LoginSignup
1
0

フレッツ光クロスでIPsecVPNを使用する。

Last updated at Posted at 2023-08-30

仕事場の回線をフレッツ光クロスにしたが利用可能ポートが標準では16ポートx15ブロックでしかもランダム(!)なのでそのままではIPSecなどポートを任意に設定出来ないものについては接続が困難であった。
またNTTレンタル品のXG-100NEは最低限の機能しかなく10Gbを活かせるルータとしてはYamaha RTX1300ぐらいしか選択肢がなかった(そのRTX1300も業務仕様とはお世辞にも言えない)

そこで以下のような対策をとってみた。
・IPv4 over IPv6サービスのうち固定IPv4を取得する(固定IPを取得する事でポートの制約がなくなる)
・XG-100NEの配下にFortigate FG-60Dを設置しVPNサーバ専用とする
・XG-100NEにはWANx1 + LANx1の2ポートしか2.5/5/10Gbのインターフェースしかないため10GbのL2スイッチ(Netgear XS-708E)を間にいれる
・クライアントPCで10Gbを持っているものを所持していない為、検証用のサーバ(VMware vSphere環境下)にWindows Server2022を使用した。

構成
image.png

・発熱が多く信頼性も疑問なのでXG-100NEはインターネットGWとしての機能のみ持たせる
・FG-60DはVPNサーバの機能のみでUTMとしては利用していない
・10Gb-NIC搭載サーバはホスト1台のみなので検証に必要な仮想サーバは1つのホストにまとめた。
・原則的に冗長化はLACPとしたが将来的には余っているC2960をHA化しWi-Fi APを2台にして無線で冗長化をしたい

注意点
・XG-100NEのIPv4固定IPの設定は https://[XG-100NEのIP]:8888/t/ という隠しコマンドのようなURLです。
この画面のIPv4設定を選択します。
image.png
高度な設定を選択し一番下に取得した固定IPv4アドレスを入力します(DHCPで取得しているものとは異なります)
image.png

Topに戻ると利用可能ポートが0-65535になっているはずです(上記設定前は悲しいポート制限がされています)
image.png

次に静的NATPでVPNに必要なポートはFG-60Dに振り分ければOKです。
image.png

今回はFG-60Dの設定内容なUTMについては触れていません。

しかし10Gbの業務用ルータっていつになれば手が届くのですかね・・
グローバルなモデルの機器だとIPv4 over IPv6への対応が絶望的ですので。

もっとも一番むかつくのは固定IPの設定方法が事実上、隠されている事だと思います。
おかげでXG-100NEではポート開放は不可能とまで言うサイトまでありますので。
機械類や設定を考えるとNuroBizなどが楽ですがお値段がですね・・
Bizでなければ安いけど結局は光クロス同様に多段ルータにする事になるかと思います。

一応速度計測をしてみました。
image.png
意外とやらかすのは仮想マシンのNICはE1000にすると上限1GbになるのでVMXNET3やパススルーを使いましょう。

VPNに関しては対応側の問題とFG-60Dが1GbのI/Fしか持たないため割愛します。

機材が揃わないと10Gbの恩恵はセキュリティを緩めないと難しいですね。
・HGWに相当する部分の選択肢が非常に少ない(LAGも組めないしI/Fが最低限しかない)
・2.5/5/10Gbに対応するスイッチが高価である
・Wi-Fiは11axにXG-100NEは対応しているが設定内容が実用にならない・・
・セキュリティがゼロトラスト構想でもしないと担保出来ない(10Gb UTMなんて買えないw)

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
0