導入
YAMAHA ルータの RTX1220 や RTX830 を用いた拠点間 VPN 接続のの設定はよくあるケースで、CATV インターネットの拠点との VPN 接続の例も公式の設定例が掲載されています。
https://network.yamaha.com/setting/router_firewall/vpn/multi_function/internet_vpn-rtx5000
一方で、業務で利用する Web サービスの接続が本社 IP 経由に絞られてたり、本社にのみ UTM 等によるセキュリティ強化がなされており、子拠点からのインターネット接続を親拠点経由にしたいというケースもあるあるながら、次のように CATV 拠点を本社経由のインターネット接続する設定例というのは見当たりません。
今回はこの構成例を実現する設定例をご紹介します。
設定例
ポイントは子拠点側のデフォルトルートと親子拠点間のルーティングの設定です。
今回の前提条件
- 親拠点の WAN 側は
LAN2を利用し、PPPoE 接続で固定 IP (118.xxx.xxx.xxx) - 子拠点の WAN 側は
LAN2を利用し、CATV 接続で DHCP でグローバルアドレスが払い出される - 拠点間のインターネット VPN は IPsec
- 親拠点の子拠点向けの tunnel は
1 - 親拠点の子拠点向けの tunnel は
1
- 親拠点の子拠点向けの tunnel は
-
${pre-shared-key}や${key-id}をそれぞれ決めて設定
親拠点の設定
ポイント部分だけの抜粋です。
# WAN 側の 固定 IP の設定
ip lan2 address 118.xxx.xxx.xxx/26
# 子拠点向けのルーティング
ip route 192.168.10.0/24 gateway tunnel 1
# 子拠点向けの IPsec 接続設定
tunnel select 1
description tunnel "to child"
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ${pre-shared-key}
ipsec ike remote address 1 any
ipsec ike remote name 1 ${key-id} key-id
ip tunnel tcp mss limit auto
tunnel enable 1
子拠点の設定
こちらもポイント部分だけの抜粋です。
# WAN 側の DHCP の設定
ip lan2 address dhcp
# デフォルトルートの設定 - 本社接続の VPN にする
ip route default gateway tunnel 1
# 親拠点 IP と 子拠点のルーティング
ip route 118.xxx.xxx.xxx gateway dhcp lan2
# 親拠点向けの IPsec 接続設定
tunnel select 1
description tunnel "to parent"
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 10 6
ipsec ike local address 1 192.168.10.1
ipsec ike local name 1 ${key-id} key-id
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text ${pre-shared-key}
ipsec ike remote address 1 118.xxx.xxx.xxx
ip tunnel tcp mss limit auto
tunnel enable 1
結び
設定例がネットに見当たらず多少試行錯誤したので、備忘録的にまとめました。
YAMAHA は Netvolante あるので、今回の設定で key-id 使った部分は Netvolante 使った方が素直だったかもしれません。あとは、CATV 接続側が親になってもやはり Netvolante 使えば設定は容易そうです。