1. 概要

本製品にはIKEv2を用いた拠点間VPN接続機能が搭載されています。
本ドキュメントでは、本製品におけるIKEv2を用いた拠点間VPNのセットアップ方法について説明します。

2. 注意事項

  • NWR100では、拠点間VPNを 1接続 まで利用することが可能です。

  • 拠点間VPNの設定を行う場合は、IPv4またはIPv6のいずれかのプロバイダー接続が設定されている必要があります。

  • IPv4 over IPv6(MAP-E、DS-Lite等)で、複数のユーザーがIPアドレスを共有する方式の回線では、ポートの制限により拠点間VPNを利用できません。

  • IPv4 over IPv6の回線であっても、各ユーザーに個別のIPアドレスが割り当てられている場合は、拠点間VPNは利用可能ですが、拠点間VPNの設定後、IPv4 over IPv6インターフェースの 受信方向 に以下のパケットを通過させるIPフィルターを適用してください。

    プロトコル 送信元IPアドレス 送信元ポート番号 宛先IPアドレス 宛先ポート番号

    UDP

    すべてのIPアドレス

    すべてのポート番号

    すべてのIPアドレス

    500

    UDP

    すべてのIPアドレス

    すべてのポート番号

    すべてのIPアドレス

    4500

    ESP

    すべてのIPアドレス

    -

    すべてのIPアドレス

    -

  • NWR100をレスポンダーとして使用する構成では、レスポンダー側の外部回線でIPv4 over IPv6を利用することはできません。

  • 拠点間VPNのトンネルが確立されているとき、拠点間VPNまたはリモートアクセスVPNの設定を変更すると、接続が一時的に切断される可能性があります。

3. 対応ファームウェアリビジョン

モデル ファームウェア

NWR100

Rev.26.00.08以降

4. サポート構成

  • NWR100の拠点間VPNは、以下の構成での利用をサポートします。

    イニシエーター レスポンダー

    NWR100

    NWR100

    NWR100

    ヤマハルーター(RTXシリーズ、NVRシリーズ)

NWR100をレスポンダーとして使用する場合、外部回線に関する制限については、 注意事項 を参照してください。

5. WEB GUIによる設定

5.1. トップページ

  1. Web GUIの [VPN] - [拠点間接続] ページを開きます。

    [VPN] - [拠点間接続] ページ
    [VPN] - [拠点間接続] ページ
    拠点間VPNの設定を行うためには、先にプロバイダー接続の設定を完了させておく必要があります。
    プロバイダー設定がない場合
    プロバイダー設定がない場合
  2. [設定]ボタンから設定画面に遷移します。

5.2. IPsec/IKEv2の設定

[VPN] - [拠点間接続]IPsec/IKEv2の設定
[VPN] - [拠点間接続]IPsec/IKEv2の設定
  1. NWR100では、IPsec/IKEv2による拠点間VPNを利用する際に、イニシエーターまたはレスポンダーのいずれかを選択します。

    選択項目 説明

    自分側から接続を始動する(イニシエーター)

    自らIKEv2によるネゴシエーションを開始します。

    別の機器からの接続を待つ(レスポンダー)

    イニシエーターからのIKEv2ネゴシエーションを待ち受けます。
    自らIKEv2によるネゴシエーションは開始しません。

    イニシエーターとレスポンダーのどちらを選ぶかによって、同ページの自分側の情報と接続先の情報で入力する値の利用方法が変わります。

  2. 自分側の情報を入力します。

    項目名 説明

    設定名

    トンネル名を設定します。省略可能です。

    自分側のID
    (イニシエーターを選択している場合)

    IKEv2ネゴシエーション時の認証IDとして使用します。

    利用可能な値は以下のとおりです。

    利用可能な条件

    LANアドレス

    常時

    IPv4プロバイダーから割り当てられたIPアドレス

    IPv4プロバイダーが設定されている場合

    IPv6プロバイダー設定時に割り当てられたIPアドレス

    IPv6 IPoEまたはIPv6 PPPoEの設定時

    ネットボランチDNSのホスト名

    IPv4プロバイダーが設定されており、ネットボランチDNSの登録が完了している場合

    任意の文字列

    常時

    ホスト名またはIPアドレス/自分側のID
    (レスポンダーを選択している場合)

