YAMAHAルータの実機・検証　第21回　拠点間で同じIPアドレス帯のネットワーク構築　実践編

以前、拠点間で同じIPアドレス帯を使ったネットワーク構築を紹介しました。今回は既に運用している環境から設定変更を行い、拠点間で同じIPアドレス帯を構築した実際の手順を紹介致します。

ネットワーク構成

運用中のネットワーク構成図

運用中のネットワーク構成になります。

• 本社本館とY支店はルータ同士でIPSecのVPNを構築
• 本社本館とZ支店はルータとパソコンでPPTPのVPNを構築
• Z支店はパソコンZがPPPoE接続でインターネットに接続

そこから本社を本館と別館に分け、本館と別館を同じIPアドレス帯のネットワークを構築します。

変更後のネットワーク構成図

変更後のネットワーク構成です。

• Y支店とZ支店に変更はありません。
• 本社の本館と別館は192.168.1.0/24の同じIPアドレス帯
• 本社の本館と別館はルータ同士でL2TPv3/IPsecのVPNを構築

ルータ設定

今回のネットワーク構成変更にあたりY支店、Z支店に関してはルータおよびパソコンの設定変更は必要ありません。なのでここで紹介するルータ設定内容は変更が必要な本社の本館および別館のルータAとルータBの内容を紹介します。
まずはネットワーク変更前のルータAの設定内容です。

ネットワーク変更前　本社ルータA　設定内容

login password *
administrator password *
ip route default gateway pp 1
ip route 192.168.11.0/24 gateway tunnel 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.254/24
ip lan1 proxyarp on
pp select 1
 pp always-on on
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname (ISPの接続アカウント) (ISPのパスワード)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp secure filter in 1020 1030 1040 1041 2 3 2000
 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 106 107
 ip pp nat descriptor 1
 pp enable 1
pp select anonymous
 pp bind tunnel11-tunnel20
 pp auth request mschap-v2
 pp auth username (PPTPユーザ名) (PPTPパスワード)
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type mppe-any
 ip pp remote address pool 192.168.1.205-192.168.1.210
 ip pp mtu 1280
 pptp service type server
 pp enable anonymous
tunnel select 1
 ipsec tunnel 1
  ipsec sa policy 1 1 esp 3des-cbc md5-hmac
  ipsec ike local address 1 192.168.1.254
  ipsec ike pre-shared-key 1 text (事前共有鍵)
  ipsec ike remote address 1 （Y支店側固定IPアドレス）
 ip tunnel tcp mss limit auto
 tunnel enable 1
tunnel select 11
 tunnel encapsulation pptp
 pptp tunnel disconnect time 180
 tunnel enable 11
ip filter 2 pass * * esp * *
ip filter 3 pass * * udp * 500
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.1.0/24 *
ip filter 1030 pass * 192.168.1.0/24 icmp
ip filter 1040 pass * 192.168.1.254 tcp * 1723
ip filter 1041 pass * 192.168.1.254 gre
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.1.254 esp
nat descriptor masquerade static 1 2 192.168.1.254 udp 500
nat descriptor masquerade static 1 11 192.168.1.254 tcp 1723
nat descriptor masquerade static 1 12 192.168.1.254 gre
ipsec auto refresh on
telnetd host 192.168.1.1-192.168.1.254
dhcp service server
dhcp scope 1 192.168.1.100-192.168.1.199/24 expire 12:00
dns server pp 1
dns private address spoof on
pptp service on

