YAMAHAルーターRTX1300とフレッツ光クロス回線で現場と本社をVPN接続する



今回は、NTTフレッツ光クロス回線を活用して、遠くの拠点と社内ネットワークを結ぶ方法についてお話しします。この方法にはどのようなメリットがあるかを見てみましょう。さまざまな広帯域アクティビティ、例えば映像伝送や大容量ファイル転送が可能になるのがその一つです。

今回は、YAMAHAのルーターRTX1300を使用してこのネットワークを構築しました。

フレッツ光クロス(NGN網)について

フレッツ光クロスは、NTT東・西が提供する10G回線のインターネットサービスです。これは従来のフレッツ光の1G回線と比べて10倍のスペックを持っており、現在は非常にコスト効率の良いオプションとして利用できます(月額約7000円 割引を使うと6000円弱 2023.9現在)。ただし、一般家庭と共有の回線なので、実際のパフォーマンスは地域と時間帯に依存します。

VPN接続を構築

一般的に、ISPを契約してインターネットにアクセスすることが多いですが、フレッツ光クロスのネットワーク(NGN網)を使用して、拠点同士を直接接続することもできます。NGN網内はIPv6ベースなので、IPv4 over IPv6で接続する必要があります。ただし、セキュリティの観点からIPv6のVPNを介してIPv4通信を行う方が良いでしょう。

今回はVPN接続を使用しました。

本社側ルーター設定(RTX1300#2)

LAN2をWAN側(ONU)にLAN3をLAN側に設定したいと思います。

IPv4とIPv6のルーティング設定

ip routing on
ip route default gateway tunnel 2
ip route 192.168.10.0/24 gateway tunnel 1
ipv6 routing on
ipv6 route default gateway dhcp lan2
ipv6 prefix 1 dhcp-prefix@lan2::/64

ip route default gateway tunnel 2
これでIPv4のデフォルトゲートウェイをtunnel 2にむけておきます。(後述しますが、tunnel2をISPへの設定に使います)

一方支社・現場側のネットワークへは
ip route 192.168.10.0/24 gateway tunnel 1
でtunnel 1側にルーティングさせます。

ipv6はNGN網(LAN2)からDHCPでデフォルトゲートウェイのv6アドレスを取得するための設定になっています。

lan3のルーティングポイントの設定

ゲートウェイアドレス(192.168.0.254)を設定します。

ip lan3 address 192.168.0.254/24
ip lan3 rip send off

lan2のipv6設定

DHCPクライアントの設定 

ipv6 lan2 address dhcp
ipv6 lan2 dhcp service client
ngn type lan2 ntt

lan2 フィルター設定

ipv6 lan2 secure filter in 1010 1011 1012 1013 1040 1041 1042
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 118 119
ipv6 filter 1010 pass * * icmp6 * *
ipv6 filter 1011 pass * * tcp * ident
ipv6 filter 1012 pass * * udp * 546
ipv6 filter 1013 pass * * 4
ipv6 filter 1040 pass * * udp * 500
ipv6 filter 1041 pass * * ah,esp
ipv6 filter 1042 pass * * udp 500 *
ipv6 filter dynamic 100 * * ftp
ipv6 filter dynamic 101 * * domain
ipv6 filter dynamic 102 * * www
ipv6 filter dynamic 103 * * smtp
ipv6 filter dynamic 104 * * pop3
ipv6 filter dynamic 105 * * submission
ipv6 filter dynamic 118 * * tcp
ipv6 filter dynamic 119 * * udp

