• ベストアンサー

インターネットVPN(初歩的な事ですが)

インターネットVPN構築で判らない点があります。 本社-3拠点の接続、PCはWINDOWS XP Professinalです (1)固定IPを本社だけ取得する方法と全拠点取得する法があると思います。機能・運用上どのような違いがあるのでしょうか。 (2)VPNクライアント用のソフトがあるようなのですが、上記(1)での2つの方法をとる際に、それぞれそうした別ソフトが必要になるのでしょうか。 また上記ネットワーク上のServerやPCに何か特別な設定は必要でしょうか。(ゲートウェイで固定IPのアドレスを指定すれば良いのでしょうか) ルーターは全てヤマハ社のRT105eを検討中です。 (3)IPsecは8時間以上使うと切断されるという話を聞いたことがありますが、本当でしょうか? 本当でしたら、その理由や設定で回避する方法はあるのでしょうか (4)インターネットVPNでは逆引き用にドメインを取得する必要があると聞いたのですが、何故でしょうか。 長々と初歩的な質問かと思いますが、ご存知の方宜しくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
回答No.3

1)  他の方が回答されてますが、本社は固定IP必須と思って下さい。  まぁ、ヤマハのRT56v・RT55iなどは、ヤマハのDDNSを使って動的なアドレスでも何とかVPNやれますが。  接続できないなどのトラブル時に何かと手間になるので、お奨めしません。 2)  クライアントでソフトによってVPN張ることもできますが、拠点で端末数が増えてくると何かと不便になりますので、ルーター間でVPNを張れるタイプの方が便利です。クライアントではブロードキャストが本社に届かない以外は、ルーター(VPN)越えを意識しなくて済みます。 3)  私のよく使うルーター(RTX1000)では、意識しなくていいです。自動でやってくれます。  回線断の時も自動接続しようとしますし、ISDNで自動で迂回させたり、主回線(インターネットやフレッツ網)が復帰したら主回線に戻ったり、自動的にやってくれます。  ISDNじゃくなくても、他にWAN回線があればそっちをバックアップに迂回させたり、負荷分散させたり、およそ考えられる機能は大体網羅してます。 4)  必要ありません。 私見)  拠点でも固定IPを取った方がセキュリティは上がりますが、接続認証に使用するユーザー名/パスワードをルーターの許容範囲一杯に長くてランダムな文字列を用いることで、動的なアドレスを拠点側に付与したとしても、事実上侵入されるリスクは限りなくゼロに近いです。(上場企業クラスなら攻めてくるハッカーもホンモノなので、固定IPは安い投資だと思いますが)  ルーターですが、RT105eよりはRTX1000の方をお奨めします。

参考URL:
http://www.yamaha.co.jp/news/2003/03012201.html
kaonashi2
質問者

お礼

ルーターによっても運用が変わる訳ですね。 重ねてのご質問なのですが、VPNソフトウェアで拠点数が増えた際の不具合では、どのような事が予測させるのでしょうか。

その他の回答 (3)

回答No.4

>VPNソフトウェアで拠点数が増えた際の不具合  不具合というか、VPNをソフト的に行う場合、クライアント側で起動の度に本社への接続操作が必要になると思います。  自動的に起動するような設定も可能な場合がありますが、切断時に自動接続をしたり等までやってくれるのは少ないような気がします。  少なくとも、Windowsに標準で備わっているVPN接続機能では、それらしい機能が用意されているように見えますが、実際のところは実用に耐えません。通信が変になったなぁと思ったら、手動で「切断」して「接続」し直してやる必要があります。  その辺の運用をユーザーに徹底されるのは何かと面倒なので、ルーターでVPNを張った方がラクです。  ちなみに私の想定している運用は、本社で稼動しているものと同じ仕組みの基幹システム的な機能を拠点側で動かすという場合で考えてます。  本社のメールサーバーにメールチェックするために接続する程度の内容であれば、常時接続を維持する必要もあまりないと思いますので、テキトーに構築されて問題ないと思いますが・・・

kaonashi2
質問者

お礼

そういった運用で注意する点がある訳ですね。 重ねてのご回答有難うございました。

noname#11476
noname#11476
回答No.2

1) 本社のみ固定IPだと、必ず各拠点のほうから発呼する必要がありますね。 なので何らかの理由で拠点側ルータが発呼してくれなくなると、本社側から接続を試みることは出来なくなる。 (つまり各拠点のほうに行かないといけない) 各拠点が固定IPであれば本社から一括して発呼できますので、トラブル時には楽ですね。 あとは、本社側ではルータの認証はパスワードの認証に限られますので、セキュリティが甘くなります。 (全部固定だと本社ルータの接続相手のIPも限定出来る) 2)特に必要ないと思いますけど。ただのWANとして使えます。 3)IPsecのキーなどは時間で寿命が来るように設定できます。この時間は変えられます。デフォルトで8時間にしてある機種もあります。 なので、一定時間ごとに寿命がきて、また更新するということになります。 長くすることは可能ですが、セキュリティのために一定時間で現在使用している鍵を無効にすることは必要です。 (長期間同一の鍵を使うとそれだけ鍵が見破られる恐れが高くなります) 4)全部固定IPを使っているのであれば特に意味はありませんね。 各事業所が動的IP取得であれば、逆引き可能なダイナミックDNS登録でセキュリティをあげることは出来るかもしれませんけど。 (接続要求してきたルータのIPが正しいところからのものかどうかを判定するため) それでも完全とはいえないし、必須ではないと思いますが。 では。

kaonashi2
質問者

お礼

確かにIPが固定出来れば接続先が指定出来、セキュリティが高まりますね。 懇切丁寧に記載して頂き、助かりました。 有難うございます。

  • stsu
  • ベストアンサー率62% (83/132)
回答No.1

部分的な回答ですが・・・。 > (1)固定IPを本社だけ取得する方法と全拠点取得する > 法があると思います。機能・運用上どのような違いが > あるのでしょうか。 固定IPでない拠点では、ISP側のDHCPにてグローバルIPが 変化する都度、VPNの対向先設定を変更する必要が生じる 筈だと思われますので、VPN化する接続拠点は固定IPを 採用したほうが良さそうに思えます。 > ルーターは全てヤマハ社のRT105eを検討中です。 参照URLでYAMAHAルータのVPN設定の事例集を紹介します ので、ご自身で調べて見てください。 ルータの設定までは担当してないので詳細説明はご容赦 願います。

参考URL:
http://www.rtpro.yamaha.co.jp/RT/docs/example/adsl_vpn.html
kaonashi2
質問者

お礼

ホームページ見させて頂きました。 技術的な部分が理解出来ると良いのですが、勉強が全く足りないと痛感します。

関連するQ&A

専門家に質問してみよう