上記は一般的なIPSecおよびPPTPの設定方法になります。

ネットワーク変更後　本社の本館ルータAの設定内容

login password *
administrator password *
ip route default gateway pp 1
ip route 192.168.11.0/24 gateway tunnel 1
ip filter source-route on
ip filter directed-broadcast on
bridge member bridge1 lan1 tunnel50
ip bridge1 address 192.168.1.254/24
ip bridge1 proxyarp on
pp select 1
 pp always-on on
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname (ISPの接続アカウント) (ISPのパスワード)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp secure filter in 1020 1030 1040 1041 2 3 2000
 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 106 107
 ip pp nat descriptor 1
 pp enable 1
pp select anonymous
 pp bind tunnel11-tunnel20
 pp auth request mschap-v2
 pp auth username (PPTPユーザ名) (PPTPパスワード)
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type mppe-any
 ip pp remote address pool 192.168.1.205-192.168.1.210
 ip pp mtu 1280
 pptp service type server
 pp enable anonymous
tunnel select 1
 ipsec tunnel 1
  ipsec sa policy 1 1 esp 3des-cbc md5-hmac
  ipsec ike local address 1 192.168.1.254
  ipsec ike pre-shared-key 1 text (事前共有鍵)
  ipsec ike remote address 1 （Y支店側固定IPアドレス）
 ip tunnel tcp mss limit auto
 tunnel enable 1
tunnel select 11
 tunnel encapsulation pptp
 pptp tunnel disconnect time 180
 tunnel enable 11
tunnel select 50
 tunnel encapsulation l2tpv3
 tunnel endpoint address 192.168.1.254 （本社別館の固定IPアドレス）
 ipsec tunnel 101
  ipsec sa policy 101 50 esp aes-cbc sha-hmac
  ipsec ike keepalive log 50 on
  ipsec ike keepalive use 50 on
  ipsec ike local address 50 192.168.1.254
  ipsec ike pre-shared-key 50 text (事前共有鍵)
  ipsec ike remote address 50 （本社別館の固定IPアドレス）
 l2tp always-on on
 l2tp hostname （接続先に通知するホスト名）
 l2tp tunnel auth on （L2TP認証用パスワード）
 l2tp tunnel disconnect time off
 l2tp keepalive use on 60 3
 l2tp keepalive log on
 l2tp syslog on
 l2tp local router-id 192.168.1.254
 l2tp remote router-id 192.168.1.253
 l2tp remote end-id （L2TPv3リモートエンドID）
 ip tunnel tcp mss limit auto
 tunnel enable 50
ip filter 2 pass * * esp * *
ip filter 3 pass * * udp * 500
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.1.0/24 *
ip filter 1030 pass * 192.168.1.0/24 icmp
ip filter 1040 pass * 192.168.1.254 tcp * 1723
ip filter 1041 pass * 192.168.1.254 gre
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.1.254 esp
nat descriptor masquerade static 1 2 192.168.1.254 udp 500
nat descriptor masquerade static 1 11 192.168.1.254 tcp 1723
nat descriptor masquerade static 1 12 192.168.1.254 gre
ipsec auto refresh on
ipsec transport 50 101 udp 1701
telnetd host 192.168.1.1-192.168.1.254
dhcp service server
dhcp scope 1 192.168.1.100-192.168.1.199/24 expire 12:00
dns server pp 1
dns private address spoof on
pptp service on
l2tp service on l2tpv3
httpd host 192.168.1.1-192.168.1.254

設定の注意点

2つの拠点間を同一のIPアドレス帯でネットワークを構築するのにL2TPv3/IPsecトンネル機能を使用しますが、RTX1210およびRTX1200ではファームウェア（リビジョン）が「Rev.10.01.53以降」でないと使用することができません。設定変更の前にファームウェア（リビジョン）の確認が必要です。

また、今回は変更前のネットーワーク構成で本社とZ支店はPPTPを利用しているため9行目を

ip bridge1 proxyarp on

に変更する必要があります。変更を忘れてしまうとZ支店からPPTPで接続することができなくなってしまいます。

上記をふまえ本社の本館ルータAで設定追加および変更を行った箇所が下記になります。
■7行目～9行目　を変更

bridge member bridge1 lan1 tunnel50
ip bridge1 address 192.168.1.254/24
ip bridge1 proxyarp on

■47行目～68行目　を追加

tunnel select 50
 tunnel encapsulation l2tpv3
 tunnel endpoint address 192.168.1.254 （本社別館の固定IPアドレス）
 ipsec tunnel 101
  ipsec sa policy 101 50 esp aes-cbc sha-hmac
  ipsec ike keepalive log 50 on
  ipsec ike keepalive use 50 on
  ipsec ike local address 50 192.168.1.254
  ipsec ike pre-shared-key 50 text (事前共有鍵)
  ipsec ike remote address 50 （本社別館の固定IPアドレス）
 l2tp always-on on
 l2tp hostname （接続先に通知するホスト名）
 l2tp tunnel auth on (L2TP認証用パスワード)
 l2tp tunnel disconnect time off
 l2tp keepalive use on 60 3
 l2tp keepalive log on
 l2tp syslog on
 l2tp local router-id 192.168.1.254
 l2tp remote router-id 192.168.1.253
 l2tp remote end-id (L2TPv3リモートエンドID)
 ip tunnel tcp mss limit auto
 tunnel enable 50

