• 締切済み

インターネットVPNとIP-VPN網の共存

社内ネットワークの再構築を検討中です。 お知恵を拝借できれば幸いです。※長文お許し下さい。 現在のネットワークはIP-VPN網(実質的にはサーバーが本社のみに存在するスター型)でインターネット接続も本社経由としています。 帯域制限のため、インターネット接続台数を制限していますが、トラフィック増加に対処するため、コストのかかるIP-VPN網の帯域よりもインターネットVPNを別回線として確保する方法を採用しようと思っています。 (基幹は端末接続のため、インターネットVPNとして切れやすいフレッツ網を使うのはリスクが大きすぎる) 現行の各拠点のルーターはIP-Secに未対応ということですので、拠点にインターネットVPN用のルーターの新規設置が必要になるようです。(ルーターは残存リース期間があるためできればそのまま使いたい) 現在の設定値として、 各拠点のPCは 固定IPを振ってあり、拠点毎のルーターをデフォルトGWとしています。DNSは本社インターネット用ルーターを指定しています。 インターネット接続にプロキシは指定しておりません。各拠点のルーターは特別な設定は行っていません。 現在のネットワーク設計をした会社が撤退してしまったため、別会社の提案を受けていますが、今ひとつ信頼性に掛けるため、作業内容を確認しようと思っています。 単純に考えると、 1)拠点PCのデフォルトGWをインターネット用ルーター(A)として、(A)上で社内アドレスをルーター(B)に向ける 2)拠点の既存ルーター(B)のルーティング情報を設定し、社内アドレス以外はルーター(A)に向ける の何れかを取ることになるのでしょうか? また、こうしたインターネットVPNの構成をとる場合、プロキシを社内に立てないと駄目という話を受けていますが、その意味が解せません。 コンテンツフィルタリングを行うとかでしたら判るのですが、本当に必要なのでしょうか?

みんなの回答

回答No.2

>単純に考えると、 >1)拠点PCのデフォルトGWをインターネット用ルータ>ー(A)として、(A)上で社内アドレスをルーター(B)に >向ける >2)拠点の既存ルーター(B)のルーティング情報を設 >定し、社内アドレス以外はルーター(A)に向ける >の何れかを取ることになるのでしょうか? 既存のルータを使いつつIPSec対応のルータの合計2台のダブルルータで運用する場合は上記のご質問のとおりになるかと思います。 >また、こうしたインターネットVPNの構成をとる場 >合、プロキシを社内に立てないと駄目という話を受け>ていますが、その意味が解せません。 拠点からIPSecルータ経由で本部からインターネットに出て行く構成をとった場合、 本部側のIPSecルータ(要するに拠点からの受け)がデフォルトルートをインターネットVPNを張るためのインターネット側へ1つと、 本部からインターネットに出るためのルータへのデフォルトルートと2つ持たなくてはいけないため、プロキシが必要なのではないでしょうか? 要するに本部側のインターネットVPN用のルータにデフォルトルートを二つ設定する必要があり、その構成ではインターネット通信が正常に出来ないからプロキシが必要だとおっしゃっているのではないでしょうか? ただ、拠点から直接インターネットに出て行く場合はもちろんプロキシはいりませんけどね。 長くなりましたが、こんなんでいかがですか?

hatsuzo
質問者

お礼

アドバイス有難うございます。 プロキシの使い方としては良くわかりました。 つまり、本社側の外向けルーターは、全て内部アドレスからのデフォルトゲートウェイにできるということですね。 その場合、各拠点のPCに対し、使用プロキシとして登録する必要はあるということですね? よく判らないのは、その場合、本社から拠点プロキシへの通信はインターネットではなく、既存の回線であるIP-VPN網を通るとしたら、現在の構成となんら変わらなくなってしまうように思えるのですが、そんなことは無いのでしょうか?

