情報通信機器 運用 保守 管理

ALSOK VPN IPsecパススルー

ALSOK VPN IPsecパススルー

新しく事務所を開設されたお客様よりご連絡。

『セキュリティにALSOKを導入したのですが、設定が上手くできないようなので電話で相談に乗っていただいても良いでしょうか?』

最近では、セコムやALSOKなどセキュリティ会社の端末機器がインターネットに接続され、事案発生時には本社サーバーへ通知するようになっていることを何となく知っていましたから先方の担当者へ替わっていただきます。

担当者
『Routerのポートフォワーディングを設定したのですが、正常に動作しないようです。』


『設定したポートは何番でしょうか?』

担当者
『UDPの500と4500です。』


『(どこかで聞いた番号だなと思いながら)では、リモートで接続してRouterの設定画面を確認してみましょう。』

RouterはIO-DATAのWN-G300TVGRになり、お客様の方で用意していただいたものです。
リモートで設定画面を確認しましたが、設定自体は正常にされているようです。
昔のRouterにはポートフォワードの設定をしても正常に動作しないものもありましたが、最近の機種ですからそちらの可能性は後回しにします。

ただ、それ以前に担当者とのやりとりの中でいくつか気になることがあります。

ポートフォワードを使用して端末と本社間でセッションを張ると言うことは、端末側がサーバーになるような気がしますが、むしろ事案発生時には端末から本社へセッションを貼るのではないでしょうか?

お客様のインターネット光回線は一般的なものであり、動的グローバルIPアドレスが払い出されますが、外部から端末を特定するようなシステムになっているのでしょうか?
※監視カメラのシステムにはDDNSを使用して外部から機器を特定するものがあります。

この辺りの事を確認したいのですが、担当者の方もネットワークが専門ではありませんから難しい面があります。そんなやりとりの中、お客様の都合もあり当日は時間切れとなったので改めて後日対応することにしました。

その後も、担当者の方から連絡をいただき、他所ではDMZの設定をして設定できているケースがあるなどの情報をいただきましたが、前回の疑問点のこともあり、現地で確認した方が間違いないとの判断から訪問することにします。

訪問当日、電話でやりとりした方とは別の数名の担当者が見えましたので改めて確認します。

そして、その中で1人の方が、『この機器からVPNが……』

私『VPNですか?』

担当者『VPNです。』

先の電話で言っていた、UDPの500と4500、そしてVPNの言葉で理解できました。この端末はIPsecにより本社とセッションを張るのです。という言うことはRouterの設定はポートフォワード・DMZは関係なく、IPsecパススルーを有効にする必要があります。

RouterのIPsecパススルーを有効にした瞬間、問題なく端末と本社の通信が開始されたようです。

以前にも、通信キャリアのフェムトセルがpppoeパススルーでセンターとセッションを貼るケースがありましたが、このような機器が増えてくるとRouterの各パススルー設定もデフォルト値で有効になっている方が良いのかも知れません。

画像の説明

powered by HAIK 7.0.2
based on PukiWiki 1.4.7 License is GPL. HAIK

最新の更新 RSS  Valid XHTML 1.0 Transitional