2011年07月01日
WebCasterV110+BHR-4RVの組み合わせは危険?
KUです。
ご無沙汰しています。
先日から、或る御客様の拠点でインターネットVPNの設定をしていたのですが、かなり大変な思いをしてしまいました。
何が大変…?
VPNとVoIP(IP電話)を、「両方とも」「安定して」使えるようにする事が非常に難しい状況です。
最終的には次の接続形態で運用することになりました。
問題点としまして:
・VPNを尊重しようとすると、VPNは立つが、VoIPがまったく機能しなくなる。
・VoIPを尊重しようとすると、VoIPは機能するが、VPNが動かない・不安定になる。
こういう状況になっています。
設定を変えつつ、安定するかどうか、しばらく様子を見ることになりました。
対策案です
三位一体の機械を検討する。
WebCasterV110+BHR-4RVの組み合わせではなく、すべて一台の機械でこなせるYAMAHA NVR500を利用する等も有効かもしれません。
問題の拠点だけNVR500にして、配下のVPNルータにVPN(PPTP)パススルーする、という案も出ました。
Skype等の利用を検討する。
インターネットの接続には光回線を使用していますが、主な通話にはISDN回線を使用しており、IP電話は拠点間の通話だけ、という限定的な形をとっているようです。
IP電話は契約解除してSkypeで通話する、という方法も有るかもしれません。
UT-VPN等の利用を検討する。
拠点間接続のために、Windowsパソコンを一台占有してしまいますが、無償のVPNソフトウェアで拠点間の接続を構築する、という方法も有るかもしれません。
UT-VPN等ではGREやESP等を使わないようなので、安定した通信が見込めそうです。
その他気付いた点です
試行錯誤が必要な場合、固定グローバルIPアドレスが有った方が、楽です。
動的グローバルIPアドレス+DDNSで運用→DDNS更新した後、反映するまで15〜20分掛かりました(ieServer.net様を利用させて頂いています)。設定の試行錯誤が必要な状況ではかなりの時間コストになります。100%設定に自信が有るなら問題ないのでしょう。。。
IPSecも検討する。
WebCasterV110を外せないなら、IPSec対応のルータにしてみる。IPSecはGREではないので、いけるかもしれません。(自信なし・・・)
「アダプタモード」は、CTU直下でしか動かない?
WebCasterV110の「動作モード」→「アダプタモード」は、NTT西のCTUでしか機能しない、という情報をインターネット・サイトのどこかで見つけました。V110の「ヘルプ」を見たら、どういうことか分かりました。「UPnP CP機能を使ってルータと通信しますが、NTT西のCTUでしか動作検証はしていませんよ。他のメーカ様・ルータ機種は知りません」旨の内容がヘルプに載っていました。
VPNパススルー(PPTP)の設定だけでは不十分?
こちらのサイトで知りました。
IPフィルタで全部を許可にする設定を突っ込まないと、GREパケットが転送されないようです。
それを知るまでは:「簡易DMZ IPアドレス」の設定をして居り、これでいけるものだと思い込んでいました・・・
(6/18) 両方必要。『VPNパススルー(PPTP)』及び『IPフィルタで全部を許可にする設定』
外部へVPN接続すると、拠点間のVPNが切れてしまう?
WebCasterV110+BHR-4RVでの運用で、
社内LANのWindowsパソコンから、他の所にVPN接続しようとすると、拠点間の方のVPNが機能不全に陥りました。
WebCasterV110を再起動すると、拠点間のVPNは、復帰は致します。しかし、動的グローバルIP+DDNSで運用していますので、直ぐには復帰しないのが厄介な点です。
VPNがつながらなくなった時の検討事項及び対処
検討事項:
DDNSが更新されているかどうか、確認する。
対処:
本社拠点で確認君などを利用し、動的グローバルIPアドレスを確認します。
相手拠点で、BHR-4RVのWAN設定→PPTPクライアント設定の、接続先を元に、pingやnslookup等を試行し、IPアドレスを確認します。
両方のIPアドレスが等しければ、DDNSの更新には問題がないと言えます。
検討事項:
WebCasterV110からBHR-4RVにGREが転送されなくなる事が有る。
対処:
WebCasterV110を再起動する。
次に、動的IPアドレスが変化するので、インターネットにつながってから、サーバでU4ieServerを実行する。
記事の通り、相手拠点が本社拠点の発見に至るまで15分〜20分掛かるので、発見し、接続するまで待ちます。
オマケ:色々と配線・接続・設定を変えて試しました。
VoIPが機能しなかった例です:
次の例も同様の状況になりました:
IP電話を併用するケースでは次の繋ぎ方で十分行けると思っていました。弊社がそういう設定になっていますので・・・
NTT西の光電話を使う場合はそれでもよいのかもしれません。
OCNどっとフォンを併用されているようで、これの利用、SIPサーバへの接続に、インターネット接続が必要になるようです。この部分が曲者かも。
WebCasterV110に、デフォルトゲートウェイ・DNSサーバのアドレス等、インターネットに接続できる環境・設定を用意してあげれば行けると思ったのですが、いけなかったようです。
(2012/1/17,2014/06/18,修正有)