回答No.1

<よく読んでいませんので誤解があるかもしれません>  このような場合のルータには「ポリシールーティング」などと呼ばれる機能が望まれます。  Source IPなどにより、デフォルトGWを任意に設定  これにより、Source IP=ルータWAN自身:VPN(IPSec)時のGWはインターネットデフォルト、Source IP=192.168.30.0/24(支店):支店内PC群時のGWはVPN(IPSec)トンネル・・・という風に指定します。  その機能が無い場合は、本社受けIP/32マスクでルート情報を設定して、デフォルトGWは、VPNトンネルを指定して逃げることもありますが、ルータがIP自動取得だとデフォルトGWはインターネット固定となってしまう機種もありますので要注意です。  尚、応答速度上の問題ではなければ、セッション維持機能のあるルータだと再接続/バックアップ回線接続替え時にもホスト通信のセッションは維持されたまま‘遅くなっただけ’で済むルータもあります。

hatsuzo
質問者

お礼

アドバイス有難うございました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • VPNとインターネット接続の併用について

    こんにちは。 社内の拠点間でVPNを設置したのですがインターネットの接続が接続先から繋がってしまいます。 どのようにすれば良いかアドバイスをください。 ONU ↑ ルーター1 ↑ VPN ルーター → 拠点 ↑ PC VPN RouterとPCをつなぐと、PCからルーター1がどうしても見ません。 ルーター1のGWを設定すると識別されてない接続になってしまいます。 しろうとで悪いですがよろしくおねがいします。

  • インターネットVPNの仕方

    拠点A と 拠点BをインターネットVPNで繋ぐことになりました。(新規拠点は拠点B) 【構成図】 拠点B・・・Linuxルータ・・・Ciscoルータ・・・VPN・・・Ciscoルータ・・・Linuxルータ・・・拠点A                 \               /                   \            /                       インターネット インターネットVPNで拠点同士を接続する時は、 「拠点Bから送信される「CIFSデータ(ファイルサーバデータ)」は、拠点AにVPN通信で送信。」 「拠点Bから送信される「httpデータ」は、インターネットに送信。」 【質問】 というように設定するのが普通なのでしょうか? むしろそのような設定がVPNで出来るのでしょうか? 特に拠点Bからのインターネット通信を、 拠点Aのsquid等のプロキシサーバに通すといった設定条件はありません。 ファイル通信や必要データ以外は、VPN以外を通して通信させたいと思っています。 ご教授お願いします。

  • VPN先の共有フォルダにアクセスできません?

    yamahaルータにて、2拠点間のVPNを構築しています。 VPNルータとインターネット閲覧用ルータを分けているので、各拠点には2台のルータが存在しています。 各拠点内のPCはデフォルトのGWをインターネット用ルータとし、 インタネット用ルータにて対向先のネットワークのみVPNルータへ ルーティングするよう記述しました。 (拠点a) 192.168.100.1(インターネット用のGW) 192.168.100.2(VPNのGW) 192.168.100.10(PC1) (拠点b) 192.168.200.1(インターネット用のGW) 192.168.200.2(VPNのGW) 192.168.100.10(PC2) <問題点> 各拠点どうしのPC間(例えばpc1とPC2)にてPINGやhttp、FTPなどは正常にアクセスできるのですが「windowsのファイル共有」のアクセスができません。(相手先への接続はブラウザから\\192.168.*00.10と入力しています) 「ネットワークパスが見つかりません」や「(何も表示されない)」などとなります。 ただ、PC1(PC2)のデフォルトゲートウエイをVPNルータに設定すると正しく共有フォルダが表示されます。 これは仕様でしたでしょうか。 よろしくお願いします。

  • VPNのIP設計について

    基本的なことなのですが、本社から各拠点にVPNを構築したい場合(本社→拠点一方通行)には、 やっぱりIPの構築をしなおさないといけないんでしょうか? 本社のパソコンを拠点に持っていっても使えるように全てのパソコンには、192.168.0.XX/255.255.255.0 の固定IPが振られています。 このあいだ、拠点のルータYAMAHA RT57iにVPN機能がついていることに気が付いたので、 設定をしたのですが本社から拠点を見ようとしても本社ををみに行ってしまって、拠点につなげません。 やはり本社と拠点は、IPを分けるべきでしょうか?

