拠点間のLAN接続方法とネットワーク設定について
- 拠点Aと拠点BはVPNによってネットワーク接続されています。拠点Aのネットワークアドレスは192.168.20.XXX/255.255.255.0、拠点Bのネットワークアドレスは192.168.30.XXX/255.255.255.0です。
- 今回の案件では、拠点Aと拠点Bの間に172.16.64.XXX/255.255.192.0というネットワークを敷きたいと考えています。つまり、拠点Aでも拠点Bでも172.16.64.のIPアドレスを設定してやりとりすることができます。
- 現在の質問者はネットワークに関しては素人であり、どのような方法でLAN接続を実現できるか悩んでいます。質問者はWindowsXPのブリッジ機能などを使用することや、他のルータやブリッジ機器が必要かどうかも知りたいと考えています。また、機器の設定方法や参考になる書籍名なども教えて欲しいとしています。
- ベストアンサー
拠点間のLAN
現在、拠点Aと拠点BがVPN(NetScreen)によってネットワーク接続されています。 拠点Aでは192.168.20.XXX/255.255.255.0、拠点Bでは192.168.30.XXX/255.255.255.0 というネットワークアドレスになっています。 今回案件になっているのが、上のネットワークに加えて AとBで共通に172.16.64.XXX/255.255.192.0 というネットワークを敷きたいのです。 つまりAでもBでも172.16.64.のIPアドレスを設定して、やりとりしたいのです。 拠点A 拠点B 192.168.20.11 --┐ ┌-- 192.168.30.11 192.168.20.12 --┤ ├-- 192.168.30.22 172.16.64.11 --+-NetScreen-◎-NetScreen-+-- 172.16.64.21 172.16.64.12 --┤ ├-- 172.16.64.22 172.16.64.13 --┘ └-- 172.16.64.23 拠点AのNetscreenのLAN側は192.168.20.1、WAN側はグローバル固定IP 拠点BのNetscreenのLAN側は192.168.30.1、WAN側はグローバル固定IP 知人からは、OpenVPNで全PCにVPNクライアントをインストールすれば? とアドバイスを受けたのですが、PCではない機器(PLC)もあるので不可能そうです・・・。 当方ソフトウェア開発者ですがネットワークに関してはほぼ素人です。 何からご教示いただいたらよいのか分かりませんが、 まずは、 ・WindowsXPのブリッジ機能とかでなんとかできないか? ・現NetScreen以外にルータとかブリッジとかのハードが必要なのか? ・機器の設定方法 ・参考になる書籍名 などをご教示いただけたらと思います。 他必要な情報がありましたらご指摘ください。 よろしくお願いいたします。
- fu-chan52
- お礼率83% (15/18)
- その他(インターネット接続・通信)
- 回答数4
- ありがとう数4
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
>>片方は172.16.64.0でOKですが、もう一方は変えないと「拠点間」通信ができません。 >シロウトなので基本的な質問で申し訳ないのですが、これはなぜ通信 >できないのでしょうか? 例えば、「C:\Program Files\......の中のxxx.exeを実行して」と言われて わざわざ隣りの部屋のPCに行ってxxx.exeを探したりしませんよね。 拠点Aから「172.16.64.22と通信して」という命令を出しても、 拠点A内のネットワークアドレス172.16.64.0にあるIPを探そうとします。 わざわざルータをひとつ越えた場所にあるネットワークを探したりはしません。 なので他方は172.16.128.0という風に、 区別がつくネットワークアドレスでなくてはいけないのです。
その他の回答 (3)
- kuroizell
- ベストアンサー率55% (95/170)
>もし、それでも敢えて同じネットワークアドレスでやりたい場合は >ルータで経路設定とかするとできる(もしくは可能性がある)のでしょうか? 異なるネットワークアドレスでも経路設定は必要ですが・・・・ 可能性はありますが、実際に試してみないと分かりませんね。 余談ですが、最初にルータを追加したらOKと言いましたが、NetScreenならLANポートの設定で、1台で異なるネットワークアドレスを処理できるかもしれません。
お礼
kuroizellさん、 ひとまずアドバイスいただいたことを実践して、 1ステップ進めてみたいと思います。 ここまでお付き合いくださり、ありがとうございます。 それで分からないことが出てきましたら、また新たに投稿させていただきます。 お時間ありましたら、またお願いいたします。
