YAMAHA RTシリーズ の接続事例集 / OCN+VPN(IPsec)

(OCN+VPN) OCN接続された基幹ネットワークと遠隔地をVPN(IPsec)接続する事例

[ トンネルの種類 ]
1. ２拠点のグローバル機器間の通信を接続#1…トンネルモード(AH:認証)
2. ２拠点のグローバル機器間の通信を接続#2…トンネルモード(ESP:暗号)
   トンネルモードESPで暗号だけを用い認証を利用しない設定は、 セキュリティ上問題が大きいために利用しないことを強くお勧めします。
3. ２拠点のグローバル機器間の通信を接続#3…トンネルモード(ESP:暗号+認証)
4. ２拠点のグローバル機器間の通信を接続#4…トンネルモード(ESP:暗号)→トランスポートモード(AH:認証)
   [ ルーティングの種類 ]

5. ２拠点のホスト間の通信を接続
6. ２拠点のグローバル/プライベートネットワーク間の通信を接続#1 (グローバルのみ)
7. ２拠点のグローバル/プライベートネットワーク間の通信を接続#2 (プライベートのみ)
8. ２拠点のグローバル/プライベートネットワーク間の通信を接続#3 (両方)
   [ プロバイダ接続用ルータ以外のRTでSGW ]

9. ２拠点でローカルルータに使用しているRT140eをSGWにする
10. ２拠点でRTをSGWとして設置する
11. ２拠点でダイヤルアップサーバにしているRTをSGWにする
    [ 複数拠点間でVPN ]

12. ３拠点のグローバル/プライベートネットワーク間の通信を接続#1
13. ３拠点のグローバル/プライベートネットワーク間の通信を接続#2

• Question and Answer(OCN接続+VPN接続の全般)
  

(OCN/VPN.1) ２拠点のグローバル機器間の通信を接続#1 …トンネルモード(AH:認証)

条件、特徴など

• グローバルアドレスのみ使用。
• ２個所のプロバイダ(OCN)接続ネットワークをIP接続する。
• ルーティング情報は、スタティック設定する(明示する)

VPNの条件など

• SGWは、RT(A)とRT(B)
• グローバルアドレスネットワーク間をルーティング
• SGWを認証するトンネル
  …トンネルモード(AH:認証)

OCNエコノミー                                  OCNエコノミー
     #                                               #
     # 128Kbps専用線                                 # 128Kbps専用線
     #                                               #
     #                      VPN                      #
     #          ???????????????????????????          #
     #          ?                         ?          #
 +-------------------+               +-------------------+
 | [BRI]    [tunnel] |               | [tunnel]    [BRI] |
 |                   |               |                   |
 |       RT(A)       |               |       RT(B)       |
 |                   |               |                   |
 |       [LAN]       |               |       [LAN]       |
 +---------+---------+               +---------+---------+
           | 172.16.184.33                     | 172.16.186.33
           |       172.16.184.32/28            |       172.16.186.32/28
 ----------+-----------------------  ----------+-----------------------

[ 詳細ページ (2018/Nov/06, 14KB) ]

• RT(A)の要件
• RT(B)の要件

(OCN/VPN.2) ２拠点のグローバル機器間の通信を接続#2 …トンネルモード(ESP:暗号)

トンネルモードESPで暗号だけを用い認証を利用しない設定は、 セキュリティ上問題が大きいために利用しないことを強くお勧めします。

条件、特徴など

• グローバルアドレスのみ使用。
• ２個所のプロバイダ(OCN)接続ネットワークをIP接続する。
• ルーティング情報は、スタティック設定する(明示する)

VPNの条件など

• SGWは、RT(A)とRT(B)
• グローバルアドレスネットワーク間をルーティング
• 暗号トンネル
  …トンネルモード(ESP:暗号)

OCNエコノミー                                  OCNエコノミー
     #                                               #
     # 128Kbps専用線                                 # 128Kbps専用線
     #                                               #
     #                      VPN                      #
     #          ???????????????????????????          #
     #          ?                         ?          #
 +-------------------+               +-------------------+
 | [BRI]    [tunnel] |               | [tunnel]    [BRI] |
 |                   |               |                   |
 |       RT(A)       |               |       RT(B)       |
 |                   |               |                   |
 |       [LAN]       |               |       [LAN]       |
 +---------+---------+               +---------+---------+
           | 172.16.184.33                     | 172.16.186.33
           |       172.16.184.32/28            |       172.16.186.32/28
 ----------+-----------------------  ----------+-----------------------