  • ADSL回線のグローバルIPアドレスの調べ方

    本社                      拠点A 〔本社〕-〔インターネット〕-〔ADSLモデム〕ー〔ルータ〕-〔PC〕で接続しております。 拠点Aと本社とをIP-VPNで結ぶのに、どうしてもグローバルIPアドレスを 知りたいのですが、分かりません。 ルータは、YAMAHAのRTA52iを使用しています。拠点Aは、ADSL接続になっています。 取説を読んで設定画面を開いても、プライベートアドレスの設定画面しか出てきません。 ipconfig /allのような形で、グローバルIPを調べるやり方はありますでしょうか? 本社のサーバは、WAN側のVPNアクセスをグローバルアドレスで通過させているようなので、 グローバルアドレスがわからないと本社にアクセス出来ないようなのです。 ネットワーク管理者というのが不在の会社なので、 どなたかお知恵を貸してください。

  • VPN設定(クライアントにグローバルIP)

    次のようなことを実現したいです。 <拠点A> グローバルIPアドレス: 202.XXX.XXX.70 - 202.XXX.XXX.78 プライベートネットワークアドレス: 172.16.10.XXX <拠点B> グローバルIPアドレス: 207.XXX.XXX.50 - 207.XXX.XXX.58 プライベートネットワークアドレス: 172.16.30.XXX 拠点Aと拠点BはVPNで繋がっております。 都合上、拠点Aに202.XXX.XXX.74と固定のグローバルIPアドレスをクライアントに振り、同様に拠点Bにも207.XXX.XXX.55とクライアントに振ってあり、この間をVPNを通して通信する必要がでてきました。 このグローバルIPアドレスを固定に振っているもの同士のVPN接続ができなくて困っています。 VPNは繋がっておりますので、プライベート空間同様の設定をすればグローバルIPアドレスであっても繋がるのではと思ったのですが、うまくいきません、、、 拠点B(客先)からはVPNルーターのグローバルIPアドレスとクライアントに振られている固定のグローバルIPアドレスを情報としてもらっています。 上記以外、拠点B側の設定はまったく分かりません。 拠点A側で行ったこととしては、固定IPのクライアントにNICを2枚挿して、1つをグローバル、1つをプライベートでIP設定しました。 また、ルーティングテーブル中に拠点BのルーターとクライアントのIPへの通信はプライベート側のNICにパケットを転送するように設定しました。 ルーターの設定は、拠点Bからのパケットを固定IPのクライアントに送るようにファイヤーウォールに穴を開けました。 NATやIPマスカレードはグローバルIPをクライアントで持っているため、必要ないと思い設定していません。 トンネルはできていますので、そこへクライアントに固定で振っているグローバルIPが通れば・・・と考えているのですが、、、 行き詰まりました。ご教授頂けたらと思います。 VPNルーター: YAMAHA RTX1500 クライアントOS: WindowsXP

