証用パスワード) l2tp remote end-id (L2TPv3リモートエンドID)
まとめ
今回の設定をすることで離れた2つの拠点間を1つのネットワークで構築できるのでファイルサーバのアクセスや複合機など拠点間を意識することなく利用することができます。しかしながら本社側でルータの故障や回線障害が発生すると支店側に問題がなくても業務に支障が出る可能性があったり、IPアドレスの管理を本社と支店でしっかり行わないとIPアドレスが被ってしまいネットワーク障害が発生してしまうことがあるので注意が必要です。
次回はルータ設定で使われている「L2TPv3」やクライアント設定について説明致します。
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet02.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet03.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
