YAMAHAルーターでのVPNにおけるVPN使用機器の制限方法について

前へ 次へ
このQ&Aのポイント
  • YAMAHAルーターでのVPN使用機器の制限方法について解説します。
  • YAMAHAルーターはポリシーベースではないため、VPN使用機器の制限方法には異なる手法が必要です。
  • YAMAHAルーターのVPN設定において、Netscreenと同様の制限をかける方法を紹介します。
回答を見る
  • ベストアンサー

YAMAHAルーターでのVPNにおけるVPN使用機器の制限方法について

YAMAHAルーターでのVPNにおけるVPN使用機器の制限方法について 現在、各拠点間でVPN設定しているルーターを、Netscreen系のルーターから YAMAHA機器(RTX1200やRT107eなど)に置き換えを進めています。 通常のLAN同士のVPNは問題なくできましたが、その先に追加する設定方法で悩んでおります。 これまで不要なアクセスを制限するために、Netscreen にて各拠点でVPNを使用するPCやサーバーを、Netscreenの「Object-Addresses-list」へ登録し、Policy上で接続を作成しておりました。 たとえば、 拠点A 192.168.1.0/24 拠点B 192.168.2.0/24 拠点C 192.168.3.0/24 があるとして 拠点A-B間のVPNは、192.168.1.100/32 ~ 192.168.2.0/24 拠点A-C間のVPNは、192.168.1.100/32 ~ 192.168.3.100/32 のようなpolicyを作成し、それ以外のVPNは通さないといった具合です。 Netscreenでは、簡易にこのような設定ができていました。 YAMAHAルーターはポリシーベースではないため、全く違う手法が必要かもしれませんが、ヒントや設定例だけでもご教授いただければと思います。よろしくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • pakuti
  • ベストアンサー率50% (317/631)
回答No.1

・特定のあて先に該当するルーティングのみをトンネルインターフェースに向ける ・ルーティングはネットワークで指定し、フィルタリングする

maimait
質問者

お礼

こちらで頂いた内容などを参考にした結果、 目的のVPN設定ができるようになりました。 ありがとうございました。

maimait
質問者

補足

回答ありがとうございます。 ルーティングやフィルタリングについてはマニュアルで確認中です。 > 特定のあて先に該当するルーティングのみをトンネルインターフェースに向ける これは質問の例で上げました「拠点A-B間のVPNは、192.168.1.100/32 ~ 192.168.2.0/24」でいうと、 ip route 192.168.1.100/32 gateway tunnel 1 のような記述を、拠点Bのルーターに設定、拠点Aにも対向する設定をに書くことで実現されるということでしょうか。 これまでは、"ip route 192.168.1.0/24 gateway tunnel 1" というような記述でした。 > ルーティングはネットワークで指定し、フィルタリングする ここがよくわかりませんが、同様に質問の例で上げました「拠点A-C間のVPNは、192.168.1.100/32 ~ 192.168.3.100/32」でいえば、 ip route 192.168.1.100/32 gateway tunnel 1 ip filter 300001 pass-nolog 192.168.3.100 192.168.1.100 ip filter 300002 reject-nolog 192.168.3.* 192.168.1.* 拠点Cのルーターにのような指定を行ない、 この後、" ip tunnel secure filter 300001 300002" といったコマンドにて設定する。 拠点Aにも対向する設定を追加するということで良いでしょうか? 勉強不足で申し訳ありませんが、よろしくお願いします。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • ルータ同士でVPNを張りたいです

    いつもお世話になっています。 このたび拠点Aと拠点BをVPNで常時接続をすることを考えてます。 それにあたって、疑問が浮かんだので質問させてください。  拠点Aは固定IPアドレスを取得しているのですが、拠点Bは固定IPで はありません。その場合、常時接続は可能なのでしょうか?  不可能な場合リモートで、ルータ同士でVPNを張ることはできる のでしょうか? ちなみに、ルータは拠点AがYAMAHAのRTX-1000 拠点BがYAMAHAのRT57iを利用しています。 大変、恐縮ではございますが、よろしくお願いします。

  • ルータ、VPN機器の選定

    拠点間VPNとクライアントVPNのセンター側の機器として、インターネット接続のためのルータとVPNゲートウェイを別の機器にする場合、それぞれのお勧めはありますでしょうか? 規模としては、3拠点程度に、それぞれ数十台の端末です。 一体型であればYAMAHAのルータにしようと思っていますが、やはり機器を分けていた方がパフォーマンスやセキュリティをよくできるのでしょうか?