  • ネットワーク構築(VPN)の設定で悩んでいます。

    複数拠点のあるネットワークで、今までは拠点のルーター(YAMAHA RTX1100)と 本社ルーター(YAMAHA RTX1500)間でVPNを1本通し基幹系データを流し インターネット等の外部接続データを拠点のルーターにFWを設定しそこから外部へ出していました。 今回、ネットワークの再構築をするに当り 本社にCISCOのL3(Catalyst3750)・L2スイッチ2台(Catalyst2960)を新たに入れ ネットワーク機能の障害対策強化を図ろうと思っています。 本社拠点ルーター間には2本VPNを張り、それぞれ基幹系データと 新たに情報系データを流そうかと考えています。 そこで、拠点のルーターの設定なのですが 1.拠点ルーターにFWの機能を持たせず、外部への接続はVPN(情報系)を経由し本社を抜けるパターン 2.拠点ルーターにFWの機能を持たせて、VPN2本の他に外部接続を拠点ルーターにさせるパターン 以上2パターンを考えています。 集中管理という面では、1番が優れているのは当然なのですが 拠点からの外部接続速度の低下や今後考えられる情報系ネットワークの負荷増大を考えると 2番も捨て切れません。 この様な場合、どのような設定がベストと言えるのでしょうか。 なにかアドバイス等ありましたら教えて頂けませんでしょうか。

  • VPN接続後、インターネットがつながりません。

    PLANEX VR500-A1 VPNルーターを使い、A拠点にあるファイルサーバーを外部からPPTP接続にて、VPNで使用しています。 ひとつ、問題が有り外部からVPNでA拠点のファイルサーバーにはアクセスができていますが、VPN接続中はVPNクライアントPCではインターネットが使えません。 メーカーのPLANEXのサポートセンターに尋ねると、ルーター側で対処できませんので、パソコン側でなんとかしてくださいとの回答でした。 VPN接続中で、コマンド・プロンプトからIPCONFIGを確認すると、 デフォルトゲートウェイが0.0.0.0になります。 これをVPN接続後に、設定する方法があればいいのですが、ネット上で探しても解決方法が見つかりませんでした。

    • ベストアンサー
    • VPN
  • ルータを使わないVPN構築

    現在以下の構成で,8拠点の社内ネットワークを構築しています。 本社⇔支社A⇔支社Bの3拠点間はVLAN利用。本社⇔支店1⇔支店2⇔支店3⇔支店4⇔支店5の間は,IP-VPNで接続(光またはADSL)。 そこで,新たに営業所1を社内ネットワークに参加させたいのですが,他に比べ小さな拠点のため,PC1台だけネットワークに参加できれば良いとのことで,他拠点のようにルータを設置して...とかを出来るだけしたくないとの要望が上がっているのですが,可能でしょうか? ちなみに,現在全拠点にはYAMAHA-RTX1000を入れています。 営業所1には,既に光回線が入っているのですが,インターネット&メールくらいしか使用していないため,この回線を使って,なんとか社内ネットワークに参加させたいのですが,何か良い手法や知恵などを拝借できればと思っています。 皆様,よろしくお願いいたします。

  • インターネットVPNについて教えてください

    ネットワークに詳しくないので、変な質問かもしれませんが、おしえてください。 インターネットVPNは、インターネット網を使ってVPNを構築するんですよね? で、データは専用ルータなどで暗号化してインターネット経由でやり取りするわけですよね? たとえば、インターネットVPNを使って会社の本社と支社を結んでイントラネットを構築した場合、本社と支社の間にはF/Wは必要なのでしょうか? F/Wが必要な場合、穴をあけるポートは通常のインターネットと同様に80ポートとかしか通らないのでしょうか? IPアドレスの体系はどうなるのでしょうか? 間にNATやIPマスカレードが必要なのでしょうか? それとも本社と支社は同じセグメントでいいのでしょうか? 今現在専用線でつながっている本社と支社のNWをインターネットVPNに変更したいのですが、特殊な業務アプリ等の関係や本社から支社のシステムを遠隔コントロールしたりで、UTPプロトコルを使ったり沢山のポートを使ったりしてデータのやりとりをしています。インターネットVPNに変更しても、現状の環境はそのまま継続したいのです。可能でしょうか? また、専用線と違ってインターネットを経由することでNW帯域が保証されず、パケットロスなどが発生してしまうのでは?と心配です。 NW帯域は2Mbps程度保証されるでしょうか? パケットロスなどは発生しないのでしょうか? よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する