仕事場の回線をフレッツ光クロスにしたが利用可能ポートが標準では16ポートx15ブロックでしかもランダム(!)なのでそのままではIPSecなどポートを任意に設定出来ないものについては接続が困難であった。
またNTTレンタル品のXG-100NEは最低限の機能しかなく10Gbを活かせるルータとしてはYamaha RTX1300ぐらいしか選択肢がなかった(そのRTX1300も業務仕様とはお世辞にも言えない)
そこで以下のような対策をとってみた。
・IPv4 over IPv6サービスのうち固定IPv4を取得する(固定IPを取得する事でポートの制約がなくなる)
・XG-100NEの配下にFortigate FG-60Dを設置しVPNサーバ専用とする
・XG-100NEにはWANx1 + LANx1の2ポートしか2.5/5/10Gbのインターフェースしかないため10GbのL2スイッチ(Netgear XS-708E)を間にいれる
・クライアントPCで10Gbを持っているものを所持していない為、検証用のサーバ(VMware vSphere環境下)にWindows Server2022を使用した。
構成
・発熱が多く信頼性も疑問なのでXG-100NEはインターネットGWとしての機能のみ持たせる
・FG-60DはVPNサーバの機能のみでUTMとしては利用していない
・10Gb-NIC搭載サーバはホスト1台のみなので検証に必要な仮想サーバは1つのホストにまとめた。
・原則的に冗長化はLACPとしたが将来的には余っているC2960をHA化しWi-Fi APを2台にして無線で冗長化をしたい
注意点
・XG-100NEのIPv4固定IPの設定は https://[XG-100NEのIP]:8888/t/ という隠しコマンドのようなURLです。
この画面のIPv4設定を選択します。
高度な設定を選択し一番下に取得した固定IPv4アドレスを入力します(DHCPで取得しているものとは異なります)
Topに戻ると利用可能ポートが0-65535になっているはずです(上記設定前は悲しいポート制限がされています)
次に静的NATPでVPNに必要なポートはFG-60Dに振り分ければOKです。
今回はFG-60Dの設定内容なUTMについては触れていません。
しかし10Gbの業務用ルータっていつになれば手が届くのですかね・・
グローバルなモデルの機器だとIPv4 over IPv6への対応が絶望的ですので。
もっとも一番むかつくのは固定IPの設定方法が事実上、隠されている事だと思います。
おかげでXG-100NEではポート開放は不可能とまで言うサイトまでありますので。
機械類や設定を考えるとNuroBizなどが楽ですがお値段がですね・・
Bizでなければ安いけど結局は光クロス同様に多段ルータにする事になるかと思います。
一応速度計測をしてみました。
意外とやらかすのは仮想マシンのNICはE1000にすると上限1GbになるのでVMXNET3やパススルーを使いましょう。
VPNに関しては対応側の問題とFG-60Dが1GbのI/Fしか持たないため割愛します。
機材が揃わないと10Gbの恩恵はセキュリティを緩めないと難しいですね。
・HGWに相当する部分の選択肢が非常に少ない(LAGも組めないしI/Fが最低限しかない)
・2.5/5/10Gbに対応するスイッチが高価である
・Wi-Fiは11axにXG-100NEは対応しているが設定内容が実用にならない・・
・セキュリティがゼロトラスト構想でもしないと担保出来ない(10Gb UTMなんて買えないw)