拠点間VPN
1. 概要
本製品にはIKEv2を用いた拠点間VPN接続機能が搭載されています。
本ドキュメントでは、本製品におけるIKEv2を用いた拠点間VPNのセットアップ方法について説明します。
2. 注意事項
-
NWR100では、拠点間VPNを 1接続 まで利用することが可能です。
-
拠点間VPNの設定を行う場合は、IPv4またはIPv6のいずれかのプロバイダー接続が設定されている必要があります。
-
IPv4 over IPv6(MAP-E、DS-Lite等)で、複数のユーザーがIPアドレスを共有する方式の回線では、ポートの制限により拠点間VPNを利用できません。
-
IPv4 over IPv6の回線であっても、各ユーザーに個別のIPアドレスが割り当てられている場合は、拠点間VPNは利用可能ですが、拠点間VPNの設定後、IPv4 over IPv6インターフェースの 受信方向 に以下のパケットを通過させるIPフィルターを適用してください。
プロトコル 送信元IPアドレス 送信元ポート番号 宛先IPアドレス 宛先ポート番号 UDP
すべてのIPアドレス
すべてのポート番号
すべてのIPアドレス
500
UDP
すべてのIPアドレス
すべてのポート番号
すべてのIPアドレス
4500
ESP
すべてのIPアドレス
-
すべてのIPアドレス
-
-
NWR100をレスポンダーとして使用する構成では、レスポンダー側の外部回線でIPv4 over IPv6を利用することはできません。
-
拠点間VPNのトンネルが確立されているとき、拠点間VPNまたはリモートアクセスVPNの設定を変更すると、接続が一時的に切断される可能性があります。
3. 対応ファームウェアリビジョン
| モデル | ファームウェア |
|---|---|
|
NWR100 |
Rev.26.00.08以降 |
4. サポート構成
-
NWR100の拠点間VPNは、以下の構成での利用をサポートします。
イニシエーター レスポンダー NWR100
NWR100
NWR100
ヤマハルーター(RTXシリーズ、NVRシリーズ)
|
NWR100をレスポンダーとして使用する場合、外部回線に関する制限については、 注意事項 を参照してください。 |
5. WEB GUIによる設定
5.1. トップページ
-
Web GUIの [VPN] - [拠点間接続] ページを開きます。
[VPN] - [拠点間接続] ページ拠点間VPNの設定を行うためには、先にプロバイダー接続の設定を完了させておく必要があります。
プロバイダー設定がない場合 -
[設定]ボタンから設定画面に遷移します。
5.2. IPsec/IKEv2の設定
-
NWR100では、IPsec/IKEv2による拠点間VPNを利用する際に、イニシエーターまたはレスポンダーのいずれかを選択します。
選択項目 説明 自分側から接続を始動する(イニシエーター)
自らIKEv2によるネゴシエーションを開始します。
別の機器からの接続を待つ(レスポンダー)
イニシエーターからのIKEv2ネゴシエーションを待ち受けます。
自らIKEv2によるネゴシエーションは開始しません。イニシエーターとレスポンダーのどちらを選ぶかによって、同ページの自分側の情報と接続先の情報で入力する値の利用方法が変わります。
-
自分側の情報を入力します。
項目名 説明 設定名
トンネル名を設定します。省略可能です。
自分側のID
(イニシエーターを選択している場合)IKEv2ネゴシエーション時の認証IDとして使用します。
利用可能な値は以下のとおりです。
値 利用可能な条件 LANアドレス
常時
IPv4プロバイダーから割り当てられたIPアドレス
IPv4プロバイダーが設定されている場合
IPv6プロバイダー設定時に割り当てられたIPアドレス
IPv6 IPoEまたはIPv6 PPPoEの設定時
ネットボランチDNSのホスト名
IPv4プロバイダーが設定されており、ネットボランチDNSの登録が完了している場合
任意の文字列
常時
ホスト名またはIPアドレス/自分側のID
(レスポンダーを選択している場合)IKEv2のネゴシエーションを待ち受けるインターフェースのIPアドレスと認証IDとして使用します。
利用可能な値は以下のとおりです。
値 利用可能な条件 IPv4プロバイダーから割り当てられたIPアドレス
IPv4プロバイダーが設定されている場合
IPv6プロバイダー設定時に割り当てられたIPアドレス
IPv6 IPoEまたはIPv6 PPPoEの設定時
ネットボランチDNSのホスト名
IPv4プロバイダーが設定されており、ネットボランチDNSの登録が完了している場合
-
接続先の情報を入力します。
項目名 説明 ホスト名またはIPアドレス/接続先のID
(イニシエーターを選択している場合)接続先を指定します。IPアドレスやネットボランチDNSのホスト名などを指定します。
接続先のID
(レスポンダーを選択している場合)イニシエーター側の認証IDを指定します。
-
接続先と事前に取り決めた認証鍵として使用する文字列を入力します。
-
[次へ]ボタンを押下し、経路設定の画面に遷移します。
5.3. 経路の設定
-
NWR100のLAN配下にある端末から送信されるパケットのうち、どの宛先への通信をVPNトンネル経由とするかを設定します。
選択項目 説明 すべて
全通信が暗号化されます。
特定のネットワーク宛のみ
特定のネットワークに対してのみVPNを経由し、それ以外の通信はVPNを経由せず、直接WAN(インターネット)へ送信されます。指定できるネットワークは 最大10個 です。
-
[次へ]ボタンを押下し、入力内容の確認画面に遷移します。
6. 設定例
6.1. NWR100を2台使用してLAN間通信にVPNを利用する
6.1.1. ネットワーク構成
-
設定例に使用するNWR100のIPアドレスは以下のようになっていることとします。
NWR100(イニシエーター) NWR100(レスポンダー) LANネットワーク
192.168.100.0/24
192.168.101.0/24
WAN側のIPアドレス
203.0.113.1
203.0.113.2
6.1.2. 設定内容
| NWR100(イニシエーター) | NWR100(レスポンダー) | |
|---|---|---|
|
自分側の情報 |
192.168.100.1 |
203.0.113.2 |
|
接続先の情報 |
203.0.113.2 |
192.168.100.1 |
|
認証鍵 |
nwr100-example-key |
nwr100-example-key |
|
経路の設定 |
192.168.101.0/24 |
192.168.100.0/24 |
6.2. NWR100とRTXシリーズルーターで拠点間接続(フルトンネリング)を利用する
|
NWR100とRTXシリーズルーター間で拠点間VPNを利用する場合は、NWR100をイニシエーター、RTXシリーズルーターをレスポンダーとして利用してください。 |
6.2.1. ネットワーク構成
-
設定例に使用するNWR100とRTXシリーズルーターは以下のようになっていることとします。
NWR100(イニシエーター) RTXシリーズルーター(レスポンダー) LANネットワーク
192.168.100.0/24
192.168.101.0/24
WAN側のIPアドレス
203.0.113.1
203.0.113.2
6.2.2. 設定内容
| NWR100(イニシエーター) | RTXシリーズルーター(レスポンダー) | |
|---|---|---|
|
自分側の情報 |
192.168.100.1 |
|
|
接続先の情報 |
203.0.113.2 |
|
|
認証鍵 |
nwr100-example-key |
|
|
経路の設定 |
すべて |
|
|
|
|
NWR100(イニシエーター)で自分側のIDに任意の文字列を使用し、RTXの
|