これまでのVPN構築例では、
- 第1回 VPNクライアントソフトウェアによるリモートアクセス!
- 第2回 IPIPによる接続(NTTフレッツ網を利用したVPN)
- 第6回 同じプライベートアドレス同士の拠点間で通信する
- 第8回 フレッツVPNワイドを利用した運用例の紹介
などフレッツ網やVPNクライアントソフトウェアなどを使ったVPN構築を紹介しました。今回はRTX1210を使用した拠点間のインターネットVPNの構築を紹介します。
一般的にインターネットに接続する場合、プロバイダから動的IPアドレスが割り当てられます。
動的IPアドレスはルータの再起動やNTTやプロバイダのメンテナンスなどでインターネット通信を再接続した場合、IPアドレスが変わってしまうことがあります。
固定IPアドレスは通信が切断し再接続してもプロバイダから通知されている決まったIPアドレスが付与されます。
インターネットVPNは基本的に両拠点とも固定IPアドレスをプロバイダから取得してVPNを構築します。固定IPアドレスを取得するには一般的なプロバイダ費用の他に固定IPアドレス取得する為の費用が別途掛かります。ただし、動的IPアドレスでもVPNを構築する方法はあります。
これから紹介する2つの事例ですが、本社はプロバイダから固定IPアドレスを取得していることを前提とし、支店が固定IPアドレスの時と動的IPアドレスの時の構築例を紹介します。
まずはじめに支店が固定IPアドレスをプロバイダから取得したVPN構築を紹介します。
目次
インターネットVPN設定(本社と支店が固定IPアドレスを取得)
本社および支店のIPアドレスはプロバイダから固定IPアドレスを取得したVPN構築例です。
ネットワーク構成
本社およびY支店のWAN側はプロバイダから固定IPアドレスが付与されます。
ルータ設定内容
■本社 ルータAの設定内容
ip route default gateway pp 1 ip route 192.168.1.0/24 gateway tunnel 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.0.1/24 ip lan1 proxyarp on pp select 1 description pp 1 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect on pp auth accept pap chap pp auth myname (ISPの接続アカウント) (ISPのパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ccp type none ip pp mtu 1454 ip pp secure filter in 20 30 40 41 200 ip pp secure filter out 10 11 12 13 14 15 300 dynamic 100 101 102 103 104 105 106 ip pp nat descriptor 1 pp enable 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.0.1 ipsec ike local id 1 (本社側固定IPアドレス) ipsec ike pre-shared-key 1 text (事前共有鍵) ipsec ike remote address 1 (Y支店側固定IPアドレス) ip tunnel tcp mss limit auto tunnel enable 1 ip filter 10 reject * * udp,tcp 135 * ip filter 11 reject * * udp,tcp * 135 ip filter 12 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 13 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 14 reject * * udp,tcp 445 * ip filter 15 reject * * udp,tcp * 445 ip filter 20 reject 192.168.0.0/24 * ip filter 30 pass * 192.168.0.0/24 icmp ip filter 40 pass * 192.168.0.1 udp * 500 ip filter 41 pass * 192.168.0.1 esp ip filter 200 reject * * ip filter 300 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp nat descriptor type 1 nat-masquerade nat descriptor masquerade static 1 1 192.168.0.1 udp 500 nat descriptor masquerade static 1 2 192.168.0.1 esp ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.0.50-192.168.0.150/24 dns server pp 1 dns server select 500001 pp 1 any . restrict pp 1 dns private address spoof on pptp service on
■Y支店 ルータYの設定内容
ip route default gateway pp 1 ip route 192.168.0.0/24 gateway tunnel 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.1.1/24 pp select 1 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect on pp auth accept pap chap pp auth myname (ISPの接続アカウント) (ISPのパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ccp type none ip pp mtu 1454 ip pp secure filter in 20 30 40 41 200 ip pp secure filter out 10 11 12 13 14 15 300 dynamic 100 101 102 103 104 105 106 ip pp nat descriptor 1 pp enable 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc sha-hmac ipsec ike local address 