    IKEv2のネゴシエーションを待ち受けるインターフェースのIPアドレスと認証IDとして使用します。

    利用可能な値は以下のとおりです。

    利用可能な条件

    IPv4プロバイダーから割り当てられたIPアドレス

    IPv4プロバイダーが設定されている場合

    IPv6プロバイダー設定時に割り当てられたIPアドレス

    IPv6 IPoEまたはIPv6 PPPoEの設定時

    ネットボランチDNSのホスト名

    IPv4プロバイダーが設定されており、ネットボランチDNSの登録が完了している場合

  3. 接続先の情報を入力します。

    項目名 説明

    ホスト名またはIPアドレス/接続先のID
    (イニシエーターを選択している場合)

    接続先を指定します。IPアドレスやネットボランチDNSのホスト名などを指定します。

    接続先のID
    (レスポンダーを選択している場合)

    イニシエーター側の認証IDを指定します。

  4. 接続先と事前に取り決めた認証鍵として使用する文字列を入力します。

  5. [次へ]ボタンを押下し、経路設定の画面に遷移します。

5.3. 経路の設定

[VPN] - [拠点間接続]経路の設定
[VPN] - [拠点間接続]経路の設定
  1. NWR100のLAN配下にある端末から送信されるパケットのうち、どの宛先への通信をVPNトンネル経由とするかを設定します。

    選択項目 説明

    すべて

    全通信が暗号化されます。

    特定のネットワーク宛のみ

    特定のネットワークに対してのみVPNを経由し、それ以外の通信はVPNを経由せず、直接WAN(インターネット)へ送信されます。指定できるネットワークは 最大10個 です。

  2. [次へ]ボタンを押下し、入力内容の確認画面に遷移します。

5.4. 入力内容の確認

[VPN] - [拠点間接続]入力内容の確認
[VPN] - [拠点間接続]入力内容の確認
  1. 入力内容に間違いがないかを確認し、[設定の確認]ボタンを押下して設定を保存します。

6. 設定例

6.1. NWR100を2台使用してLAN間通信にVPNを利用する

6.1.1. ネットワーク構成

  • 設定例に使用するNWR100のIPアドレスは以下のようになっていることとします。

    NWR100(イニシエーター) NWR100(レスポンダー)

    LANネットワーク

    192.168.100.0/24

    192.168.101.0/24

    WAN側のIPアドレス

    203.0.113.1

    203.0.113.2

6.1.2. 設定内容

NWR100(イニシエーター) NWR100(レスポンダー)

自分側の情報

192.168.100.1

203.0.113.2

接続先の情報

203.0.113.2

192.168.100.1

認証鍵

nwr100-example-key

nwr100-example-key

経路の設定

192.168.101.0/24

192.168.100.0/24

6.2. NWR100とRTXシリーズルーターで拠点間接続(フルトンネリング)を利用する

NWR100とRTXシリーズルーター間で拠点間VPNを利用する場合は、NWR100をイニシエーター、RTXシリーズルーターをレスポンダーとして利用してください。

6.2.1. ネットワーク構成

  • 設定例に使用するNWR100とRTXシリーズルーターは以下のようになっていることとします。

    NWR100(イニシエーター) RTXシリーズルーター(レスポンダー)

    LANネットワーク

    192.168.100.0/24

    192.168.101.0/24

    WAN側のIPアドレス

    203.0.113.1

    203.0.113.2

6.2.2. 設定内容

NWR100(イニシエーター) RTXシリーズルーター(レスポンダー)

自分側の情報

192.168.100.1

ipsec ike local address 1 203.0.113.2
ipsec ike local name 1 203.0.113.2 ipv4-addr

接続先の情報

203.0.113.2

ipsec ike remote address 1 any
ipsec ike remote name 1 192.168.100.1 ipv4-addr

認証鍵

nwr100-example-key

ipsec ike pre-shared-key 1 text nwr100-example-key

経路の設定

すべて

ip route default gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1

ipsec ike remote address any にすることで、RTX側がレスポンダーとして動作することを明示しています。
イニシエーターの認証は、 ipsec ike remote name コマンドで行います。

NWR100(イニシエーター)で自分側のIDに任意の文字列を使用し、RTXの
ipsec ike remote name コマンドでタイプに key-id を指定している場合、認証に失敗することがあります。
その場合は、RTX側のタイプを fqdn に変更してください。