- kuroizell
- ベストアンサー率55% (95/170)
片方は172.16.64.0でOKですが、もう一方は変えないと「拠点間」通信ができません。 #もしかしたら172.16.64.0/25と172.16.64.128/25とに分割して、 #経路設定したら、いけるのかもしれませんが・・・ というか、サブネットマスクが255.255.192.0なら、 172.16.0.0、172.16.64.0、172.16.128.0、172.16.192.0に分けられるワケで、 172.16.64.0しかダメというのは何か理由があるのでしょうか? URLはYAMAHAルータの設定例です。
お礼
再度のご教示ありがとうございます。 返答遅れまして申し訳ありません。 >片方は172.16.64.0でOKですが、もう一方は変えないと「拠点間」通信ができません。 シロウトなので基本的な質問で申し訳ないのですが、これはなぜ通信 できないのでしょうか? >172.16.64.0しかダメというのは何か理由があるのでしょうか? このネットワークを使用する、あるシステムがあるのですが、 そのネットワークアドレスで使用するよう取扱説明に書かれておりました。 ちょっと特殊な制御システムなので、 それ以外ではつながらないようになっているかもしれませんが、 まずそれを確かめるべく、拠点間ではなく通常のLANで 172.16.64.Xと172.16.128.Xとでつながるか試してみたいと思います。
- kuroizell
- ベストアンサー率55% (95/170)
両拠点の172.16.64.0のネットワークアドレスを違うものにして、VPNパススルー機能付のルータを2台増やせばいけると思います。 適当なルータなら、ブラウザに初期設定IPを入力するだけでGUIで設定できますよ。 ヘタに業務用を買うと、シリアルケーブルが必要だったりします。
補足
ご回答ありがとうございます。 >両拠点の172.16.64.0のネットワークアドレスを違うものにして ということですが、172.16.64.0/255.255.192.0でないといけないのですが、172.16.64.0ではダメなんでしょうか?
関連するQ&A
- VPN設定(クライアントにグローバルIP)
次のようなことを実現したいです。 <拠点A> グローバルIPアドレス: 202.XXX.XXX.70 - 202.XXX.XXX.78 プライベートネットワークアドレス: 172.16.10.XXX <拠点B> グローバルIPアドレス: 207.XXX.XXX.50 - 207.XXX.XXX.58 プライベートネットワークアドレス: 172.16.30.XXX 拠点Aと拠点BはVPNで繋がっております。 都合上、拠点Aに202.XXX.XXX.74と固定のグローバルIPアドレスをクライアントに振り、同様に拠点Bにも207.XXX.XXX.55とクライアントに振ってあり、この間をVPNを通して通信する必要がでてきました。 このグローバルIPアドレスを固定に振っているもの同士のVPN接続ができなくて困っています。 VPNは繋がっておりますので、プライベート空間同様の設定をすればグローバルIPアドレスであっても繋がるのではと思ったのですが、うまくいきません、、、 拠点B(客先)からはVPNルーターのグローバルIPアドレスとクライアントに振られている固定のグローバルIPアドレスを情報としてもらっています。 上記以外、拠点B側の設定はまったく分かりません。 拠点A側で行ったこととしては、固定IPのクライアントにNICを2枚挿して、1つをグローバル、1つをプライベートでIP設定しました。 また、ルーティングテーブル中に拠点BのルーターとクライアントのIPへの通信はプライベート側のNICにパケットを転送するように設定しました。 ルーターの設定は、拠点Bからのパケットを固定IPのクライアントに送るようにファイヤーウォールに穴を開けました。 NATやIPマスカレードはグローバルIPをクライアントで持っているため、必要ないと思い設定していません。 トンネルはできていますので、そこへクライアントに固定で振っているグローバルIPが通れば・・・と考えているのですが、、、 行き詰まりました。ご教授頂けたらと思います。 VPNルーター: YAMAHA RTX1500 クライアントOS: WindowsXP
- ベストアンサー
- ネットワーク
- 拠点間VPNについて
初歩的な質問で恐縮ですがお願い致します。 複数の拠点をVPNで接続しネットワークカメラの画像をセンターで 監視したいと思っております。 使用するルーターはセンターがヤマハのRTX1200、拠点側はRT107eです。 最初は各拠点に固定IPを契約しようと考えましたが予算の関係で センターのみ固定IPを取り拠点側は動的IPの契約で運用しようと 考えています。 センターのみ固定IPを取る方法ですと拠点側からのみVPNのセッションを張りにいくことができるという事は分かったのですが、1度VPNが 張れてしまえばその後は切断されることはないのでしょうか。 また各拠点で固定IPを契約する方法と比べて問題となる点はあるのでしょうか。 違いを理解することが出来ず困っております。 よろしくお願い致します。