[ 詳細ページ (2018/Nov/06, 14KB) ]

• RT(A)の要件
• RT(B)の要件

(OCN/VPN.3) ２拠点のグローバル機器間の通信を接続#3 …トンネルモード(ESP:暗号+認証)

条件、特徴など

• グローバルアドレスのみ使用。
• ２個所のプロバイダ(OCN)接続ネットワークをIP接続する。
• ルーティング情報は、スタティック設定する(明示する)

VPNの条件など

• SGWは、RT(A)とRT(B)
• グローバルアドレスネットワーク間をルーティング
• 認証+暗号トンネル
  …トンネルモード(ESP:暗号+認証)

OCNエコノミー                                  OCNエコノミー
     #                                               #
     # 128Kbps専用線                                 # 128Kbps専用線
     #                                               #
     #                      VPN                      #
     #          ???????????????????????????          #
     #          ?                         ?          #
 +-------------------+               +-------------------+
 | [BRI]    [tunnel] |               | [tunnel]    [BRI] |
 |                   |               |                   |
 |       RT(A)       |               |       RT(B)       |
 |                   |               |                   |
 |       [LAN]       |               |       [LAN]       |
 +---------+---------+               +---------+---------+
           | 172.16.184.33                     | 172.16.186.33
           |       172.16.184.32/28            |       172.16.186.32/28
 ----------+-----------------------  ----------+-----------------------

[ 詳細ページ (2018/Nov/06, 14KB) ]

• RT(A)の要件
• RT(B)の要件

(OCN/VPN.4) ２拠点のグローバル機器間の通信を接続#4 …トンネルモード(ESP:暗号)→トランスポートモード(AH:認証)

条件、特徴など

• グローバルアドレスのみ使用。
• ２個所のプロバイダ(OCN)接続ネットワークをIP接続する。
• ルーティング情報は、スタティック設定する(明示する)

VPNの条件など

• SGWは、RT(A)とRT(B)
• グローバルアドレスネットワーク間をルーティング
• SGWを認証する暗号トンネル
  …トンネルモード(ESP:暗号)→トランスポートモード(AH:認証)

OCNエコノミー                                  OCNエコノミー
     #                                               #
     # 128Kbps専用線                                 # 128Kbps専用線
     #                                               #
     #                      VPN                      #
     #          ???????????????????????????          #
     #          ?                         ?          #
 +-------------------+               +-------------------+
 | [BRI]    [tunnel] |               | [tunnel]    [BRI] |
 |                   |               |                   |
 |       RT(A)       |               |       RT(B)       |
 |                   |               |                   |
 |       [LAN]       |               |       [LAN]       |
 +---------+---------+               +---------+---------+
           | 172.16.184.33                     | 172.16.186.33
           |       172.16.184.32/28            |       172.16.186.32/28
 ----------+-----------------------  ----------+-----------------------

[ 詳細ページ (2018/Nov/06, 16KB) ]

• RT(A)の要件
• RT(B)の要件

(OCN/VPN.5) ２拠点のホスト間の通信を接続

条件、特徴など

• SGWは、RT(A)とRT(B)
• グローバルアドレス/プライベートアドレスを使用。
• プライマリアドレスとセカンダリアドレスを使用。
• ２個所のプロバイダ(OCN)接続ネットワークをIP接続する。
• ルーティング情報は、スタティック設定する(明示する)

VPNの条件など

• ホスト−ホスト間をルーティング
• 認証+暗号トンネル
  …トンネルモード(ESP:暗号+認証)

OCNエコノミー                                  OCNエコノミー
     #                                               #
     # 128Kbps専用線                                 # 128Kbps専用線
     #                                               #
     #                      VPN                      #
     #          ???????????????????????????          #
     #          ?                         ?          #
 +-------------------+               +-------------------+
 | [BRI]    [tunnel] |               | [tunnel]    [BRI] |
 |                   |               |                   |
 |       RT(A)       |               |       RT(B)       |
 |                   |               |                   |
 |       [LAN]       |               |       [LAN]       |
 +---------+---------+               +---------+---------+
           | 172.16.184.33(1)                  | 172.16.186.33(1)
           | 192.168.0.1(2)                    | 192.168.1.1(2)
           |    172.16.184.32/28(g)            |    172.16.186.32/28(g)
           |      192.168.0.0/24(p)            |      192.168.1.0/24(p)
 ----------+-----------------------  ----------+-----------------------

