YAMAHAルーターRTX1300とフレッツ光クロス回線で現場と本社をVPN接続する
%E3%81%AE%E3%82%B3%E3%83%92%E3%82%9A%E3%83%BC%20(9).png)
.drawio.png)
今回は、NTTフレッツ光クロス回線を活用して、遠くの拠点と社内ネットワークを結ぶ方法についてお話しします。この方法にはどのようなメリットがあるかを見てみましょう。さまざまな広帯域アクティビティ、例えば映像伝送や大容量ファイル転送が可能になるのがその一つです。
今回は、YAMAHAのルーターRTX1300を使用してこのネットワークを構築しました。
フレッツ光クロス(NGN網)について
フレッツ光クロスは、NTT東・西が提供する10G回線のインターネットサービスです。これは従来のフレッツ光の1G回線と比べて10倍のスペックを持っており、現在は非常にコスト効率の良いオプションとして利用できます(月額約7000円 割引を使うと6000円弱 2023.9現在)。ただし、一般家庭と共有の回線なので、実際のパフォーマンスは地域と時間帯に依存します。
VPN接続を構築
一般的に、ISPを契約してインターネットにアクセスすることが多いですが、フレッツ光クロスのネットワーク(NGN網)を使用して、拠点同士を直接接続することもできます。NGN網内はIPv6ベースなので、IPv4 over IPv6で接続する必要があります。ただし、セキュリティの観点からIPv6のVPNを介してIPv4通信を行う方が良いでしょう。
今回はVPN接続を使用しました。
本社側ルーター設定(RTX1300#2)
LAN2をWAN側(ONU)にLAN3をLAN側に設定したいと思います。
IPv4とIPv6のルーティング設定
ip routing onip route default gateway tunnel 2ip route 192.168.10.0/24 gateway tunnel 1ipv6 routing onipv6 route default gateway dhcp lan2ipv6 prefix 1 dhcp-prefix@lan2::/64
ip route default gateway tunnel 2
これでIPv4のデフォルトゲートウェイをtunnel 2にむけておきます。(後述しますが、tunnel2をISPへの設定に使います)
一方支社・現場側のネットワークへは
ip route 192.168.10.0/24 gateway tunnel 1
でtunnel 1側にルーティングさせます。
ipv6はNGN網(LAN2)からDHCPでデフォルトゲートウェイのv6アドレスを取得するための設定になっています。
lan3のルーティングポイントの設定
ゲートウェイアドレス(192.168.0.254)を設定します。
ip lan3 address 192.168.0.254/24
ip lan3 rip send off
lan2のipv6設定
DHCPクライアントの設定
ipv6 lan2 address dhcp
ipv6 lan2 dhcp service client
ngn type lan2 ntt
lan2 フィルター設定
ipv6 lan2 secure filter in 1010 1011 1012 1013 1040 1041 1042
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 118 119
ipv6 filter 1010 pass * * icmp6 * *ipv6 filter 1011 pass * * tcp * identipv6 filter 1012 pass * * udp * 546ipv6 filter 1013 pass * * 4ipv6 filter 1040 pass * * udp * 500ipv6 filter 1041 pass * * ah,espipv6 filter 1042 pass * * udp 500 *ipv6 filter dynamic 100 * * ftpipv6 filter dynamic 101 * * domainipv6 filter dynamic 102 * * wwwipv6 filter dynamic 103 * * smtpipv6 filter dynamic 104 * * pop3ipv6 filter dynamic 105 * * submissionipv6 filter dynamic 118 * * tcpipv6 filter dynamic 119 * * udp
例ではout側の通信118,119でTCP・UDPすべてオープンにしてしまっていますが、このあたりは適宜セキュリティでポートを閉じてもらえればと思います。
tunnel 1 IPsecの設定
tunnel select 1ipsec tunnel 101ipsec sa policy 101 1 esp aes256-cbc sha256-hmacipsec ike version 1 2ipsec ike keepalive log 1 onipsec ike keepalive use 1 auto rfc4306 10 6 0ipsec ike local address 1 [RTX1300#2のIPv6アドレス]ipsec ike local name 1 [RTX1300#2のIPv6アドレス] ipv6-addripsec ike pre-shared-key 1 text [#1と#2で共通の文字:暗号化のパスワード]ipsec ike remote address 1 [RTX1300#1のIPv6アドレス]ipsec ike remote name 1 [RTX1300#1のIPv6アドレス] ipv6-addrip tunnel tcp mss limit autotunnel enable 1