- 締切済み
- その他([技術者向] コンピューター)
- RT58iでのVPNのLAN間接続について
現在下記のような構成で構築しています。 VPN(PPTPのLAN間接続)にも成功しています。 拠点A ・ルータ:RT58i ・グローバルIP:XXX.XXX.XXX.XXXの1個 ・PPTPサーバ 拠点B ・ルータ:RT58i ・グローバルIP:XXX.XXX.XXX.120~XXX.XXX.XXX.127の7個 ・unnumbered接続 ・PPTPクライアント で拠点Bの他のグローバルIPも使用したいため、 「ip pp address XXX.XXX.XXX.121/29」コマンドを入力し numbered接続にするようにしました。 しかし、VPN接続されません。 拠点AのVPNの接続先IPを XXX.XXX.XXX.120からXXX.XXX.XXX.121に変更するだけではだめなのでしょうか。 あまりネットワークの知識がなく情報が足りないかもしれませんが、 良きアドバイスをぜひお願いします。
- 締切済み
- ネットワーク
- センタールータ経由のインターネット接続について
センタールータ経由のインターネット接続について ネットワーク初心者です。 仕事の関係上、Century XR-410を使用してVPNを構築することになりました。 ネットワークの構成としては、拠点AとBの2拠点があります。 それぞれの設定は下記のような形です。 ●拠点A WAN側IPアドレス:10.10.10.1 LAN側IPアドレス:192.168.10.1 サブネット:255.255.255.0 ●拠点B WAN側IPアドレス:10.10.20.1 LAN側IPアドレス:192.168.20.1 サブネット:255.255.255.0 (条件) AとBはIPSecによるインターネットvpnを行います。 拠点Bからのインターネット抜けを、拠点Aのルータから抜けさせたいと 思っています。 その時に、 拠点AのIPSecポリシーとして 本装置側のLAN側のネットワークアドレス:0.0.0.0/0 相手側のLAN側のネットワークアドレス:192.168.20.0/24 拠点BのIPSecポリシーとして 本装置側のLAN側のネットワークアドレス:192.168.20.0/24 相手側のLAN側のネットワークアドレス:0.0.0.0/0 と設定するようにマニュアルには、書かれていました。 通常VPNでは、それぞれの拠点のLAN側ネットワークアドレスを書く事になると思っていますが、 なぜ、「0.0.0.0/0」と書かなくてはいけないのか分かりません。 この時の「0.0.0.0/0」とは、すべてのアドレス?となるのでしょうか? マニュアルを読んでもいまいち理解できなかったので、教えて下さい。 ちなみに、マニュアルとは http://www.centurysys.co.jp/support/xr_common/guides.html の「インターネットVPN設定例集 IPsec編 P.48 」 になります。 よろしくお願いいたします。
- ベストアンサー
- ネットワーク
- 専用線での拠点間接続について
はじめまして。 NTTディジタルアクセス128Kの専用線での拠点間接続で困っていることがあります。 お分かりになる方是非ご助言ください。 <環境> 拠点AのPC OS:WIN98 IP:192.168.1.40(固定) サブネット:255.255.255.0 ゲートウェイ:192.168.1.1 DNS設定:なし LMHOSTSの設定:192.168.2.20 SITEN-PC01 #PRE ルータ:NTT-ME製 MN128-SOHO PAL B&I ルータのLAN側IPアドレス:192.168.1.1 ルータのWAN側IPアドレス:192.168.2.1 拠点BのPC OS:WIN98 IP:192.168.2.20(固定) サブネット:255.255.255.0 ゲートウェイ:192.168.2.1 DNS設定:なし LMHOSTSの設定:192.168.1.40 HONTEN-PC01 #PRE ルータ:NTT-ME製 MN128-SOHO PAL ルータのLAN側IPアドレス:192.168.2.1 ルータのWAN側IPアドレス:192.168.1.1 以上の環境で拠点Aと拠点Bとを NTTディジタルアクセス128専用線で結んでおります 拠点Aより PING 192.168.2.20を行うと正常に通ります。 PING SITEN-PC01を行うと正常に通ります。 拠点Bより PING 192.168.1.40を行うと正常に通ります。 PING HONTEN-PC01を行うと正常に通ります。 拠点A、BどちらともDHCPサーバ、DNSサーバ、WINSサーバ無し <質問> ルータを超えたアクセスをLMHOSTSのみで行いたいのですが、 そこで拠点AのWindows上で 「検索」→「他のコンピュータ」→「SITEN-PC01」 を行っても拠点Bのコンピュータ名が見つからないのです。 また逆をおこなっても見つかりません。 コンピュータ名でのPINGは通るので何故なのか分かりません。 何かWindows上で足りない設定があるのでしょうか? どなたかお分かりになる方いらっしゃいましたら 是非教えてください。お願いいたします。