  • yamaha57iのVPN設定について

    拠点Aと拠点BのVPN設定をインターネットVPNで設定しようとしています。それぞれの拠点でyamaha rt57iを使用。DNSはそれぞれヤマハのダイナミックDNSを使用です。拠点Aから拠点BへPINGは通るのですがコンピュータの検索がみつかりません。VPN接続をするために空ける有効なport番号を教えていただければと思います。よろしくお願いします。

  • 2重ルータでVPN接続

    2重構成のルータからのVPN接続について質問させて頂きます。 (1)インターネット接続済みの拠点をインターネットVPNで接続したい。 (2)VPNルータで各拠点のルータを置き換えれば済むと考えていたところ、  実は各拠点のルータで光電話等‥のVPNルータ側にない機能が使われており  単純に置換すると今まで利用できた機能が使えなくなるので置き換えできない。 上記の理由から、現状のルータを活かしたまま、VPNルータを2重構成にする方向で考えています。 (2重構成で無くても構わない場合はその方法も知りたいですが、既にVPNルータ購入済みの状態  から作業を引き継いだので、VPNルータは活かしたいです。) 実現したい構成を纏めると下記のようになります。 拠点A                                         拠点B ------------------------------------------------------------------- PC -> VPNルータ -> ルータ ->(インターネット)<- ルータ <- VPNルータ<- PC                ↑                ↑               その他PC           その他PC  VPN接続が必要な端末は限られているので、その他のPCは今まで通り、 通常のルータに接続したままを考えています。(要はVPNルータとVPN接続用PCのみ追加予定です。) 拠点Aに関してはその他PCとVPN接続下のPCでファイルの共有等はやる予定です。 新規のVPNルータはYAMAHAのRTX1200、既存ルータがNECのWEBCASTER V110です。 拠点BのルータはYAMAHA製です。(機種番号は失念しました) こちらのサイトを参考に設定したのですが、うまくいきませんでした。 http://news.mynavi.jp/series/vpn/010/ 拠点B側も2重構成という部分が異なる為だと考えていますが、 設定方法等分かる方がいらっしゃればお知恵を拝借できれば と思います。 長々とすみませんが、宜しくお願い申し上げます。

  • NUROひかり回線にVPNルータを設置するには?