[ 詳細ページ (2018/Nov/06, 31KB) ]

• RT(A)の要件
• RT(B)の要件

(OCN/VPN.6) ２拠点のグローバル/プライベートネットワーク間の通信を接続#1 (グローバルのみ)

条件、特徴など

• SGWは、RT(A)とRT(B)
• グローバルアドレス/プライベートアドレスを使用。
• プライマリアドレスとセカンダリアドレスを使用。
• ２個所のプロバイダ(OCN)接続ネットワークをIP接続する。
• ルーティング情報は、スタティック設定する(明示する)

VPNの条件など

• グローバルアドレスネットワーク間をルーティング
• 認証+暗号トンネル
  …トンネルモード(ESP:暗号+認証)

OCNエコノミー                                  OCNエコノミー
     #                                               #
     # 128Kbps専用線                                 # 128Kbps専用線
     #                                               #
     #                      VPN                      #
     #          ???????????????????????????          #
     #          ?                         ?          #
 +-------------------+               +-------------------+
 | [BRI]    [tunnel] |               | [tunnel]    [BRI] |
 |                   |               |                   |
 |       RT(A)       |               |       RT(B)       |
 |                   |               |                   |
 |       [LAN]       |               |       [LAN]       |
 +---------+---------+               +---------+---------+
           | 172.16.184.33(1)                  | 172.16.186.33(1)
           | 192.168.0.1(2)                    | 192.168.1.1(2)
           |    172.16.184.32/28(g)            |    172.16.186.32/28(g)
           |      192.168.0.0/24(p)            |      192.168.1.0/24(p)
 ----------+-----------------------  ----------+-----------------------

[ 詳細ページ (2018/Nov/06, 26KB) ]

• RT(A)の要件
• RT(B)の要件

(OCN/VPN.7) ２拠点のグローバル/プライベートネットワーク間の通信を接続#2 (プライベートのみ)

条件、特徴など

• グローバルアドレス/プライベートアドレスを使用。
• プライマリアドレスとセカンダリアドレスを使用。
• ２個所のプロバイダ(OCN)接続ネットワークをIP接続する。
• ルーティング情報は、スタティック設定する(明示する)

VPNの条件など

• SGWは、RT(A)とRT(B)
• プライベートアドレスネットワーク間をルーティング
• 認証+暗号トンネル
  …トンネルモード(ESP:暗号+認証)

OCNエコノミー                                  OCNエコノミー
     #                                               #
     # 128Kbps専用線                                 # 128Kbps専用線
     #                                               #
     #                      VPN                      #
     #          ???????????????????????????          #
     #          ?                         ?          #
 +-------------------+               +-------------------+
 | [BRI]    [tunnel] |               | [tunnel]    [BRI] |
 |                   |               |                   |
 |       RT(A)       |               |       RT(B)       |
 |                   |               |                   |
 |       [LAN]       |               |       [LAN]       |
 +---------+---------+               +---------+---------+
           | 172.16.184.33(1)                  | 172.16.186.33(1)
           | 192.168.0.1(2)                    | 192.168.1.1(2)
           |    172.16.184.32/28(g)            |    172.16.186.32/28(g)
           |      192.168.0.0/24(p)            |      192.168.1.0/24(p)
 ----------+-----------------------  ----------+-----------------------

[ 詳細ページ (2018/Nov/06, 26KB) ]

• RT(A)の要件
• RT(B)の要件

(OCN/VPN.8) ２拠点のグローバル/プライベートネットワーク間の通信を接続#3 (両方)

条件、特徴など

• グローバルアドレス/プライベートアドレスを使用。
• プライマリアドレスとセカンダリアドレスを使用。
• ２個所のプロバイダ(OCN)接続ネットワークをIP接続する。
• ルーティング情報は、スタティック設定する(明示する)

VPNの条件など

• SGWは、RT(A)とRT(B)
• グローバルアドレス/プライベートアドレスネットワーク間をルーティング
• 認証+暗号トンネル
  …トンネルモード(ESP:暗号+認証)