赤字の部分は環境に合わせて確認してください。
ちなみに自分のIPv6アドレスを確認するには
ちなみに自分のIPv6アドレスを確認するには
show ipv6 address
で確認できます。
tunnel 2 プロバイダ接続設定
今回はISPとしてniftyを使いましたので、トンネルインターフェースとしてmap-eのv6plusを選択しています。
tunnel select 2tunnel encapsulation map-eip tunnel mtu 1460ip tunnel nat descriptor 20000tunnel enable 2
ちなみにv6plusはデフォルト値なため、指定していませんがその他の指定はこちらを参照(トンネルインタフェースのMAP-E種別の設定)
NATとIPsecの有効化
nat descriptor type 20000 masqueradenat descriptor address outer 20000 map-eipsec use onipsec auto refresh on
上のnat descriptor 20000とリンクしています。
またIPsecが切れたときに再接続するようにauto refreshもするようにしています。
dnsサーバー設定
dns host lan3dns service recursivedns service fallback ondns server dhcp lan2dns server select 500000 dhcp lan2 any .dns private address spoof on
lan3内の端末からみるとこのRTXルーターがDNSのホストになりますが、そのままlan2側のDNSサーバーに問い合わせをしにいっています。
これによって192.168.0.0/24の端末のDNSサーバーはこのRTX1300(192.168.0.254)を指定してあげることができます。
支社・現場側ルーター設定(RTX1300#1)
本社同様にLAN2をWAN側(ONU)にLAN3をLAN側に設定したいと思います。
IPv4とIPv6のルーティング設定
ip routing onip route default gateway tunnel 2ip route 192.168.0.0/24 gateway tunnel 1ipv6 routing onipv6 route default gateway dhcp lan2ipv6 prefix 1 dhcp-prefix@lan2::/64
v4のルーティングしたいネットワークアドレスを変更しました。
lan3のルーティングポイントの設定
ゲートウェイアドレス(192.168.10.254)を設定します。
ip lan3 address 192.168.10.254/24
ip lan3 rip send off
lan2のipv6設定
ここは全く本社側と同じ設定です。
DHCPクライアントの設定
ipv6 lan2 address dhcp
ipv6 lan2 dhcp service client
ngn type lan2 ntt
lan2 フィルター設定
ipv6 lan2 secure filter in 1010 1011 1012 1013 1040 1041 1042
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 118 119
ipv6 filter 1010 pass * * icmp6 * *ipv6 filter 1011 pass * * tcp * identipv6 filter 1012 pass * * udp * 546ipv6 filter 1013 pass * * 4ipv6 filter 1040 pass * * udp * 500ipv6 filter 1041 pass * * ah,espipv6 filter 1042 pass * * udp 500 *ipv6 filter dynamic 100 * * ftpipv6 filter dynamic 101 * * domainipv6 filter dynamic 102 * * wwwipv6 filter dynamic 103 * * smtpipv6 filter dynamic 104 * * pop3ipv6 filter dynamic 105 * * submissionipv6 filter dynamic 118 * * tcpipv6 filter dynamic 119 * * udp
tunnel 1 IPsecの設定