- ベストアンサー
- その他(インターネット接続・通信)
- Juniper SSG5でVPNがつながらない
今まで2拠点でNS5GTを使ってVPN接続していたのですが、そのうちの1か所のルーターが故障しまして、後継機のSSG5に変えて設定を行い、接続しようとしたのですが、うまくいきません。 環境としましては ●拠点A LAN側IP 192.168.1.253(ルーター) WAN側IP 210.172.XXX.XXX 機種:NS5GT 光回線 ●拠点B LAN側IP 192.168.11.1(ルーター) WAN側IP 61.192.XXX.XXX 機種:SSG5 ADSL回線 接続を開始して最後に下記エラーメッセージが出てしまいます。 (下記のメッセージは拠点A側です) IPSec tunnel on int untrust with tunnel ID 0x2 received a packet with a bad SPI. 61.194.XXX.XXX->210.172.XXX.XXX/104, ESP, SPI 0x8d5d, SEQ 0x3b9 拠点Aから拠点Bには接続でき(PINGもコンピュータ検索も可能です) 拠点Bからはなにもできません。 ネットでしらべたら下記の情報が見つかりましたので試したのですがダメでした。 http://networksecurity.cocolog-nifty.com/blog/2006/12/received_a_pack_9dcb.html よろしくお願いいたします。
- 締切済み
- ネットワーク
- VPNでの通信ができず困ってます、RTX1200
こちらで質問し、やっと2拠点間のネットワークをRTX1200のVPN(IPsec)で結べた者です。 1つ目のネットワークは固定で8IPのグローバルアドレスを持っています。 2つ目のネットワークはBフレッツ光ですから動的な外アドレスという環境です。 LAN側は双方ともDHCP未使用の固定IPです。 1つ目の拠点を親とし、RTX1200同士のVPN機能を用いて繋がりました。 どちらのネットワークもドメインを持たないワークグループなので、名前解決の方法が無いため、相手側の端末、プリンタを「アドレス直指定」で設定すれば良いかと思っていたのですが、知識・経験不足で困っておりまして。 現在のVPN状況は以下のような感じです。 1. 拠点A ← リモートデスクトップ接続可 → 拠点B 2. 拠点A ← ping通過 → 拠点B 3. 拠点Aのプリンタ画面(ブラウザ) ← 操作可 → 拠点Bのプリンタ画面(ブラウザ) 4. 相手拠点の共有端末への接続(「ファイル名を指定して実行」にアドレス直入力):双方向不可 こんな状況です。 4番目の指定ができれば業務的に問題無いのですが、どうしても通ってくれません。 ただ、例外的に通るパターンが存在するのです。 拠点A(8IP)の固定IPに関連付けた他のLANと同一セグメント上に存在するサーバーにTinyVPNを仕込んで実験環境を用意してたのですが、このソフト的なVPN経由で拠点B(動的IP)側のクライアントを操作できるのです。 でも、拠点Bから拠点Aへはコマンドを叩いても暫く黙りこみ「ネットワークパスが見つかりません」と蹴られます。 知識が乏しく原因が特定できておらず、皆さんのお知恵を拝借できればと。 思うに、全く4番目のアドレス直指定の通らない拠点BのセグメントはインターネットサービスもVPNも同一アドレスからWAN側に出ています。 対する拠点Aは、インターネットサービス用のグローバルIPとは別に、専用IPアドレスからWANに出れるサーバーでTinyVPNが片道動作しました。 憶測なのですが、もしかしてRTX1200のデフォルトをベースにやっと設定した環境ですが、インターネットサービスを提供してる口に必要なポートが空いて無いのではと考えました。 それも両拠点の2台ともです。 ネットをググってたら445番ポートでファイルの共有その他サービスが提供されるとありましたが、RTX1200ではWAN側もLAN側も塞がれています。 セキュリティの観点からとの事ですが、これが悪さをしてる可能性は無いでしょうか? 片やWAN側が用途によって割り振られ、片や全サービスが同一WANからという環境の違いから、にわか知識からの感なのですが…。 因みにLAN側の物理ポートの設定は内向き(in)のみの指定で、外向きはデフォルトのまま何もフィルタがありません。 度々の質問に諸先輩方にはウンザリされていると察しますが、ご指摘、お叱りを頂戴賜ればと。 宜しくお願い申し上げます。
