- PR -

Ipsecによる拠点間接続&インターネット接続について

1
投稿者投稿内容
ちかやす
常連さん
会議室デビュー日: 2002/06/13
投稿数: 46
投稿日時: 2005-06-08 14:39
お世話になります。
RTX1100を使用して本社−拠点間をipsecで接続する構成を作成しています。

すべての拠点が固定IPを持っています、接続回線はBフレッツ、トポロジは
スター型です。
拠点からはインターネット接続は許可せず、本社に別のRTX1100をおき、そこから
インターネットに抜ける設定を想定しています。

ルータの構成は下記のようになっています。

本社ルータ(VPN)     192.168.1.254
本社ルータ(インターネット) 192.168.1.253 DHCP ON 192.168.1.1-200

拠点ルータ(VPN)     192.168.2.254 DHCP ON 192.168.2.1-200

上記の構成で

拠点PC--拠点ルーターーIPSEC--本社ルータ(VPN)--本社ルータ(NET)→外へ

という構成を作成したいのですが
@拠点−本社のIpsec接続はできる
A拠点からインターネットに抜けられない

という状況になっております。拠点から本社ルータ(インターネット)までは
PINGがとおります。LAN外のアドレスで指定するとだんまりになってしまう
のです。

Ipsecの設定から
ip pp default gateway pp1

という設定をはずすとIpsecが確立できず、外向きのパケットを
本社ルータ(インターネット)にふれないのかな?と想像して
おります。

本社ルータ(インターネット)には拠点のルータに振り戻す
設定はしてあります。

ip route 192.168.2.0/24 gateway 192.168.1.254

ご指導お願いいたします・・・・

綾瀬
ぬし
会議室デビュー日: 2002/07/31
投稿数: 393
お住まい・勤務地: どっちも3階
投稿日時: 2005-06-08 15:17
こんにちは。

私はRTX触ったこと無いのであまり助言できないのですが、とりあえず設定内容を
提示してもらわないことには誰も手助けできない気がします。
繋がりません、どうしたら良いですか?とだけ言われても、誰もあなたの
設定した機器の環境なんて知らないんですから助言できませんよ。

引用:

Ipsecの設定から
ip pp default gateway pp1

という設定をはずすとIpsecが確立できず、外向きのパケットを
本社ルータ(インターネット)にふれないのかな?と想像して
おります。

これは本社のVPN用ルータに設定してあるということでしょうか。
インターネットに向けたいならdefaultは192.168.1.253にするべきだと思いますが。
その上で192.168.2.0/24をtunnelインターフェイスに向ければ良さそうな気がします。
(#拠点ルータのグローバルIPに対してはppから出るようなrouteも必要かも)
まえせん
常連さん
会議室デビュー日: 2003/11/13
投稿数: 38
投稿日時: 2005-06-08 16:11
引用:

Ipsecの設定から
ip pp default gateway pp1

という設定をはずすとIpsecが確立できず、外向きのパケットを
本社ルータ(インターネット)にふれないのかな?と想像して
おります。

当然ですね。これをはずしたらインターネット側に行く路がなくなりますよね。

綾瀬さんもおっしゃっているように、設定内容が部分的にしか無いので推測ですが、本社のルータで
ip pp default gateway pp1

ip route yyy.yyy.yyy.yyy gateway pp 1
ip route default gateway 192.168.1.253
にすれば行きそうな気がしますが。
(yyy.yyy.yyy.yyyは拠点ルータのグローバルIP)

YAMAHAのホームページでppとtunnelとLANの関係についての説明を読むとよいでしょう。



[ メッセージ編集済み 編集者: まえせん 編集日時 2005-06-08 17:56 ]
ちかやす
常連さん
会議室デビュー日: 2002/06/13
投稿数: 46
投稿日時: 2005-06-08 16:29
まえせんさま

すごい、確かにこれならいけます・・・これがぜんぜん思いつかなくて
「ローカル以外って書ければいけるのになぁ」
とばかり考えていました。一こずつ指定すればいいんですよね。

ありがとうございました。

あと、設定を記載しないのはやはり失礼ですね。
こういう質問の場合サーバ(LINUX)なら設定を
書くのですがあまりに秘匿事項が多いので
それを消してしまうとはたしてお見せする意味が
あるのかな?と思いましたので。

気をつけます、申し訳ありませんでした




綾瀬
ぬし
会議室デビュー日: 2002/07/31
投稿数: 393
お住まい・勤務地: どっちも3階
投稿日時: 2005-06-08 17:12
1点だけ気になったのですが。
引用:

まえせんさんの書き込み (2005-06-08 16:11) より:
ip route 192.168.2.0/24 gateway 192.168.1.254

ip route 192.168.2.0/24 gateway tunnel 1
のほうがより美しいかな。

ここはちょっと誤解がありそう?と言うのは

引用:

ちかやすさんの書き込み (2005-06-08 14:39) より:
本社ルータ(インターネット)には拠点のルータに振り戻す
設定はしてあります。
ip route 192.168.2.0/24 gateway 192.168.1.254

という文章から、たぶんこのルーティングはインターネット用ルータに設定しているものですよね?
なので、これはそのまま合ってるはずです。

ip route 192.168.2.0/24 gateway tunnel 1は本社VPNルータに必要なものなので
インターネット用ルータにこれ書かないように気をつけてくださいね。
まえせん
常連さん
会議室デビュー日: 2003/11/13
投稿数: 38
投稿日時: 2005-06-08 17:37
引用:

という文章から、たぶんこのルーティングはインターネット用ルータに設定しているものですよね?
なので、これはそのまま合ってるはずです。

ip route 192.168.2.0/24 gateway tunnel 1は本社VPNルータに必要なものなので
インターネット用ルータにこれ書かないように気をつけてくださいね。

あ、ごめんなさい本社VPNルータの設定と思い込んでいました。
よく見て回答しないといけないですね。
綾瀬さんご指摘ありがとうございました。
ちかやす
常連さん
会議室デビュー日: 2002/06/13
投稿数: 46
投稿日時: 2005-06-09 00:07
みなさま、ご返信ありがとうございます。

ご指摘の通りインターネット接続用のルータは別のルータです。
今日本社の設定をしました。明日拠点から確認してみます。

ありがとうございます。
1

スキルアップ/キャリアアップ(JOB@IT)