パソコン > ルーター > 拠点間VPN設定で行き詰まり手こずったのでその解決方法をメモとして残す

拠点間VPN設定で行き詰まり手こずったのでその解決方法をメモとして残す

投稿日時: 投稿者:

はじめに

YAMAHAルーターで拠点間VPNを設定した際にいくつか上手くいかない事項があったのでメモとして記載する。あくまで当方の環境なので他の環境では検証していない。

環境

複数のインターネット接続用ルーターを配置して,それぞれサーバーを接続して外部公開している。VPNについては「L2TP/IPsecを使用したリモートアクセス」の設定はしているが,今回の拠点間VPN(IPsec)は初めて設定する。

追加設定項目

元々のPP接続設定と併用する為,フイルター設定等が影響して上手くVPN接続出来ない事象が発生した。次のヤマハHPに記載の設定例のように単独VPNであれば問題なかったのだと思うが,今回は追加設定した点について記載する。
今回は拠点A側の事例だが拠点A・B共に同様の設定とした
IPsecを使用したVPN拠点間接続(2拠点) : コマンド設定

VPN設定概念図

拠点Bからルーター1にアクセス不能

拠点Bから対抗端の拠点AのルーターRT1にアクセスできない。

対策1

ルーター1に拠点BからのGUIへのアクセス許可を設定する。
ネットワークアドレスは指定出来ないのでIPアドレスを範囲指定する。
例:192.168.10.1-192.168.10.254 192.168.30.1-192.168.30.254

#GUIへのアクセス許可の設定
#
httpd host lan1 拠点A側のIPアドレス 拠点B側のIPアドレス

拠点Bからルーター2にアクセス不能

対策1

ルーター1のLAN1出口フイルターを設定して,拠点Bからのバケットを通過させる。
通過させるバケットはIPアドレスまたはネットワークアドレス指定する。
例:ip filter 1010 pass 192.168.30.0/24 * * * *

ip lan1 secure filter out 1010
ip filter 1010 pass 拠点B側のネットワークアドレス * * * *

対策2

 ルーター2に拠点BからのGUIへのアクセス許可を設定 ※前項目参照

対策3

ルーター2に拠点B宛パケットをルーター1にルーティング設定する。
拠点B側はネットワークアドレス指定。ルーター1側はLAN1のIPアドレス
例: ip route 192.168.30.0/24 gateway 192.168.10.254

#ルーティングの設定
#
ip route 拠点B側のネットワークアドレス gateway ルーター1のIPアドレス


拠点Bから「ルーター2がGWの機器」にアクセスできない

対策

ルーター2がデフオルトゲートウェイの機器(監視カメラ等)は,パケットの宛先は全てルーター2となる。(機器毎でルーテイング指定されているものは除く)
拠点Bから拠点Aの監視カメラにPINGを飛ばした際に,監視カメラはルーター2宛に返答バケットを返す。ルーター2に届いた拠点B宛のパケットはルーターAに転送させる設定は上記で設定済だが,フィルター設定がされていないので全て破棄されていると思われる。
ここで疑問なのが上記のルーター2へのアクセスはどうして可能なのか?
ルーター宛のパケットはフイルター設定をパスしているのかも。
ルーター宛先以外のパケットは一旦ルーター内に入ってからルーテイングされて再び外部に出ていこうとするがそこでフイルターに引っかかて破棄されてしまう。多分
よって宛先が拠点Bのバケットはルーター2から外部(LAN1)へPASSさせる設定を追加。
拠点B側はネットワークアドレス
例:ip filter 1020 pass * 192.168.30.0/24 * * *

ip lan1 secure filter out 1020
ip filter 1020 pass * 拠点B側のネットワークアドレス  * * *

ルーター立ち上げ時にVPN接続が遅い又は接続不能

これも解決に手間取った。
元々,WEB公開がメインの設定なのでルーター側で名前解決の必要性が無くルーターにDNSを設定していなかった。
LAN上にDNSサーバー・DHCPサーバーを立ち上げておりWEB公開やWEB閲覧,メールサーバー等の動作に問題なかった。
今回の拠点間VPNでは固定IPアドレスでは無いのでヤマハのネットボランチサーバー(netvolante.jp)経由で接続させる必要があった。その際にnetvolante.jpの名前解決が出来ない現象が発生した模様。

対策1

全ルーターにDNSを設定する。5行目追加
固定DNSのIPアドレスでもよいが今回はプロバイダーから指定してもらう。

#DNSの設定
#
dns host lan
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on

考察

拠点間VPNは遠方の場合は頻繁に行き来できないので,事前の設定は確実に行う必要がある。
今回はFTTHのセクション1回線を拠点B用として開けてテストを実施した。
ある程度の設定が完了したらVPN接続出来るので遠方からの設定に切り替えてテストを実施した。その際はルーター動作の中核箇所には触れないで,影響の無い箇所の設定に留めるのが無難だ。