 例ではout側の通信118,119でTCP・UDPすべてオープンにしてしまっていますが、このあたりは適宜セキュリティでポートを閉じてもらえればと思います。

tunnel 1 IPsecの設定

tunnel select 1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes256-cbc sha256-hmac
  ipsec ike version 1 2
  ipsec ike keepalive log 1 on
  ipsec ike keepalive use 1 auto rfc4306 10 6 0
  ipsec ike local address 1 [RTX1300#2のIPv6アドレス]
  ipsec ike local name 1 [RTX1300#2のIPv6アドレス] ipv6-addr
  ipsec ike pre-shared-key 1 text [#1と#2で共通の文字:暗号化のパスワード]
  ipsec ike remote address 1 [RTX1300#1のIPv6アドレス]
  ipsec ike remote name 1 [RTX1300#1のIPv6アドレス] ipv6-addr
 ip tunnel tcp mss limit auto
 tunnel enable 1
赤字の部分は環境に合わせて確認してください。
ちなみに自分のIPv6アドレスを確認するには
show ipv6 address
で確認できます。

tunnel 2 プロバイダ接続設定

今回はISPとしてniftyを使いましたので、トンネルインターフェースとしてmap-eのv6plusを選択しています。
tunnel select 2
 tunnel encapsulation map-e
 ip tunnel mtu 1460
 ip tunnel nat descriptor 20000
 tunnel enable 2
ちなみにv6plusはデフォルト値なため、指定していませんがその他の指定はこちらを参照(トンネルインタフェースのMAP-E種別の設定)

NATとIPsecの有効化

nat descriptor type 20000 masquerade
nat descriptor address outer 20000 map-e
ipsec use on
ipsec auto refresh on

上のnat descriptor 20000とリンクしています。
またIPsecが切れたときに再接続するようにauto refreshもするようにしています。

dnsサーバー設定 

dns host lan3
dns service recursive
dns service fallback on
dns server dhcp lan2
dns server select 500000 dhcp lan2 any .
dns private address spoof on

lan3内の端末からみるとこのRTXルーターがDNSのホストになりますが、そのままlan2側のDNSサーバーに問い合わせをしにいっています。
これによって192.168.0.0/24の端末のDNSサーバーはこのRTX1300(192.168.0.254)を指定してあげることができます。 

支社・現場側ルーター設定(RTX1300#1)

本社同様にLAN2をWAN側(ONU)にLAN3をLAN側に設定したいと思います。

IPv4とIPv6のルーティング設定

ip routing on
ip route default gateway tunnel 2
ip route 192.168.0.0/24 gateway tunnel 1
ipv6 routing on
ipv6 route default gateway dhcp lan2
ipv6 prefix 1 dhcp-prefix@lan2::/64

v4のルーティングしたいネットワークアドレスを変更しました。 

lan3のルーティングポイントの設定

ゲートウェイアドレス(192.168.10.254)を設定します。

ip lan3 address 192.168.10.254/24
ip lan3 rip send off

lan2のipv6設定

ここは全く本社側と同じ設定です。

DHCPクライアントの設定 

ipv6 lan2 address dhcp
ipv6 lan2 dhcp service client
ngn type lan2 ntt

lan2 フィルター設定

ipv6 lan2 secure filter in 1010 1011 1012 1013 1040 1041 1042
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 118 119
ipv6 filter 1010 pass * * icmp6 * *
ipv6 filter 1011 pass * * tcp * ident
ipv6 filter 1012 pass * * udp * 546
ipv6 filter 1013 pass * * 4
ipv6 filter 1040 pass * * udp * 500
ipv6 filter 1041 pass * * ah,esp
ipv6 filter 1042 pass * * udp 500 *
ipv6 filter dynamic 100 * * ftp
ipv6 filter dynamic 101 * * domain
ipv6 filter dynamic 102 * * www
ipv6 filter dynamic 103 * * smtp
ipv6 filter dynamic 104 * * pop3
ipv6 filter dynamic 105 * * submission
ipv6 filter dynamic 118 * * tcp
ipv6 filter dynamic 119 * * udp

