続)YAMAHAルーターRTX1300とフレッツ光クロス回線で現場と本社をVPN接続する(L2TP編)
前回NTTフレッツ光クロス回線を活用して、離れた拠点間の社内ネットワークをYAMAHAのルーターRTX1300を使って接続する方法についてお話ししました。
今回は、このネットワークをL2TP(Layer 2 Tunneling Protocol)でL2(本社と拠点が同一セグメント)で伸ばす方法について実践してみました。
L2TPで構築
今回の構成図はこちらです。
本社も192.168.0.0/24のセグメントですし、支社・現場側も192.168.0.0/24のセグメントです。
本社側ルーター設定(RTX1300#1)
前回同様にLAN2をWAN側(ONU)にLAN3をLAN側に設定したいと思います。
IPv6ルーティング設定とブリッジ設定
ipv6 routing on
ipv6 route default gateway dhcp lan2
ipv6 prefix 1 dhcp-prefix@lan2::/64
ipv6 lan2 address dhcp
ipv6 lan2 dhcp service client
ngn type lan2 ntt
ipv6をNGN網からDHCPで取得
bridge member bridge1 lan3 tunnel1
ip bridge1 address 192.168.0.254/24
brigdeコマンドでlan3とtunnel1をbridgeさせます。
tunnel1については後述。
ここで設定される192.168.0.254はルーターのルーティングポイント。イメージは下図
ip lan3 rip send off
ripをlan3内に送信しない設定。
もしかしたら不要かもしれません。
lan2フィルター設定
ipv6 lan2 secure filter in 4 201 1010 1011 1012 1013 1040 1041 1042
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 118 119
ipv6 filter 4 pass * * udp * 1701
ipv6 filter 201 pass * * tcp * 445
ipv6 filter 1010 pass * * icmp6 * *
ipv6 filter 1011 pass * * tcp * ident
ipv6 filter 1012 pass * * udp * 546
ipv6 filter 1013 pass * * 4
ipv6 filter 1040 pass * * udp * 500
ipv6 filter 1041 pass * * ah,esp
ipv6 filter 1042 pass * * udp 500 *
ipv6 filter 3000 pass * * * * *
ipv6 filter dynamic 100 * * ftp
ipv6 filter dynamic 101 * * domain
ipv6 filter dynamic 102 * * www
ipv6 filter dynamic 103 * * smtp
ipv6 filter dynamic 104 * * pop3
ipv6 filter dynamic 105 * * submission
ipv6 filter dynamic 118 * * tcp
ipv6 filter dynamic 119 * * udp
L2TPで重要なのはport1701です。
L2TPではこのポートを使うので忘れないように通過させましょう。
tunnel1 IPsecでL2TPを設定
tunnel select 1
tunnel encapsulation l2tpv3
tunnel endpoint address {RTX1300#2のIPv6アドレス}
ipsec tunnel 101
ipsec sa policy 101 1 esp aes256-cbc sha256-hmac
ipsec ike version 1 1
ipsec ike keepalive use 1 on
ipsec ike local address 1 {RTX1300#1のIPv6アドレス}
ipsec ike local name 1 {RTX1300#1のIPv6アドレス} ipv6-addr
ipsec ike pre-shared-key 1 text {事前共有キー RTX1300#1と#2で共通の文字列}
ipsec ike remote address 1 {RTX1300#2のIPv6アドレス}
ipsec ike remote name 1 {RTX1300#2のIPv6アドレス} ipv6-addr
l2tp always-on on
l2tp hostname RTX1300#1
l2tp tunnel auth on {トンネル認証用パスワード RTX1300#1と#2で共通の文字列}
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.0.254
l2tp remote router-id 192.168.0.253
l2tp remote end-id {リモートendID RTX1300#1と#2で共通の文字列}
ip tunnel tcp mss limit auto
tunnel enable 1
今回も直接IPv6アドレスを記載しています。
3箇所拠点間で揃えておく文字列があります。
- ipsec ike pre-shared-key
- l2tp tunnel auth
- l2tp remote end-id
任意の文字列でいいので、これらは拠点間でそれぞれ同じ値である必要があります。
local router-idとremote router-id
local router-idで指定したIPv4アドレスを相手側のremote router-idに指定してあげてください。ルーターに設定されているIPv4アドレスを指定する必要はありませんが、そのほうがわかりやすくいいと思います。
IKEバージョンに注意
設定でハマったところですが、L2TPにはIKEのバージョン1でないと対応できないので
ipsec ike version 1 1
としてあげることを忘れずに。
IPsec・L2TPの有効化
ipsec use on
ipsec auto refresh on
ipsec transport 1 101 udp 1701
l2tp service on l2tpv3
支社・現場側ルーターの設定(RTX1300#2)
本社側とほぼ同じコンフィグになります。
ipv6 routing on
ipv6 route default gateway dhcp lan2
ipv6 prefix 1 dhcp-prefix@lan2::/64
bridge member bridge1 lan3 tunnel1
ip bridge1 address 192.168.0.253/24
ip lan3 rip send off
ipv6 lan2 address dhcp
ipv6 lan2 secure filter in 4 201 1010 1011 1012 1013 1040 1041 1042