OCNエコノミー                                  OCNエコノミー
     #                                               #
     # 128Kbps専用線                                 # 128Kbps専用線
     #                                               #
     #                      VPN                      #
     #          ???????????????????????????          #
     #          ?                         ?          #
 +-------------------+               +-------------------+
 | [BRI]    [tunnel] |               | [tunnel]    [BRI] |
 |                   |               |                   |
 |       RT(A)       |               |       RT(B)       |
 |                   |               |                   |
 |       [LAN]       |               |       [LAN]       |
 +---------+---------+               +---------+---------+
           | 172.16.184.33(1)                  | 172.16.186.33(1)
           | 192.168.0.1(2)                    | 192.168.1.1(2)
           |    172.16.184.32/28(g)            |    172.16.186.32/28(g)
           |      192.168.0.0/24(p)            |      192.168.1.0/24(p)
 ----------+-----------------------  ----------+-----------------------

[ 詳細ページ (2018/Nov/06, 27KB) ]

• RT(A)の要件
• RT(B)の要件

(OCN/VPN.9) ２拠点でローカルルータに使用しているRT140eをSGWにする

条件、特徴など

• ２個所のプロバイダ(OCN)接続ネットワークをIP接続する。
• ルーティング情報は、スタティック設定する(明示する)

VPNの条件など

• SGWは、RT(C)とRT(D)
• 内部のネットワーク間をルーティング
• 認証+暗号トンネル
  …トンネルモード(ESP:暗号+認証)

     OCNエコノミー                     OCNエコノミー
          #                                 #
          # 128Kbps専用線                   # 128Kbps専用線
          #                                 #
     +---------+                       +---------+                   
     |  RT(A)  |                       |  RT(B)  |
     +----+----+                       +----+----+                   
          | 172.16.184.33                   | 172.16.186.33
          |       172.16.184.32/28          |       172.16.186.32/28
    ------+-----------------------    ------+-----------------------
          |                                 | 
          | 172.16.184.45                   | 172.16.186.45
     +----+----+                       +----+----+
     |  RT(C)  |???????????????????????|  RT(D)  |
     +----+----+         VPN           +----+----+
          | 192.168.0.1                     | 192.168.1.1
          |         192.168.0.0/24          |         192.168.1.0/24
    ------+-----------------------    ------+-----------------------

[ 詳細ページ (2018/Nov/06, 20KB) ]

• RT(A)の要件
• RT(B)の要件
• RT(C)の要件
• RT(D)の要件

(OCN/VPN.10) ２拠点でRTをSGWとして設置する

条件、特徴など

• ２個所のプロバイダ(OCN)接続ネットワークをIP接続する。
• ルーティング情報は、スタティック設定する(明示する)

VPNの条件など

• SGWは、RT(C)とRT(D)
• 内部のネットワーク間をルーティング
• 認証+暗号トンネル
  …トンネルモード(ESP:暗号+認証)

  OCNエコノミー                                         OCNエコノミー
       #                                                      #
専用線 #                                                      # 専用線
       #             SGW                     SGW              #
  +---------+    +---------+     VPN     +---------+    +---------+
  |  RT(A)  |    |  RT(C)  |?????????????|  RT(D)  |    |  RT(B)  |
  +----+----+    +----+----+             +----+----+    +----+----+
       | 〜.33        | 〜.42                 | 〜.42        | 〜.33
 ------+--------------+----------  -----------+--------------+-----
       |         172.16.184.32/28  172.16.186.32/28          |         
       |                                                     | 
       | 172.16.184.45                         172.16.186.45 |
  +----+----+                                           +----+----+
  |  RT(E)  |                                           |  RT(F)  |
  +----+----+                                           +----+----+
       | 192.168.0.1                             192.168.1.1 |
       |         192.168.0.0/24    192.168.1.0/24            |         
 ------+-------------------------  --------------------------+-----

[ 詳細ページ (2018/Nov/06, 27KB) ]

• RT(A)の要件
• RT(B)の要件
• RT(C)の要件
• RT(D)の要件
• RT(E)の要件
• RT(F)の要件

(OCN/VPN.11) ２拠点でダイヤルアップサーバにしているRTをSGWにする

条件、特徴など

• ２個所のプロバイダ(OCN)接続ネットワークをIP接続する。
• ルーティング情報は、スタティック設定する(明示する)