tunnel 1 IPsecの設定

tunnel select 1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes256-cbc sha256-hmac
  ipsec ike version 1 2
  ipsec ike keepalive log 1 on
  ipsec ike keepalive use 1 auto rfc4306 10 6 0
  ipsec ike local address 1 [RTX1300#1のIPv6アドレス]
  ipsec ike local name 1 [RTX1300#1のIPv6アドレス] ipv6-addr
  ipsec ike pre-shared-key 1 text [#2で指定したものと同じ文字列:暗号化のパスワード]
  ipsec ike remote address 1 [RTX1300#2のIPv6アドレス]
  ipsec ike remote name 1 [RTX1300#2のIPv6アドレス] ipv6-addr
 ip tunnel tcp mss limit auto
 tunnel enable 1
本社側同様に赤字の部分は環境に合わせて確認してください。

tunnel 2 プロバイダ接続設定

支社・現場側のISPにあわせて設定しなおしてください。
tunnel select 2
 tunnel encapsulation map-e
 ip tunnel mtu 1460
 ip tunnel nat descriptor 20000
 tunnel enable 2 

NATとIPsecの有効化

これ以降は全く本社の設定と同じです。
nat descriptor type 20000 masquerade
nat descriptor address outer 20000 map-e
ipsec use on
ipsec auto refresh on

dnsサーバー設定 

dns host lan3
dns service recursive
dns service fallback on
dns server dhcp lan2
dns server select 500000 dhcp lan2 any .
dns private address spoof on

通信の検証

IPsecが確立されているかどうか確認

# show ipsec sa
Total: isakmp:1 send:1 recv:1
sa    sgw isakmp connection    dir  life[s] remote-id
----------------------------------------------------------------------------
1     1    -     ike           -    28768   [IPv6アドレス] 2     1    1     tun[0001]esp  send 28768   [IPv6アドレス]
3     1    1     tun[0001]esp  recv 28768   [IPv6アドレス]
 IPsecが確立できていればtunnelが表示されるはず

RTXのパフォーマンス確認

# show environment detail
~~~~~   省略  ~~~~~~~~
CPU: 5%(5sec) 3%(1min) 4%(5min) メモリ: 29% used
CPU0: 9%(5sec) 2%(1min) 6%(5min)
CPU1: 0%(5sec) 0%(1min) 0%(5min)
CPU2: 8%(5sec) 8%(1min) 9%(5min)
CPU3: 6%(5sec) 5%(1min) 7%(5min)
パケットバッファ: 0%(small) 0%(middle) 0%(large) 0%(jumbo) 0%(huge) used

 IPsecの通信が通信網よりもRTXのパフォーマンスに引っ張られて通信速度が出ない過去実績があり。
そのためCPUが100%近くになっていないか確認しました。 
(*注釈 ver23.00.05以降ではdetailなしですべてのCPU使用率が表示されるようになった)

まとめ

今回、YAMAHAルーターRTX1300とNTT西日本フレッツ光クロス回線を使用して、本社と支社、スタジアムなどの現場をVPN接続しました。 VPN接続することで、NDIを現場から本社に映像伝送したり、編集素材を本社にファイル伝送したりと活用がみこめます。
ただし、IPv6アドレスの変更に注意が必要で、将来的にDNSからv6アドレスを取得する方法に改善の余地があります。 NTT東日本エリアではIPv6のDDNSサービスが提供されており、これを活用することでIPv6アドレスが変更されても、名前を使用して解決できます。しかし、西日本エリアではまだ調査が不足している可能性があり、詳細な情報を見つけることができませんでした。将来的には、DDNSサービスからIPv6アドレスを取得できるようになれば、システムをよりスマートに運用できるかもしれません。
ただし、IPv6のIPアドレスが頻繁に変更されるわけではないようで、半年ほど変更がないこともあるようです。これについても今後の調査で知識を蓄積していく予定です。 以上、「フレッツ光クロス回線を活用して現場と本社をVPN接続する」でした。今後も知識を共有し、効果的なネットワーク設定を続けていきます。
Next Post Previous Post