第8回は実際にフレッツVPNワイドを利用したVPN構築の例を紹介します。
今まではRTX1200を使って便利な機能の設定方法や検証を紹介しましたが、
今回は実際にお客様に導入した例を紹介します。
課題
N社は関東に支店が複数ありインターネットはWEBの閲覧とメールの利用だけでしたが、事業規模が拡大し支店が増えてくるといくつかの課題がでてきました。
・社内システムの利用は各支店から本社に移動してデータの入力を行っていたため、時間と移動するためのコスト負担が支店が増えるごとに大きくなっている
・本社でファイル共有をしていたが各支店からもファイル共有ができるようにしたい
導入のポイント
そこでお客様の要望を確認し新しいネットワーク構築にあたり重視したのが次でした。
・本社と各支店をVPNで結び各支店からファイルサーバ・社内システムへのアクセスを可能にする
・情報流出などのリスクを避けるため閉域なNTTサービスのフレッツVPNワイドを利用
・ISPコストの削減、コンテンツフィルタやUTMを導入する際のコスト・管理面からインターネット接続は本社経由の1回線にする
次に使用する機器やネットワークの条件です。
・本社はRTX1200を利用、各支店はRTX810を利用
・本社および各支店のIPアドレス帯は重複しないIPアドレス帯を設定
ネットワーク構成
■導入前
主な利用方法はWEB閲覧とメールでした。
■導入後
各支店はフレッツVPNワイドを使って社内システム、ファイル共有、WEB閲覧やメールを利用します。
ルータ設定内容
■本社 ルータA(192.168.1.1)の設定内容
ip route default gateway pp 1 ip route 192.168.11.0/24 gateway 192.168.1.2 ip route 192.168.12.0/24 gateway 192.168.1.2 ip route 192.168.13.0/24 gateway 192.168.1.2 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.1.1/24 ip lan1 proxyarp on pp select 1 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname (ISPの接続アカウント) (ISPのパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ip pp mtu 1454 ip pp secure filter in 1020 1030 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107 ip pp nat descriptor 1 pp enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.1.0/24 * ip filter 1030 pass * 192.168.1.0/24 icmp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * netmeeting ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp nat descriptor type 1 masquerade dhcp service server dhcp scope 1 192.168.1.101-192.168.1.199/24 dns server pp 1 dns private address spoof on
■本社 ルータB(192.168.1.2)の設定内容
ip route default gateway 192.168.1.1 ip route 192.168.11.0/24 gateway tunnel 1 ip route 192.168.12.0/24 gateway tunnel 2 ip route 192.168.13.0/24 gateway tunnel 3 ip route 192.168.100.2 gateway pp 2 ip route 192.168.100.3 gateway pp 2 ip route 192.168.100.4 gateway pp 2 ip lan1 address 192.168.1.2/24 pp select 2 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname (フレッツVPNワイドの接続ID) (フレッツVPNワイドのパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ip pp address 192.168.100.1/32 ←(フレッツVPNワイドで割り当てられたIPアドレス) ip pp mtu 1454 pp enable 2 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.100.1 ipsec ike pre-shared-key 1 text (事前共有鍵) ipsec ike remote address 1 192.168.100.2 ip tunnel tcp mss limit auto tunnel enable 1 tunnel select 2 ipsec tunnel 2 ipsec sa policy 2 2 esp 3des-cbc sha-hmac ipsec ike keepalive use 2 on ipsec ike local address 2 192.168.100.1 ipsec ike pre-shared-key 2 text (事前共有鍵) ipsec ike remote address 2 192.168.100.3 ip tunnel tcp mss limit auto tunnel enable 2 tunnel select 3 ipsec tunnel 3 ipsec sa policy 3 3 esp 3des-cbc sha-hmac ipsec ike keepalive use 3 on ipsec ike local address 3 192.168.100.1 ipsec ike pre-shared-key 3 text (事前共有鍵) ipsec ike remote address 3 192.168.100.4 ip tunnel tcp mss limit auto tunnel enable 3 nat descriptor type 1 masquerade ipsec auto refresh on dns server 192.168.1.1
■E支店 ルータE(192.168.11.1)の設定内容
