VPN
2012年01月25日
インターネットVPN製品の独善的評価
インターネットVPN構築に関する御問い合わせを頂きました。 参考までに 、今までの体験事項を書留したいと思います。
ハードウェアVPNでの拠点間接続
機器:BUFFALO BHR-4RV 対 BHR-4RV
評価:設定項目が少なく、理解し易いです。弊社でも利用しています。
主なPPTP設定:認証方式・IPアドレス(ローカル・リモート・WINS・DNS)・ユーザ名・パスワード
機器:OMRON MR504DV 対 MR504DV
評価:設定項目が非常に多く、理解も設定も難しいです。導入事例有り。この機械は場数を踏むと思いました。
主なIPSec設定:IPアドレス・認証プロトコル・認証アルゴリズム(AH・ESP)・暗号化プロトコル・暗号化アルゴリズム・キー管理方式・方向・ローカルとリモートIDタイプ・相手認証方式・事前共有鍵・ハッシュアルゴリズム・暗号化アルゴリズム・交換モード・IKE Keep Alive・IKE自動接続・ISAKMP・IPSec SA有効期間・DHグループ・IKE PFS・MSS設定・Path MTU Discovery・NAT-Traversal
機器:YAMAHA SRT100 対 SRT100
評価:設定項目が少なく、理解し易いです。導入事例有り。
主なIPSec設定:認証鍵・相手先の識別方法(IPアドレス or 名前)・自分のIPアドレス・XAUTH・認証アルゴリズム・暗号アルゴリズム・IKEキープアライブ
構築時の留意点等
通常、VPN対応ルータに交換する必要が有ります。
交換の場合は、ID・パスの書いた書類が必要になる事が多いです。
LAN側のIPアドレスが192.168.24.XXXの場合、CTUを使っている場合が有りますので、ルータを増設する前に、CTUのインターネット接続を解除し、PPPoEパススルー設定をOnにする必要が有ると思います。
ソフトウェアVPNでの拠点間接続
名称:PacketiX VPN 2.0
評価:設定の自由度は非常に高いですが、設定は簡単で、理解し易いです。弊社でも利用しています。
評価:GREやESP等のIPプロトコルを使わず、TCPを使い通信します。これは安定性が高いと思います。
名称:UT-VPN
評価:未だ使った事が無いですが、オープンソース方式で先進機能の開発が進められていて、無償で使えるそうです。
構築時の留意点
各拠点にVPN用のパソコンが必要です。
VPNを維持する為に、 VPN用のパソコンは、電源を入れ続けます。
VPN用のパソコンが壊れたら、再設定が必要です。具体的には、VPN用のパソコンを修理又は交換し、ソフトウェアをインストールし、設定を思い出し、設定の入力等が必要です。
既設ルータのルーティングテーブルを書き換える必要が出てきます。
2011年07月01日
WebCasterV110+BHR-4RVの組み合わせは危険?
KUです。
ご無沙汰しています。
先日から、或る御客様の拠点でインターネットVPNの設定をしていたのですが、かなり大変な思いをしてしまいました。
何が大変…?
VPNとVoIP(IP電話)を、「両方とも」「安定して」使えるようにする事が非常に難しい状況です。
最終的には次の接続形態で運用することになりました。
問題点としまして:
・VPNを尊重しようとすると、VPNは立つが、VoIPがまったく機能しなくなる。
・VoIPを尊重しようとすると、VoIPは機能するが、VPNが動かない・不安定になる。
こういう状況になっています。
設定を変えつつ、安定するかどうか、しばらく様子を見ることになりました。
対策案です
三位一体の機械を検討する。
WebCasterV110+BHR-4RVの組み合わせではなく、すべて一台の機械でこなせるYAMAHA NVR500を利用する等も有効かもしれません。
問題の拠点だけNVR500にして、配下のVPNルータにVPN(PPTP)パススルーする、という案も出ました。
Skype等の利用を検討する。
インターネットの接続には光回線を使用していますが、主な通話にはISDN回線を使用しており、IP電話は拠点間の通話だけ、という限定的な形をとっているようです。
IP電話は契約解除してSkypeで通話する、という方法も有るかもしれません。
UT-VPN等の利用を検討する。
拠点間接続のために、Windowsパソコンを一台占有してしまいますが、無償のVPNソフトウェアで拠点間の接続を構築する、という方法も有るかもしれません。
UT-VPN等ではGREやESP等を使わないようなので、安定した通信が見込めそうです。
その他気付いた点です
試行錯誤が必要な場合、固定グローバルIPアドレスが有った方が、楽です。
動的グローバルIPアドレス+DDNSで運用→DDNS更新した後、反映するまで15〜20分掛かりました(ieServer.net様を利用させて頂いています)。設定の試行錯誤が必要な状況ではかなりの時間コストになります。100%設定に自信が有るなら問題ないのでしょう。。。
IPSecも検討する。
WebCasterV110を外せないなら、IPSec対応のルータにしてみる。IPSecはGREではないので、いけるかもしれません。(自信なし・・・)
「アダプタモード」は、CTU直下でしか動かない?