■96行目　を追加

ipsec transport 50 101 udp 1701

■103行目～104行目　を追加

l2tp service on l2tpv3
httpd host 192.168.1.1-192.168.1.254

続いて本社の別館ルータBの設定内容です。

本社の別館ルータB設定内容

login password *
administrator password *
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.1.253/24
pp select 1
 pp keepalive interval 30 retry-interval=30 count=12
 pp always-on on
 pppoe use lan2
 pppoe auto connect on
 pppoe auto disconnect on
 pp auth accept pap chap
 pp auth myname (ISPの接続アカウント) (ISPのパスワード)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ccp type none
 ip pp mtu 1454
 ip pp secure filter in 1020 1030 1040 1041 2000
 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107
 ip pp nat descriptor 1
 pp enable 1
tunnel select 1
 tunnel encapsulation l2tpv3
 tunnel endpoint address 192.168.1.253 （本社本館の固定IPアドレス）
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike keepalive log 1 on
  ipsec ike keepalive use 1 on
  ipsec ike local address 1 192.168.1.253
  ipsec ike pre-shared-key 1 text (事前共有鍵)
  ipsec ike remote address 1 （本社本館の固定IPアドレス）
 l2tp always-on on
 l2tp hostname （接続先に通知するホスト名）
 l2tp tunnel auth on （L2TP認証用パスワード）
 l2tp tunnel disconnect time off
 l2tp keepalive use on 60 3
 l2tp keepalive log on
 l2tp syslog on
 l2tp local router-id 192.168.1.253
 l2tp remote router-id 192.168.1.254
 l2tp remote end-id （L2TPv3リモートエンドID）
 ip tunnel tcp mss limit auto
 tunnel enable 1
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.1.0/24 *
ip filter 1030 pass * 192.168.1.0/24 icmp
ip filter 1040 pass * 192.168.1.253 udp * 500
ip filter 1041 pass * 192.168.1.253 esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.1.253 udp 500
nat descriptor masquerade static 1 2 192.168.1.253 esp
nat descriptor masquerade static 1 3 192.168.1.253 udp 4500
ipsec auto refresh on
ipsec transport 1 101 udp 1701
telnetd host 192.168.1.1-192.168.1.254
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.1.51-192.168.1.59/24
dns server 8.8.8.8 8.8.4.4
dns private address spoof on
l2tp service on l2tpv3
httpd host 192.168.1.1-192.168.1.254

上記の内容については「第14回　拠点間で同じIPアドレス帯のネットワーク構築」をご参照ください。

ネットワーク構成　変更手順

今回のネットワーク構成変更にあたり変更した手順を記載致します。

1．本社ルータAのファームウェア（リビジョン）の確認

ファームウェア（リビジョン）がRev.10.01.53以降出ない場合、ルータのリビジョンアップを行います。

2．本社の本館ルータAの設定変更

設定追加および変更箇所の修正を行います。

3．本館ルータAの動作確認

本館からのインターネット接続はもちろん、Y支店とのIPSec、Z支店とのPPTPの接続ができるか確認します。

3．本社の別館ルータBの設置

事前に設定しておいたルータBを本社の別館に設置します。

4．動作確認

本社の本館と別館で通信ができるか確認します。

まとめ

今回の内容はファームウェア（リビジョン）の確認が必須だったり、WEB画面上からでは設定できない内容であったり詳しい方でない限り今回の設定は難しいと思われます。
しかし、お客様のネットワーク環境やシステムを使う為にどうしても拠点間で同じIPアドレス帯を使わなければならないことがあるかもしれません。設定方法がわからなくても設定できることを覚えておくだけでも問題解決につながります。

この記事を読んだ方はこちらも読まれています

YAMAHAルータでPPTPとL2TP/IPsecを併用する YAMAHAルータでワンタイムパスワードを設定してみた