« 2014年03月 | メイン | 2014年05月 »

2014年04月30日

拠点間VPN

すっかりGWに入ってますね.
すでに実家に帰省していますが,従来だとGWは帰省しなかったり,したとしてもごく短期間(2泊程度)だったんだけど,今回は割と長めに帰省しています.
なぜかといえば,実家が新築した(といってももう2年ほど経ちますが)ということ以外に,やはり拠点間VPNを構築したことが大きいです.
今までだと,帰省の度に持って帰るデータを準備したり,ノート1台であるが故にサービスレベルが下がったりと,いろいろあった部分が,拠点間VPNの構築によって全部解決されたわけです.
前回触れていたやりたいことリストの1個目,ですな.

今日は,この拠点間VPN構築について.
既に自宅側(ローカルサイト)にはRTX810を導入済みなので,ローカルRTX810への拠点間VPNの設定(トンネル追加)と,実家側(リモートサイト)へのリモートRTX810導入と拠点間VPNの設定をすればいい,という話.

問題は,リモートサイトの物理結線からいじる関係で,実家へ行かざるをえない,ということ.
特にRTX810は自身の宅内LANポート側(LAN1)からしか設定変更できないため,VPN環境が整うまでは遠隔地からの設定変更は困難.
幸い,ローカルサイト側にはL2TP/IPsecのVPNと,OpenVPNのVPN両方が準備してあり,実家側から自宅のVDI環境にRDPして,そちらからローカルRTX810を操作できるので,行ったり来たりというのは避けられそう.

というわけで,まずは自宅側での設定を.
基本的にはYAMAHAが公開している設定例を踏襲すればOK.
なんだけど,躓いた点について.
具体的には,「IPsecを使用したネットワーク型 LAN間接続VPN」の設定時に,「経路情報の設定」として何を設定すればいいのか,ということ.
最近ちまきがたき付けてYAMAHAのルータ(ファイヤーウォール製品のFWX120)を導入させた同僚も,やっぱりはまっていました.
これ,言葉が分かりにくくて(しかもいろいろIPアドレスが設定できる関係で)何を設定すればいいのかわからないんですよね.
まぁ,素人特有の出来事ではあるんですが.
この項目,要はVPN(トンネル)経由で対向側ルータに転送する宛先(IPアドレス)を記載する場所なんですね.
なので,今回の場合だと,ローカル側(例:192.168.1.0/24)のルータにはリモート側のネットワークアドレス(例:192.168.2.0/24)を,リモート側(例:192.168.2.0/24)のルータにはローカル側のネットワークアドレス(例:192.168.1.0/24)を転送先として記載する,となる感じ.
複数記載できるのは,例えばRTX1200(RTX810の上位製品)を中心としたスター型のVPNネットワークを構築する際に,末端側のルータからRTX1200に転送するアドレスを複数指定する(拠点の数分アドレスがあるはず)ようなケースに対応するためなんでしょうね.
ともかく,この経路情報の部分さえ理解できていれば,あとは共通鍵を作って設定するだけで設定自体は簡単に終わります.
ちなみに認証アルゴリズム,暗号アルゴリズムは,それぞれ一番強度の高そうなHMAC-SHA256とAES256-CBCにしておきました.

さて,ここからは懸案の実家サイドです(笑)
実家では既にAterm WR9500Nをメインルータにしたネットワークを組んであるんですが,このルータをRTX810に置き換え,さらにWR9500Nをアクセスポイントに切り替える,というところからスタート(笑)
まぁ,これ自体は既に自宅で経験済みなので,手間がかかるだけって感じですかね.

まぁ,ネットワークの基幹を組み直すの自体は大したことないので,さくさくやって,あっさり復旧.
後はVPNの設定をするだけなんだけど,これもさっきのYAMAHAのサイトを見ながらやるだけ.
なんだけど,ふと疑問が.
よく考えたら,ローカルルータを設定していたときに,拠点間VPNを接続する手続き(ボタンを押すとかそういうの)がなかったよなーと.
これって本当にうまくいくんだろうか・・・,と思いながらもとりあえず設定してみました.
で,設定が終わってしばらくすると(1分以内程度),ルータのWeb設定画面のトップページにあるステータスが,接続状態になったのでした.
どうやら,明示的な接続手続きはなく,インターネットに繋がった段階で自動的に拠点間VPNが稼働し始めるようです.
これは快適(笑)
というか,冷静に考えると,自動接続でなかった場合は,何かで回線が切断される度に拠点間通信が途絶する事態になるので,この設計は正しい気がします.

かくして,自宅と実家はネットワークで繋がれ,DLNAサーバのコンテンツもネットワーク越しに配信することができるようになったのでした.
やったね!
ただ,ここには大きな罠があったのでした・・・.
というところで,今回はここまで(笑)

投稿者 chimaki : 23:40 | トラックバック

« 2014年03月 | メイン | 2014年05月 »