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 118 119
ipv6 lan2 dhcp service client
ngn type lan2 ntt
tunnel select 1
tunnel encapsulation l2tpv3
tunnel endpoint address {RTX1300#1のIPv6アドレス}
ipsec tunnel 101
ipsec sa policy 101 1 esp aes256-cbc sha256-hmac
ipsec ike version 1 1
ipsec ike keepalive use 1 on
ipsec ike local address 1 {RTX1300#2のIPv6アドレス}
ipsec ike local name 1 {RTX1300#2のIPv6アドレス} ipv6-addr
ipsec ike pre-shared-key 1 text {事前共有キー RTX1300#1と#2で共通の文字列}
ipsec ike remote address 1 {RTX1300#1のIPv6アドレス}
ipsec ike remote name 1 {RTX1300#1のIPv6アドレス} ipv6-addr
l2tp always-on on
l2tp hostname RTX1300#2
l2tp tunnel auth on {トンネル認証用パスワード RTX1300#1と#2で共通の文字列}
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.0.253
l2tp remote router-id 192.168.0.254
l2tp remote end-id {リモートendID RTX1300#1と#2で共通の文字列}
ip tunnel tcp mss limit auto
tunnel enable 1
ipsec use on
ipsec auto refresh on
ipsec transport 1 101 udp 1701
ipv6 filter 4 pass * * udp * 1701
ipv6 filter 201 pass * * tcp * 445
ipv6 filter 1010 pass * * icmp6 * *
ipv6 filter 1011 pass * * tcp * ident
ipv6 filter 1012 pass * * udp * 546
ipv6 filter 1013 pass * * 4
ipv6 filter 1040 pass * * udp * 500
ipv6 filter 1041 pass * * ah,esp
ipv6 filter 1042 pass * * udp 500 *
ipv6 filter 3000 pass * * * * *
ipv6 filter dynamic 100 * * ftp
ipv6 filter dynamic 101 * * domain
ipv6 filter dynamic 102 * * www
ipv6 filter dynamic 103 * * smtp
ipv6 filter dynamic 104 * * pop3
ipv6 filter dynamic 105 * * submission
ipv6 filter dynamic 118 * * tcp
ipv6 filter dynamic 119 * * udp
l2tp service on l2tpv3
通信の検証
IPsecが確立されているかどうか確認
こちらは前回同様
#show ipsec sa
Total: isakmp:1 send:1 recv:1
sa sgw isakmp connection dir life[s] remote-id
----------------------------------------------------------------------------
1 1 - ike - 28768 [IPv6アドレス]
2 1 1 tun[0001]esp send 28768 [IPv6アドレス]
3 1 1 tun[0001]esp recv 28768 [IPv6アドレス]
L2TPのトンネルがはられているかどうかの確認
#show status l2tp
------------------- L2TP INFORMATION -------------------
L2TP情報テーブル
L2TPトンネル数: 1, L2TPセッション数: 1
TUNNEL[1]:
トンネルの状態: established
バージョン: L2TPv3
自機側トンネルID: 37236
相手側トンネルID: 22589
自機側IPアドレス: [IPv6アドレス]
相手側IPアドレス: [IPv6アドレス]
自機側送信元ポート: 1701
相手側送信元ポート: 1701
ベンダ名: YAMAHA Corporation
ホスト名: RTX1300-1
Next Transmit sequence(Ns): 26
Next Receive sequence(Nr) : 28
トンネル内のセッション数: 1 session
セッション情報:
セッションの状態: established
自機側セッションID: xxxx
相手側セッションID: xxxx
Circuit Status 自機側:UP 相手側:UP
通信時間: 24分13秒
受信: 823055 パケット [1042270969 オクテット]
送信: 153300 パケット [153563655 オクテット]
L2TPでの接続がうまくいけばこのようにshowコマンドで確認できます。
arpテーブルをみてみた
# show arp
カウント数: 3
インタフェース IPアドレス MACアドレス MTU TTL(秒)
BRIDGE1 192.168.0.10 [IPv6アドレス] 1500 698
BRIDGE1 192.168.0.100 [IPv6アドレス] 1500 752
BRIDGE1 192.168.0.253 [IPv6アドレス] 1500 1155
bridge1上で本社と支社・現場にある端末のMACアドレステーブルが取得できているのがわかります。
まとめ
今回もYAMAHAのルーターRTX1300を使い、NTT西日本のフレッツ光クロス回線を利用して本社と支社、スタジアムなどの現場間にVPNを構築しましたが、これをL2で接続させることができました。
これによって、NDIの映像伝送などではmDNSもVPN内を通過するので、簡単にNDIカメラを検知して伝送が開始できます。そして10Gの回線なので非常に快適です。
この方法であればL2でしか通らないようなプロトコルにも対応できるので、選択の幅が広がります。
以上「続)YAMAHAルーターRTX1300とフレッツ光クロス回線で現場と本社をVPN接続する(L2TP編)」でした。
伊藤 亮介
毎日放送 総合技術局 制作技術センター
長年放送エンジニアとして現場で主にCGシステムを中心に運用してきましたが、最近は放送システムのITインフラ構築に携わっています。
放送でのITやクラウドの使われ方について情報発信していきます。
%E3%81%AE%E3%82%B3%E3%83%92%E3%82%9A%E3%83%BC%20(9).png)