- ベストアンサー
- ネットトラブル
- YAMAHAルーターでのVPNにおけるVPN使用機器の制限方法について
YAMAHAルーターでのVPNにおけるVPN使用機器の制限方法について 現在、各拠点間でVPN設定しているルーターを、Netscreen系のルーターから YAMAHA機器(RTX1200やRT107eなど)に置き換えを進めています。 通常のLAN同士のVPNは問題なくできましたが、その先に追加する設定方法で悩んでおります。 これまで不要なアクセスを制限するために、Netscreen にて各拠点でVPNを使用するPCやサーバーを、Netscreenの「Object-Addresses-list」へ登録し、Policy上で接続を作成しておりました。 たとえば、 拠点A 192.168.1.0/24 拠点B 192.168.2.0/24 拠点C 192.168.3.0/24 があるとして 拠点A-B間のVPNは、192.168.1.100/32 ~ 192.168.2.0/24 拠点A-C間のVPNは、192.168.1.100/32 ~ 192.168.3.100/32 のようなpolicyを作成し、それ以外のVPNは通さないといった具合です。 Netscreenでは、簡易にこのような設定ができていました。 YAMAHAルーターはポリシーベースではないため、全く違う手法が必要かもしれませんが、ヒントや設定例だけでもご教授いただければと思います。よろしくお願いします。
- ベストアンサー
- ネットワーク
- 多拠点VPNのIPアドレスの決め方
多拠点のVPN(スター型)の構築を考えています。拠点数は19拠点ですが、すべての拠点のパソコンはセンターを通ってネットに接続します。センターのノードと拠点にあるノードの合計は軽く254台を超えています。そこでセンターのIPアドレスの決め方をご教示いただけないでしょうか。私はノードの数が254台を超えるのでクラスBのIPアドレス172.16.*.*を使用しようと思っています。19拠点あるのでサブネットマスクは255.255.254.0と設定したら128個のサブネットに分割でき、1つのサブネットで510台のノードが同一ネットワークに接続できると考えていいのでしょうか? これが正しいと仮定すると センターのIPアドレスは172.16.0.0~172.16.1.255 拠点1のIPアドレスは 172.16.2.0~172.16.3.255 拠点2のIPアドレスは 172.16.4.0~172.16.5.255 ・・・ 拠点19のIPアドレスは 172.16.38.0~172.16.39.255 でよろしいでしょうか? それともセンターのIPアドレスだけクラスBを使用し、拠点にある端末はクラスCの192.168.*.*/24を利用してもいいのでしょうか?どうせVPN接続したらセンターのIPアドレスを割り当てられるので構わないのでしょうか? ご教示お願いします。
- ベストアンサー
- その他([技術者向] コンピューター)
- VPNの構築について
いつもお世話になっております。 VPN構築中にpingが通らなく、困っています。 当方初心者でして、、不明な点があればご指摘下さい。 フレッツ接続で拠点間のVPNを構築しています。 ネットワークの構成はメッシュを使用しています。 ルーターはNetScreenとYAMAHA製のものを使用しています。 また、このタイプの接続が可能かどうかは、他拠点で検証済みであり、現在繋がっているところがあります。 今回のpingが通らない症状ですが、次のようになっています。 ※拠点BはNetScreenであり、他拠点はYAMAHAです。 ・拠点A⇒拠点Bはpingが通ります。 ・拠点B⇒拠点Aはpingが通りません。 拠点BからAに向けて、tracertを行った所、拠点B⇒拠点C⇒***time out というようになぜか、拠点Cを経由するような形になっていました。 これはNetScreen側のスクリプトの問題でしょうか。 それともYAMAHA側の問題でしょうか。 また、双方のスクリプトの記述を見ているのですが、それらしいルーティングの設定をしているところが分かりませんでした。 他にもどこがおかしくなっているのか試す手段がありましたらご教授宜しくお願い致しますm(__)m
- ベストアンサー
- ネットワーク
お礼
kuroizellさん、再びご回答ありがとうございます。 >例えば、「C:\Program Files\......の中のxxx.exeを実行して」と言われて >わざわざ隣りの部屋のPCに行ってxxx.exeを探したりしませんよね。 なるほど、分かりやすい例えです。 もし、それでも敢えて同じネットワークアドレスでやりたい場合は ルータで経路設定とかするとできる(もしくは可能性がある)のでしょうか?