YAMAHAルータでさまざまなVPNを構築してきましたが、YAMAHAルータのLAN側パソコンからPPTPやIPsecのVPN接続を行う場合のルータ設定について話をしていませんでした。LAN側のパソコンからVPN接続するにはフィルタの設定が必要になるので紹介致します。
VPNパススルー
VPNパススルーはLAN内にあるパソコンからインターネット側の機器とVPN接続するための設定をルータで許可する設定です。PPTPパススルーやIPsecパススルーなどVPN接続の種類による呼び方もあります。
PPTPパススルー
ネットワーク構成図
ルータYのLAN側からインターネット網のルータAにPPTP接続する場合はルータYにIPプロトコルのGRE(47番ポート)の通過を許可する設定が必要になります。追加する設定は下記になります。
|
1 2 3 |
ip filter 200080 pass * * gre pp select 1 ip pp secure filter in 200080 |
下記はルータYの設定内容になります。
15行目と34行目にPPTP接続を許可する設定が登録されています。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 |
login password * administrator password * ip route default gateway pp 1 filter 500000 gateway pp 1 ip lan1 address 192.168.10.1/24 pp select 1 pp keepalive interval 30 retry-interval=30 count=12 pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname (ISPの接続アカウント) (ISPのパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200080 ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200099 dynamic 200080 200081 200082 200083 200084 200098 200099 ip pp nat descriptor 1000 pp enable 1 ip filter 200000 reject 10.0.0.0/8 * * * * ip filter 200001 reject 172.16.0.0/12 * * * * ip filter 200002 reject 192.168.0.0/16 * * * * ip filter 200003 reject 192.168.10.0/24 * * * * ip filter 200010 reject * 10.0.0.0/8 * * * ip filter 200011 reject * 172.16.0.0/12 * * * ip filter 200012 reject * 192.168.0.0/16 * * * ip filter 200013 reject * 192.168.10.0/24 * * * ip filter 200020 reject * * udp,tcp 135 * ip filter 200021 reject * * udp,tcp * 135 ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 200024 reject * * udp,tcp 445 * ip filter 200025 reject * * udp,tcp * 445 ip filter 200030 pass * 192.168.10.0/24 icmp * * ip filter 200080 pass * * gre ip filter 200099 pass * * * * * ip filter 500000 restrict * * * * * ip filter dynamic 200080 * * ftp ip filter dynamic 200081 * * domain ip filter dynamic 200082 * * www ip filter dynamic 200083 * * smtp ip filter dynamic 200084 * * pop3 ip filter dynamic 200098 * * tcp ip filter dynamic 200099 * * udp nat descriptor type 1000 masquerade dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.10.101-192.168.10.250/24 dns server pp 1 dns server select 500001 pp 1 any . restrict pp 1 dns private address spoof on |
上記の設定でパソコンYからルータAに対してPPTP接続できるようになります。
IPsecパススルー
ネットワーク構成図
ルータYのLAN側からインターネット網にあるルータAにIPsecでVPN接続する場合はルータYにIKE(UDP 500番ポート)とESP(IPプロトコル 50番ポート)の通過を許可する設定が必要になります。追加する設定内容は下記になります。
|
1 2 3 4 |
ip filter 200080 pass * * udp * 500 ip filter 200081 pass * * esp * * pp select 1 ip pp secure filter in 200080 200081 |
下記はルータYの設定内容になります。
15、34、35行目にIPsec接続を許可する設定が登録されています。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 |
login password * administrator password * ip route default gateway pp 1 filter 500000 gateway pp 1 ip lan1 address 192.168.10.1/24 pp select 1 pp keepalive interval 30 retry-interval=30 count=12 pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname (ISPの接続アカウント) (ISPのパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200080 200081 ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200099 dynamic 200080 200081 200082 200083 200084 200098 200099 ip pp nat descriptor 1000 pp enable 1 ip filter 200000 reject 10.0.0.0/8 * * * * ip filter 200001 reject 172.16.0.0/12 * * * * ip filter 200002 reject 192.168.0.0/16 * * * * ip filter 200003 reject 192.168.10.0/24 * * * * ip filter 200010 reject * 10.0.0.0/8 * * * ip filter 200011 reject * 172.16.0.0/12 * * * ip filter 200012 reject * 192.168.0.0/16 * * * ip filter 200013 reject * 192.168.10.0/24 * * * ip filter 200020 reject * * udp,tcp 135 * ip filter 200021 reject * * udp,tcp * 135 ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 200024 reject * * udp,tcp 445 * ip filter 200025 reject * * udp,tcp * 445 ip filter 200030 pass * 192.168.10.0/24 icmp * * ip filter 200080 pass * 192.168.10.1 udp * 500 ip filter 200081 pass * 192.168.10.1 esp * * ip filter 200099 pass * * * * * ip filter 500000 restrict * * * * * ip filter dynamic 200080 * * ftp ip filter dynamic 200081 * * domain ip filter dynamic 200082 * * www ip filter dynamic 200083 * * smtp ip filter dynamic 200084 * * pop3 ip filter dynamic 200098 * * tcp ip filter dynamic 200099 * * udp nat descriptor type 1000 masquerade dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.10.101-192.168.10.250/24 dns server pp 1 dns server select 500001 pp 1 any . restrict pp 1 dns private address spoof on |
上記の設定でパソコンYからルータAに対してPPTP接続できるようになります。
まとめ
今まで紹介したVPN接続設定はルータ対ルータなのでVPNパススルーの設定は必要ありませんでした。しかしながらネットワークやお客様の環境によってはルータ対ルータでVPN接続していても、個々のパソコンからインターネット網にあるルータに対してVPN接続が必要な場合にはVPNパススルーの設定は必須になります。
弊社では個々のパソコンからVPN接続することが多く、お客様のサポート、メンテナンスなどでよく使います。
また、お客様ではプロジェクトの期間だけVPN接続して情報交換を行ったり、セキュリティの面でファイルサーバへのアクセスは管理者のパソコンだけに限定した場合などあります。
それぞれの環境に合わせてVPNを使い分けてはいかがでしょうか。
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet02.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet03.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
