情報通信機器 運用 保守 管理

VPN構築 AR260S V2

VPN構築 AR260S V2

従来から拠点間でリモートによるソフト運用・ファイル転送をおこなっている得意先よりご相談。

 『拠点数が増えたのでクライアントPCの台数も増え、リモート接続に拠点間の調整が必要な場合がでてきた。』『リモートでしか対応しないアプリは仕方ないが、Excelや画像を開いているときに描画が追従しなくてストレスに感じることがある。』

 こちらの得意先では、数年前から本社で稼働している販売管理ソフトを拠点からも利用できるようにリモート環境を構築運用してきましたが、近年では本社ファイルサーバーのExcelデータを直接編集したり、リモートソフトのファイル転送機能を利用して拠点間のファイルのやり取りをおこなうなど、運用形態が変化してきました。

 現状、拠点のクライアント数に対してリモート用PCが少ないので、これを増やして対応することも可能ですが、リモートPCはNATを越えられない販売管理ソフト用にそのまま残し、本社ー拠点間のファイルのやり取りにはVPNを導入することにします。

 接続するクライアントの台数、拠点数から機種はアライドテレシスのAR260S V2として、これを本社*1・拠点*5へ設置します。

 ファイルのやり取りは全て拠点から本社ファイルサーバーへ向き、本社から拠点を見にいくことはありません。また拠点間の接続は必要ないので、本社ー拠点間(1対1)の接続(トンネル)を複数張る形になります。

 そして、元々リモート用にDDNSを利用していますから、できればこれをそのまま利用できるようにします。

 メーカー設定資料では下記構築事例が一番近いのでこちらを参考にします。
http://www.allied-telesis.co.jp/support/list/router/ar260sv2/comref/3.3.2/cfg-5.html
※この設定による固定IPアドレスがDDNSを利用したドメインになります。

 事前準備として、拠点毎のPPPOEアカウントを確認します。また、現在稼働しているRouter(※主にNTTなどが契約時に設置)配下にVPN-Routerを設置するので現Routerの設定画面を開きPPPOEパススルーを可能とします。

 過去にはNTT光プレミアムのCTUがPPPOEパススルーに対応していないこともありましたが、これも2006年頃には解消していますから、現在ではPPPOEパススルーができないRouterは無いと思います。

 つぎに、今までは拠点が違っても相互に接続していないので同一のサブネットでも問題ありませんでしたが、VPNによる接続をおこなう結果、拠点毎に異なるサブネットを採用した資料を作成します。拠点クライアントPCのIPアドレスはDHCPから払い出しで良いですが、プリンタ・複合機などはIPアドレスを固定しているのでVPN導入後に変更する必要があります。

事前準備が完了したら、VPN-Routerの設定と接続テストをおこないます。
設定は基本的にメーカー資料通りおこないますが、補足として、


VPN接続設定のポリシー名は本社・拠点で同一にする必要はありません。方向が分かりやすいよう、本社側のポリシー名はfrom_***とし、拠点側のポリシー名は***_to_hとします。
画像の説明


拠点側リモートゲートウェイの種類をFQDNにし、FQDN名には本社がDDNSで取得したドメイン名を設定します。

IKE設定の事前共有鍵(PSK)とFQDNでVPN接続が確立します。ここにあるフェーズ1ローカルID・リモートIDのFQDNは任意の文字列であり、本社-拠点1用にはVPN1、本社-拠点2用にはVPN2…と言うように設定します。※FQDNとなっていますが、接続用IDのようなものであり、ドメインで使用するFQDNとは関係ありません。
画像の説明


本社側ダイナミックDNS設定へドメイン名を入力していますが、メーカーがサポートしているのはDynDNS(dyn.com)となっており、得意先で取得しているのはieserverのドメイン名です。VPNーRouterのDDNS更新機能が有効に働くか不明ですが、元々リモート用サーバーでdiceによるDDNS更新設定をおこなっていますからVPN-Routerで更新されなくても問題ないと考えます。
画像の説明

 機器設置後にグローバルIP更新によるトラブルが発生するようであれば、本社側に固定IPの導入を検討しますが、過去数年、DDNSを使用したリモートサーバーの運用に問題が発生していないのでこれは事後対応とします。

powered by HAIK 7.0.2
based on PukiWiki 1.4.7 License is GPL. HAIK

最新の更新 RSS  Valid XHTML 1.0 Transitional