    投稿者はICP/IPの知識が浅いため、エンジニア向けのスレッドに対する 質問として、稚拙な内容であることをまずはご容赦ください。 務め先は事務所が3拠点あり、ぞれぞれ拠点A~Cがあり、私は、つたない ながらも、そこのシステム管理を任されております。 元々、それぞれの拠点にフレッツ回線に対し、光電話付ONUルータ(ONU R/T])が レンタルされており、そのPPPoE設定をせず、その下にVPN対応ルータ (YAMAHA RTX120)を繋ぎゲートウェイルータとしていました。 拠点Aには幾つかのサーバがあり、RTX1210のNetvolante DNS機能を設定し、 拠点Aと拠点B、及び拠点Aと拠点Cを拠点間VPN(L2TP)で接続し運用して おりました。      【拠点A】     (サーバA) (サーバB)・・・      │   │      └─┬─┴─・・・        |     <192.168.1.0>      [RTX1210]        |      [ONU R/T]        |    (インターネット)      |   |    [ONU R/T] [ONU R/T]      |   |    [RTX1210] [RTX1210] <192.168.2.0> <192.168.3.0>    【拠点B】【拠点C】  拠点A-拠点B、及び、拠点A-拠点CをVPN接続。 (<内>は、LAN側ネットワークアドレス。) 所が、拠点Bの回線がマンションタイプで、昨今、夕方近く~深夜までの トラフィックが酷い渋滞で回線品質が非常に悪くなったため、使い物に ならないとして役員が勝手に拠点Bの回線をNUROひかりを申し込んでしまい、 先日、昨年末、回線切替工事を完了させてしまいました。 NUROひかりからは、ZXHN F660Aという機種が割り当てられ設置されました。 そこで問題になっているのか、NUROひかりから配布されたルータは、 プロバイダ設定が予め成されていて、ユーザが変更できないようになって いる点です。 そのため、RTX1210をそのままぶら下げても、ルータが二重化になり、 拠点A-B間VPNの接続ができなくなっています。 そこで伺いたいのは、この状況を解決する方法についてです。 Webを色々探すと、F660シリーズのDMZに、RTX1200番台シリーズを 置き、全パケットをRTX1200番台シリーズに流せばいいという記述が いくつか見受けられます。 (機種は上記のものと少し違いますが、例 http://tatuiyo.xyz/?p=468 等) 具体には、 1. RTX1210のLAN2ポートのMACアドレスを確認。 2. F660Aのメニュー[アプリケーション] ⇒ DMZ ⇒ そのMACを設定。 3. RTX1210のかんたん設定のプロバイダ設定で、WAN側IPをDHCPで自動取得 という手順のようなのですが、実際に試すと、当たり前かもしれませんが、 RTX1210はちゃんとDMZに居るようですが、割り振られるIPはローカルの 192.168.1.xxxです。 これだと、多分、WAN側からは見えるはずないように思います。 現に、この状態でRTX1210のNetvolante設定をしようとしても、プロバイダに 接続されていない、というエラーが出てしまうので。 これから先は、質問者の技量を超えていて、未知の世界なのですが、 さらにどういう設定が必要なのでしょうか。 ・F660AからRTX1210への全ポートフォワーディング設定が必要?。 ・F660AからダイナミックGIPをDHCPで自動転送する方法がある?。 ・現状では不可能。やはり、固定GIPが1つ必要?。 ・RTX1210にさらなる設定が必要?。 それとも、現状では不可能なのでしょうか。 ご回答・ご指南頂ける方、どうかよろしくお願い致します。

  • YAMAHAルータのサイト間VPNの設定について

    1.YAMAHAのルータを使用してサイト間VPNを行おうとしていますが、VPNトンネルが張れません。 2.ルータAのLAN1の端末からルータBのLAN1の端末宛、ルータBのLAN1の端末からルータAのLAN1の端末宛にPingを実施しましたが応答がありません。 3.RTX1000のWebUIにアクセスしてIPSECの項目を確認しましたが、両方ともダウン状態でした。 4.ルータAのLAN1の端末からPR-200NEを通ってインターネットへアクセスできること、ルータBのLAN1の端末からPR-200NEを通ってインターネットへアクセスできることを確認しております。 何が原因になっているかわからず、困っております。 ご教示を頂けますようお願いいたします。 【NTT PR-200NE ファームウェア:18.34】 静的ルーティング設定:宛先:192.168.168.0/24 インターフェイス:LAN ゲートウェイ:192.168.1.60 静的ルーティング設定:宛先:192.167.167.0/24 インターフェイス:LAN ゲートウェイ:192.168.1.50 【YAMAHA RTX1000 ファームウェア:8.01.29 VPNルータA】 ip route default gateway 192.168.1.1 ip lan1 address 192.167.167.167/24 ip lan2 address 192.168.1.50/24 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.167.167.167 ipsec ike pre-shared-key 1 text password ipsec ike remote address 1 192.168.1.60 tunnel enable 1 ipsec auto refresh on ip route 192.168.168.0/24 【YAMAHA RTX1000 ファームウェア:8.01.29 ルータB】 ip route default gateway 192.168.1.1 ip lan1 address 192.167.167.167/24 ip lan2 address 192.168.1.50/24 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.168.168 ipsec ike pre-shared-key 1 text password ipsec ike remote address 1 192.168.1.50 tunnel enable 1 ipsec auto refresh on ip route 192.167.167.0/24 gateway tunnel 1

