RTシリーズのIPsec&IKE&VPN&...に関するFAQ
どのような環境で利用できますか?
最終変更日 | 2018/Nov/06 |
文書サイズ | 3.6KB |
IPsec機能に適した条件は、 ルータが1つ以上の固定のグローバルアドレスを持つことです。 特に、VPNを構成する2台のルータがともにグローバルアドレスを持っていれば、 簡単にVPNを構成することができます。
VPNを構成するルータのうち、一方しか固定のグローバルアドレスを持たないときには、 ダイアルアップVPN という機能を使ってVPNを構成することができます。 ダイアルアップVPNは、 一方のアドレスが不定な場合にVPNを構成する機能です。 ダイアルアップVPNの詳細は ダイアルアップVPNの設定ガイド を参照してください。 ダイアルアップVPNを使うためには、 Rev.4.00.33 (機能追加[2]) 以降のファームウェアが必要です。
なお、 固定のグローバルアドレスを持たないルータの間でVPNを構成することはできません。 なぜならば、相手のアドレスが分からず、 鍵交換の要求を送信できないからです。(※1)
[ 注意事項 ]
ルータのアドレスが変化するたびに相手のルータの設定を書き換えれば、 原理的にはVPNを構成することができるかも知れません。しかしながら、 このような使い方はサポートの対象外となります。
ルータがプライベートアドレス空間に配置されていて、 IPsecのパケットをNATで変換するケースでは、 NATでIPヘッダが書き換えられるため、AHを使用できません。 また、ESPを使う場合でも、 RTシリーズ以外のルータではESPをNATで変換できないものがあるので注意が必要です。 (※2)
このようなケースを回避するために、
ESPをUDPにカプセル化する仕組みが提案されています。
RTシリーズでは、Rev.6.03.04 (機能追加[2]) 以降で利用可能です。