VPNの条件など

• SGWは、RT(C)とRT(D)
• 内部のネットワーク間をルーティング
• 認証+暗号トンネル
  …トンネルモード(ESP:暗号+認証)

  OCNエコノミー     端末                     端末        OCNエコノミー
       #              :                       :              #
専用線 #              :                       :              # 専用線
       #              :                       :              #
  +---------+    +---------+     VPN     +---------+    +---------+
  |  RT(A)  |    |  RT(C)  |?????????????|  RT(D)  |    |  RT(B)  |
  +----+----+    +----+----+             +----+----+    +----+----+
       | 〜.33        | 〜.42(43,44)          | 〜.42(43,44) | 〜.33
 ------+--------------+----------  -----------+--------------+-----
       |         172.16.184.32/28  172.16.186.32/28          |         
       |                                                     | 
       | 172.16.184.45                         172.16.186.45 |
  +----+----+                                           +----+----+
  |  RT(E)  |                                           |  RT(F)  |
  +----+----+                                           +----+----+
       | 192.168.0.1                             192.168.1.1 |
       |         192.168.0.0/24    192.168.1.0/24            |         
 ------+-------------------------  --------------------------+-----

[ 詳細ページ (2018/Nov/06, 30KB) ]

• RT(A)の要件
• RT(B)の要件
• RT(C)の要件
• RT(D)の要件
• RT(E)の要件
• RT(F)の要件

(OCN/VPN.12) ３拠点のグローバル/プライベートネットワーク間の通信を接続#1

条件、特徴など

• グローバルアドレス/プライベートアドレスを使用。
• プライマリアドレスとセカンダリアドレスを使用。
• ３個所のプロバイダ(OCN)接続ネットワークをIP接続する。
• ルーティング情報は、スタティック設定する(明示する)

VPNの条件など

• SGWは、RT(A)とRT(B)とRT(C)
• グローバルアドレス/プライベートアドレスネットワーク間をルーティング
• 認証+暗号トンネル
  …トンネルモード(ESP:暗号+認証)

 ----------+-----------------------  ----------+-----------------------
           |      192.168.0.0/24(p)            |      192.168.1.0/24(p)
           |    172.16.184.32/28(g)            |    172.16.186.32/28(g)
           | 192.168.0.1(2)                    | 192.168.1.1(2)
           | 172.16.184.33(1)                  | 172.16.186.33(1)
 +---------+---------+               +---------+---------+
 |       [LAN]       |               |       [LAN]       |
 |                   |               |                   |
 |       RT(A)       |               |       RT(B)       |
 |                   |               |                   |
 | [BRI]    [tunnel] |               | [tunnel]    [BRI] |
 +-------------------+               +-------------------+
     #         ?  ?                       ?          #
OCNエコノミー  ?  ?????????????????????????     OCNエコノミー
               ?            VPN(1)              
               ?                           
        VPN(2) ??????????????
                            ?
             OCNエコノミー  ?
                  #         ?
              +-------------------+             
              | [BRI]    [tunnel] |             
              |                   |             
              |       RT(C)       |
              |                   |             
              |       [LAN]       |             
              +---------+---------+             
                        | 172.16.188.33(1)      
                        | 192.168.2.1(2)        
                        |    172.16.188.32/28(g)
                        |      192.168.2.0/24(p)
              ----------+-----------------------

[ 詳細ページ (2018/Nov/06, 29KB) ]

• RT(A)の要件
• RT(B)の要件
• RT(C)の要件

(OCN/VPN.13) ３拠点のグローバル/プライベートネットワーク間の通信を接続#2

条件、特徴など

• グローバルアドレス/プライベートアドレスを使用。
• プライマリアドレスとセカンダリアドレスを使用。
• ３個所のプロバイダ(OCN)接続ネットワークをIP接続する。
• ルーティング情報は、スタティック設定する(明示する)

VPNの条件など

• SGWは、RT(A)とRT(B)とRT(C)
• グローバルアドレス/プライベートアドレスネットワーク間をルーティング
• 認証+暗号トンネル
  …トンネルモード(ESP:暗号+認証)