  • VPNクライアントと対向側のルータの間にルータを挟んだ通信について教え

    VPNクライアントと対向側のルータの間にルータを挟んだ通信について教えてください。 構成1 ○ [PC1(ciscoVPNクライアント)]---[ルータA(buffalo)]---インターネット---[ルータC(cisco)]---[PC2] 構成2 × [PC1(ciscoVPNクライアント)]---[ルータB(YAMAHA RTX1200)]---インターネット---[ルータC(cisco)]---[PC2] 構成3 ○ [PC1(ciscoVPNクライアント)]---インターネット---[ルータC(cisco)]---[PC2] もともと構成1で、ルータAは一般的なインターネットルータで単純にインターネット用です。それを構成2に変更しました。ルータBはPPPoEと IPSecを併用しています。IPSecは他拠点のYAMAHAルータとVPNをむすんでいます。(ルータCは他社のルータで変更できません) VPNの使い方は、PC1からルータCへVPN(IPSec)をつなぎにいき、そのあとPC1からPC2にリモートで接続しています。しかし、構成1から構成2に変更してから、IPSec自体はむすべるんですが、PC1とPC2間で通信ができなくなりました。リモート接続以前に、pingすら飛びません。 構成3のようにPC1にデータ通信カードをさした場合は、通信できます。構成2の社内LAN(ローカルアドレス)からルータBを経由した場合に通信ができません。 VPNクライアントの設定、ルータC、ネットワーク体系は変更していないため、ルータBの設定の問題と思われるのですが、全く原因がわからず困っております。 IPSecをむすんでから通信がうまくいかない理由をお願いいたします。RTX1200でのその実現方法も教えていただけましたら大変助かります。 宜しくお願いいたします。

  • YAMAHAルーターのVPNについて

    YAMAHAのRTX1500で本社と支店をVPN接続しています 本社にファイルサーバー(192.168.1.200)があり支店はそれを見に行くようにしていますが 支店から本社を見に行った場合192.168.1.200以外は見にいけないように設定したいのですが どのような方法があるのかまったくわかりません たとえば(本社)192.168.1.13のパソコンがあり共有がかかっていた場合VPN越しに支店側から \\192.168.1.13と打ち込まれるとそのパソコンが見えてしまうのでフィルター?アクセス制限?的なことができきればと思います お詳しい方いればぜひアドバイスいただければ助かります 本社 192.168.1.1 支店1 192.168.10.1 支店2 192.168.20.1 支店3 192.168.30.1

  • VPNの構築について

    いつもお世話になっております。 VPN構築中にpingが通らなく、困っています。 当方初心者でして、、不明な点があればご指摘下さい。 フレッツ接続で拠点間のVPNを構築しています。 ネットワークの構成はメッシュを使用しています。 ルーターはNetScreenとYAMAHA製のものを使用しています。 また、このタイプの接続が可能かどうかは、他拠点で検証済みであり、現在繋がっているところがあります。 今回のpingが通らない症状ですが、次のようになっています。 ※拠点BはNetScreenであり、他拠点はYAMAHAです。 ・拠点A⇒拠点Bはpingが通ります。 ・拠点B⇒拠点Aはpingが通りません。 拠点BからAに向けて、tracertを行った所、拠点B⇒拠点C⇒***time out というようになぜか、拠点Cを経由するような形になっていました。 これはNetScreen側のスクリプトの問題でしょうか。 それともYAMAHA側の問題でしょうか。 また、双方のスクリプトの記述を見ているのですが、それらしいルーティングの設定をしているところが分かりませんでした。 他にもどこがおかしくなっているのか試す手段がありましたらご教授宜しくお願い致しますm(__)m

  • YAMAHAとアライドでVPN構築

    YAMAHA RTX1000とアライドテレシスAR550SでVPNを構築したいのですが、設定例を参考に接続してみるも、うまくいきません。 以下が概要です。 本社 アライドテレシス AR550S 固定IP1つ割り当て 設定例: http://www.allied-telesis.co.jp/support/list/router/ar550s/docs/cfg-111.html 支社 YAMAHA RTX1000 IPアドレス不定 設定例: http://www.marronkun.net/network/yamaha/vpn_000055.html 本社ー支社間のVPNと各拠点からのインターネットアクセスを実現したいのですが、上手くVPNが繋がりません。 検索して調べてみてもYAMAHAとアライドテレシスの接続例が見つけれられずこちらで質問させていただきました。 宜しくお願いいたします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する