ip route default gateway tunnel 1 ip route 192.168.1.0/24 gateway tunnel 1 ip route 192.168.100.0/24 gateway pp 1 ip route 192.168.100.1 gateway pp 1 ip lan1 address 192.168.11.1/24 pp select 1 pp keepalive interval 30 retry-interval=30 count=12 pp always-on on pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname (フレッツVPNワイドの接続ID) (フレッツVPNワイドのパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp address 192.168.100.2/32 ip pp nat descriptor 1000 pp enable 1 provider set 1 provider dns server pp 1 1 tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc sha-hmac ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on heartbeat 10 6 ipsec ike local address 1 192.168.100.2 ipsec ike pre-shared-key 1 text (事前共有鍵) ipsec ike remote address 1 192.168.100.1 ip tunnel tcp mss limit auto tunnel enable 1 ip filter 200000 reject 10.0.0.0/8 * * * * ip filter 200001 reject 172.16.0.0/12 * * * * ip filter 200002 reject 192.168.0.0/16 * * * * ip filter 200003 reject 192.168.11.0/24 * * * * ip filter 200010 reject * 10.0.0.0/8 * * * ip filter 200011 reject * 172.16.0.0/12 * * * ip filter 200012 reject * 192.168.0.0/16 * * * ip filter 200013 reject * 192.168.11.0/24 * * * ip filter 200020 reject * * udp,tcp 135 * ip filter 200021 reject * * udp,tcp * 135 ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 200024 reject * * udp,tcp 445 * ip filter 200025 reject * * udp,tcp * 445 ip filter 200026 restrict * * tcpfin * www,21,nntp ip filter 200027 restrict * * tcprst * www,21,nntp ip filter 200030 pass * 192.168.11.0/24 icmp * * ip filter 200031 pass * 192.168.11.0/24 established * * ip filter 200032 pass * 192.168.11.0/24 tcp * ident ip filter 200033 pass * 192.168.11.0/24 tcp ftpdata * ip filter 200034 pass * 192.168.11.0/24 tcp,udp * domain ip filter 200035 pass * 192.168.11.0/24 udp domain * ip filter 200036 pass * 192.168.11.0/24 udp * ntp ip filter 200037 pass * 192.168.11.0/24 udp ntp * ip filter 200080 pass * 192.168.11.1 udp * 500 ip filter 200081 pass * 192.168.11.1 esp * * ip filter 200099 pass * * * * * ip filter 500000 restrict * * * * * ip filter dynamic 200080 * * ftp ip filter dynamic 200081 * * domain ip filter dynamic 200082 * * www ip filter dynamic 200083 * * smtp ip filter dynamic 200084 * * pop3 ip filter dynamic 200098 * * tcp ip filter dynamic 200099 * * udp nat descriptor type 1000 masquerade nat descriptor masquerade static 1000 1 192.168.11.1 udp 500 nat descriptor masquerade static 1000 2 192.168.11.1 esp ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.11.101-192.168.11.200/24 dns server 192.168.1.1 dns private address spoof on
※H支店のルータHやY支店のルータYの設定内容はE支店のルータEの設定と同じになります。
ただし、IPアドレス、フレッツVPNワイドの接続アカウント・パスワードは各支店ごとに異なります。
新しいネットワークの運用
新しいネットワークの運用が始まり、VPNを構築したことで本社と支店間の通信が可能になり、支店から社内システムへのアクセス、ファイル共有ができるようになりました。社内システムの利用は本社へ移動することがなくなり予想以上の効果がでています。
その後、N社ではクライアント運用管理ソフトの導入も決まり、既に本社と支店間がVPNで接続されているので導入決定から稼働・運用までの時間が通常より短縮されました。
そして今ではUTMも導入しインターネット接続を本社経由にした効果がでています。
まとめ
今回フレッツVPNワイドを選択したのは、前述した閉域なネットワークの構築ともう一つ理由があります。それは事業が全国展開した時に、低コストかつ高セキュリティを維持しつつ東西の支店をVPNで結ぶことができるためです。
それを実現するには企業用ルータであるRTX1200やRTX810の選定は最適でした。家庭用ルータと比べると価格は高くなりますが性能や機能、安定性においては弊社の利用実績から信頼できるものだったからです。
実際、N社へ納品後にルータの故障はなく安定した通信での運用ができています。
そして今回のようにフレッツVPNワイドを組み合わせたVPN構築、インターネット接続を1回線にまとめたネットワーク構成など企業が要望するネットワークをRTX1200を使って構築することができます。便利な機能は数多くありますがその企業が要望する設定を行い、より良いネットワークを構築していきましょう。
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet02.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet03.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