1 192.168.1.1 ipsec ike local id 1 (Y支店側固定IPアドレス) ipsec ike pre-shared-key 1 text (事前共有鍵) ipsec ike remote address 1 (本社側固定IPアドレス) ip tunnel tcp mss limit auto tunnel enable 1 ip filter 10 reject * * udp,tcp 135 * ip filter 11 reject * * udp,tcp * 135 ip filter 12 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 13 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 14 reject * * udp,tcp 445 * ip filter 15 reject * * udp,tcp * 445 ip filter 20 reject 192.168.1.0/24 * ip filter 30 pass * 192.168.1.0/24 icmp ip filter 40 pass * 192.168.1.1 udp * 500 ip filter 41 pass * 192.168.1.1 esp ip filter 200 reject * * ip filter 300 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.1.1 udp 500 nat descriptor masquerade static 1 2 192.168.1.1 esp ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.1.11-192.168.1.99/24 dns server pp 1 dns private address spoof on
本社および支店のルータをそれぞれ設定することで、インターネットおよび本社とY支店間の通信が確立されます。
上記の設定はルータA、ルータYで登録された固定IPアドレスからの接続のみVPN接続を行うのでセキュリティが高く保たれます。
続いて、本社は固定IPアドレスでY支店が一般的な動的IPアドレスを用いた時のVPN構築例です。
インターネットVPN設定(本社は固定IPドレスで支店が動的IPアドレス)
まずは、本社はプロバイダから固定IPアドレスが付与され、支店は動的IPアドレスが割り当てられます。
ネットワーク構成
本社はプロバイダから固定IPアドレス、支店が動的IPアドレスが付与されます。
ルータ設定内容
■本社 ルータAの設定内容
ip route default gateway pp 1 ip route 192.168.1.0/24 gateway tunnel 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.0.1/24 ip lan1 proxyarp on pp select 1 description pp 1 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect on pp auth accept pap chap pp auth myname (ISPの接続アカウント) (ISPのパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ccp type none ip pp mtu 1454 ip pp secure filter in 20 30 40 41 200 ip pp secure filter out 10 11 12 13 14 15 300 dynamic 100 101 102 103 104 105 106 ip pp nat descriptor 1 pp enable 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.0.1 ipsec ike pre-shared-key 1 text (事前共有鍵) ipsec ike remote address 1 any ip tunnel tcp mss limit auto tunnel enable 1 ip filter 10 reject * * udp,tcp 135 * ip filter 11 reject * * udp,tcp * 135 ip filter 12 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 13 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 14 reject * * udp,tcp 445 * ip filter 15 reject * * udp,tcp * 445 ip filter 20 reject 192.168.0.0/24 * ip filter 30 pass * 192.168.0.0/24 icmp ip filter 40 pass * 192.168.0.1 udp * 500 ip filter 41 pass * 192.168.0.1 esp ip filter 200 reject * * ip filter 300 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp nat descriptor type 1 nat-masquerade nat descriptor masquerade static 1 1 192.168.0.1 udp 500 nat descriptor masquerade static 1 2 192.168.0.1 esp ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.0.50-192.168.0.150/24 dns server pp 1 dns server select 500001 pp 1 any . restrict pp 1 dns private address spoof on pptp service on
本社と支店が固定IPアドレス時の設定内容と異なる点は、VPN設定の一部を変更するだけでVPN接続ができるようになります。下記に具体的に説明します。
支店も固定IPアドレス時の設定の28行目に
ipsec ike local id 1 (本社側固定IPアドレス)
が設定されていますが、支店が動的IPアドレス時は上記は必要ないのでを削除します。
また、支店も固定IPアドレス時の設定の30行目に
ipsec ike remote address 1 (Y支店側固定IPアドレス)
が設定されていますが、これを