tunnel select 1ipsec tunnel 101ipsec sa policy 101 1 esp aes256-cbc sha256-hmacipsec ike version 1 2ipsec ike keepalive log 1 onipsec ike keepalive use 1 auto rfc4306 10 6 0ipsec ike local address 1 [RTX1300#1のIPv6アドレス]ipsec ike local name 1 [RTX1300#1のIPv6アドレス] ipv6-addripsec ike pre-shared-key 1 text [#2で指定したものと同じ文字列:暗号化のパスワード]ipsec ike remote address 1 [RTX1300#2のIPv6アドレス]ipsec ike remote name 1 [RTX1300#2のIPv6アドレス] ipv6-addrip tunnel tcp mss limit autotunnel enable 1
本社側同様に赤字の部分は環境に合わせて確認してください。
tunnel 2 プロバイダ接続設定
支社・現場側のISPにあわせて設定しなおしてください。
tunnel select 2tunnel encapsulation map-eip tunnel mtu 1460ip tunnel nat descriptor 20000tunnel enable 2
NATとIPsecの有効化
これ以降は全く本社の設定と同じです。
nat descriptor type 20000 masqueradenat descriptor address outer 20000 map-eipsec use onipsec auto refresh on
dnsサーバー設定
dns host lan3dns service recursivedns service fallback ondns server dhcp lan2dns server select 500000 dhcp lan2 any .dns private address spoof on
通信の検証
IPsecが確立されているかどうか確認
# show ipsec sa
Total: isakmp:1 send:1 recv:1
sa sgw isakmp connection dir life[s] remote-id
----------------------------------------------------------------------------
1 1 - ike - 28768 [IPv6アドレス] 2 1 1 tun[0001]esp send 28768 [IPv6アドレス]
3 1 1 tun[0001]esp recv 28768 [IPv6アドレス]
IPsecが確立できていればtunnelが表示されるはず
RTXのパフォーマンス確認
# show environment detail
~~~~~ 省略 ~~~~~~~~
CPU: 5%(5sec) 3%(1min) 4%(5min) メモリ: 29% used
CPU0: 9%(5sec) 2%(1min) 6%(5min)
CPU1: 0%(5sec) 0%(1min) 0%(5min)
CPU2: 8%(5sec) 8%(1min) 9%(5min)
CPU3: 6%(5sec) 5%(1min) 7%(5min)
パケットバッファ: 0%(small) 0%(middle) 0%(large) 0%(jumbo) 0%(huge) used
IPsecの通信が通信網よりもRTXのパフォーマンスに引っ張られて通信速度が出ない過去実績があり。
そのためCPUが100%近くになっていないか確認しました。
(*注釈 ver23.00.05以降ではdetailなしですべてのCPU使用率が表示されるようになった)
まとめ
今回、YAMAHAルーターRTX1300とNTT西日本フレッツ光クロス回線を使用して、本社と支社、スタジアムなどの現場をVPN接続しました。
VPN接続することで、NDIを現場から本社に映像伝送したり、編集素材を本社にファイル伝送したりと活用がみこめます。
ただし、IPv6アドレスの変更に注意が必要で、将来的にDNSからv6アドレスを取得する方法に改善の余地があります。
NTT東日本エリアではIPv6のDDNSサービスが提供されており、これを活用することでIPv6アドレスが変更されても、名前を使用して解決できます。しかし、西日本エリアではまだ調査が不足している可能性があり、詳細な情報を見つけることができませんでした。将来的には、DDNSサービスからIPv6アドレスを取得できるようになれば、システムをよりスマートに運用できるかもしれません。
ただし、IPv6のIPアドレスが頻繁に変更されるわけではないようで、半年ほど変更がないこともあるようです。これについても今後の調査で知識を蓄積していく予定です。
以上、「フレッツ光クロス回線を活用して現場と本社をVPN接続する」でした。今後も知識を共有し、効果的なネットワーク設定を続けていきます。
伊藤 亮介
毎日放送 総合技術局 制作技術センター
長年放送エンジニアとして現場で主にCGシステムを中心に運用してきましたが、最近は放送システムのITインフラ構築に携わっています。
放送でのITやクラウドの使われ方について情報発信していきます。
%E3%81%AE%E3%82%B3%E3%83%92%E3%82%9A%E3%83%BC%20(9).png)
%E3%81%AE%E3%82%B3%E3%83%92%E3%82%9A%E3%83%BC%20(8).png)