 ----------+-----------------------  ----------+-----------------------
           |      192.168.0.0/24(p)            |      192.168.1.0/24(p)
           |    172.16.184.32/28(g)            |    172.16.186.32/28(g)
           | 192.168.0.1(2)                    | 192.168.1.1(2)
           | 172.16.184.33(1)                  | 172.16.186.33(1)
 +---------+---------+               +---------+---------+
 |       [LAN]       |               |       [LAN]       |
 |                   |               |                   |
 |       RT(A)       |               |       RT(B)       |
 |                   |               |                   |
 | [BRI]    [tunnel] |               | [tunnel]    [BRI] |
 +-------------------+               +-------------------+
     #         ?  ?                     ?  ?         #
OCNエコノミー  ?  ???????????????????????  ?    OCNエコノミー
               ?            VPN(1)         ?    
               ?                           ?
        VPN(2) ??????????????  ????????????? VPN(3)
                            ?  ?
             OCNエコノミー  ?  ?
                  #         ?  ?
              +-------------------+             
              | [BRI]    [tunnel] |             
              |                   |             
              |       RT(C)       |
              |                   |             
              |       [LAN]       |             
              +---------+---------+             
                        | 172.16.188.33(1)      
                        | 192.168.2.1(2)        
                        |    172.16.188.32/28(g)
                        |      192.168.2.0/24(p)
              ----------+-----------------------

[ 詳細ページ (2018/Nov/06, 32KB) ]

• RT(A)の要件
• RT(B)の要件
• RT(C)の要件

(OCN/VPN.Q&A) Question and Answer (OCN接続+VPN接続の全般)

• RTのセキュリティゲートウェイ機能, VPN, IPsec, IKEは、どんな機能ですか？

  →セキュリティ・ゲートウェイ機能とIPsec
  

• RTシリーズのIPsecのリリース番号とは何ですか？

  →利用可能なリビジョンを教えて下さい
  

• ここの設定例の「！」について

  IPsecリリースによる仕様の違いを明示することとします。
  

  IPsecリリース1やIPsecリリース2からIPsecリリース3に移行する場合は、 「セキュリティ・ゲートウェイ機能とIPsec」の 「IPsecリリース3への設定変更の手引き」を参考にしてください。

• ipsec pre-shared-keyコマンドが入力(設定)できません。

  Rev.4.00.33から追加されたダイヤルアップVPN機能により、ipsec pre-shared-keyコマンドの仕様変更 があり、コマンドもipsec ike pre-shared-keyへと変更されました。

  Rev.4.00.33以降のファームウェアの場合は、 ipsec pre-shared-keyコマンドの代りにipsec ike pre-shared-keyコマンドを 設定してください。

• RTシリーズのIPsecはいくつかの仕様があるようですが、相互接続可能ですか？

  →利用可能なリビジョンを教えて下さい
  

• IPsecのFAQは？

  →IPsec & IKE & VPNのFAQ
  

• IPsecを利用するうえでの注意事項は？

  →利用するうえでの注意事項は？
  

• ipsec sa policyコマンドは、どんな設定が可能ですか？

  →ipsec sa policyコマンドは、どんな組み合せが可能ですか？
  

• IPsecによりどんなトンネル(鋼鉄のパイプ)が作れますか？

  →どんなVPN/トンネル(鋼鉄のパイプ)が作れますか？
  

• VPN開通の確認作業はどうしたらいいですか？

  →利用するうえでの注意事項は？
  

• 通信の可否などはどのように判断したらいいですか？

  「pingが通るか通らないか？」という判断もありますが、 パケットが流れる経路を片道づつ検討します。 そこで、往路の経路と復路の経路が確保されていれば、通信可能と判断できます。

  ルーティング設定などの状況次第で、往路の経路と復路の経路が 異なることがあります。 セキュリティ上重要な情報が流れる可能性がある場合、 経路のチェックも慎重に行ないましょう。

• トンネル/VPNを使用した場合の経路はどうなりますか？

  →VPN/トンネルを使用した場合の経路はどうなりますか？
  

• セカンダリ・アドレスをSGWアドレスに設定できないのですか？

  →>セカンダリ・アドレスをSGWアドレスに設定できないのですか？
  

※「戻る/進む」はブラウザの履歴が使用されます [ RTpro / ヤマハ / 技術資料 / 設定例集 / RT's FAQ / マニュアル ]