ipsec ike remote address 1 any
に変更します。これでルータAの設定は完了です。
続いてY支店の設定です。
■Y支店 ルータYの設定内容
ip route default gateway pp 1 ip route 192.168.0.0/24 gateway tunnel 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.1.1/24 pp select 1 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect on pp auth accept pap chap pp auth myname (ISPの接続アカウント) (ISPのパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ccp type none ip pp mtu 1454 ip pp secure filter in 20 30 40 41 200 ip pp secure filter out 10 11 12 13 14 15 300 dynamic 100 101 102 103 104 105 106 ip pp nat descriptor 1 pp enable 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc sha-hmac ipsec ike local address 1 192.168.1.1 ipsec ike pre-shared-key 1 text (事前共有鍵) ipsec ike remote address 1 (本社側固定IPアドレス) ip tunnel tcp mss limit auto tunnel enable 1 ip filter 10 reject * * udp,tcp 135 * ip filter 11 reject * * udp,tcp * 135 ip filter 12 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 13 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 14 reject * * udp,tcp 445 * ip filter 15 reject * * udp,tcp * 445 ip filter 20 reject 192.168.1.0/24 * ip filter 30 pass * 192.168.1.0/24 icmp ip filter 40 pass * 192.168.1.1 udp * 500 ip filter 41 pass * 192.168.1.1 esp ip filter 200 reject * * ip filter 300 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.1.1 udp 500 nat descriptor masquerade static 1 2 192.168.1.1 esp ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.1.11-192.168.1.99/24 dns server pp 1 dns private address spoof on
こちらもルータAと同様にVPN設定の一部を変更します。具体的には、
支店も固定IPアドレス時の設定で25行目に
ipsec ike local id 1 (Y支店側固定IPアドレス)
がせて地されていますがこれを削除するだけで本社とVPN接続ができるようになります。
上記の設定は支店が移転などで移設することになっても設定を変更することなくそのまま使うことができます。
ただし、プロバイダによってはインターネット回線の種別変更、利用する都道府県が変わることでISPの接続アカウント、ISPのパスワードが変更になる場合もあるので注意が必要です。
ダイナミックDNS (動的DNS/DDNS)を使ったVPN構築
ダイナミックDNSとは固定IPアドレスを取得できない時にホスト名と動的IPアドレスを紐付けして対応させる仕組みです。このダイナミックDNSを利用することで固定IPアドレスをプロバイダから取得することなく拠点間のVPN構築することも可能です。
YAMAHAでは「ネットボランチDNSサービス」という名称でダイナミックDNSサービスを無償で提供しています。「ネットボランチDNSサービス」を利用したVPN構築については次の機会で紹介したいと思います。
まとめ
支店側IPアドレスが動的IPアドレスの場合と固定IPアドレスの場合の比較表です。
| 利便性 | セキュリティ | 運用コスト | |
| 支店側が固定IPアドレス | △ | ○ | △ |
| 支店側が動的IPアドレス | ○ | △ | ○ |
支店が動的IPアドレスの場合、支店のIPアドレスが不定期に変わってもVPN接続ができるので、支店の移転やルータを別の場所で再利用する時でもプロバイダ情報をインターネット回線の環境に合わせて変更するだけで使うことができます。また、運用コストもプロバイダから固定IPアドレスを取得する必要がないので低く抑えることができます。ただし、固定IPアドレスを使わないのでVPN情報が漏えいした場合、他の場所でVPN設定をしたルータを利用すると本社とのVPN接続ができてしまいます。セキュリティはどうしても固定IPアドレスを取得する方法より低くなってしまいます。
支店も固定IPアドレスの場合、プロバイダから固定IPアドレスを取得するのでプロバイダ費用の他に固定IPアドレス用の費用が掛かります。また、拠点間のルータで登録されたIPアドレスのみでしかVPN接続を許可しないので移転などの場合、移転先のインターネット回線の環境にあった固定IPアドレスをプロバイダから再取得する必要があります。
しかしながら、登録されたIPアドレスのみの接続を許可するので、VPN情報が漏えいした場合でも登録されたIPアドレスからしかVPN接続しないのでセキュリティは非常に高くなります。
支店のIPアドレスを固定IPアドレスにするか動的IPアドレスにするかはそれぞれメリットがあります。
しかしながら、最近の個人情報の取り扱いについて日々厳しくなっている現在、企業で取り扱っている情報をしっかりと守るためにも拠点間のIPアドレスはプロバイダから固定IPアドレスを取得して運用することをお勧め致します。
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet02.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet03.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