WebCasterV110の「動作モード」→「アダプタモード」は、NTT西のCTUでしか機能しない、という情報をインターネット・サイトのどこかで見つけました。V110の「ヘルプ」を見たら、どういうことか分かりました。「UPnP CP機能を使ってルータと通信しますが、NTT西のCTUでしか動作検証はしていませんよ。他のメーカ様・ルータ機種は知りません」旨の内容がヘルプに載っていました。
VPNパススルー(PPTP)の設定だけでは不十分?
こちらのサイトで知りました。
IPフィルタで全部を許可にする設定を突っ込まないと、GREパケットが転送されないようです。
それを知るまでは:「簡易DMZ IPアドレス」の設定をして居り、これでいけるものだと思い込んでいました・・・
(6/18) 両方必要。『VPNパススルー(PPTP)』及び『IPフィルタで全部を許可にする設定』
外部へVPN接続すると、拠点間のVPNが切れてしまう?
WebCasterV110+BHR-4RVでの運用で、
社内LANのWindowsパソコンから、他の所にVPN接続しようとすると、拠点間の方のVPNが機能不全に陥りました。
WebCasterV110を再起動すると、拠点間のVPNは、復帰は致します。しかし、動的グローバルIP+DDNSで運用していますので、直ぐには復帰しないのが厄介な点です。
VPNがつながらなくなった時の検討事項及び対処
検討事項:
DDNSが更新されているかどうか、確認する。
対処:
本社拠点で確認君などを利用し、動的グローバルIPアドレスを確認します。
相手拠点で、BHR-4RVのWAN設定→PPTPクライアント設定の、接続先を元に、pingやnslookup等を試行し、IPアドレスを確認します。
両方のIPアドレスが等しければ、DDNSの更新には問題がないと言えます。
検討事項:
WebCasterV110からBHR-4RVにGREが転送されなくなる事が有る。
対処:
WebCasterV110を再起動する。
次に、動的IPアドレスが変化するので、インターネットにつながってから、サーバでU4ieServerを実行する。
記事の通り、相手拠点が本社拠点の発見に至るまで15分〜20分掛かるので、発見し、接続するまで待ちます。
オマケ:色々と配線・接続・設定を変えて試しました。
VoIPが機能しなかった例です:
次の例も同様の状況になりました:
IP電話を併用するケースでは次の繋ぎ方で十分行けると思っていました。弊社がそういう設定になっていますので・・・
NTT西の光電話を使う場合はそれでもよいのかもしれません。
OCNどっとフォンを併用されているようで、これの利用、SIPサーバへの接続に、インターネット接続が必要になるようです。この部分が曲者かも。
WebCasterV110に、デフォルトゲートウェイ・DNSサーバのアドレス等、インターネットに接続できる環境・設定を用意してあげれば行けると思ったのですが、いけなかったようです。
(2012/1/17,2014/06/18,修正有)
2010年11月29日
調査中の案件 PR-S300NE
調査中の案件につきまして、投稿させて頂きます。
御客様の所でADSL→光回線に変更なされた&弊社でVPN構築している案件がございます。
安価のため、VPNは市販のVPNルータで組ませて頂いています。
光回線に変更され、工事された後、
調整&設定のためにスタッフがお伺いさせて頂きましたところ、
PR-S300NEという装置一台で光回線〜LAN用イーサネット接続までが完結している状態であったようです。
この状態で、市販ルータのIPsecのVPNが通せるのかどうか、
試行錯誤している所でございます。
意外とあっさりできるのか、難しい設定がいるのかと様々想像してしまいます。
設定がうまくいきましたら、
方法をご紹介させて頂きたいと思います。続きを読む