企業や拠点ネットワークでも「IPoE接続」が一般的になってきました。
特に、最近のクラウド化やリモートワークの普及で、通信量が増加が激しく、従来の接続方式「PPPoE接続」での遅延が顕著化してきている為、フレッツ回線を利用しているのであれば、「IPoE接続」を選択しない手はありません。
その「IPoE接続」を行う際に、使用するルーターと言えば「YAMAHA RTXシリーズ」です。
「YAMAHA RTXシリーズ」を利用して、IPoE(DS-Lite)接続手順を記事にしていますので、是非ご覧ください。
今回は、YAMAHA RTXシリーズを利用して拠点間VPNを構築し、
「インターネット接続を本社(センター)側へ集約する構成」を採用する場合を考えていきたいと思います。
というのも、今年(2026年)末には、「セキュリティ対策評価制度(SCS評価制度)」の運用が開始されると発表された事が関係します。
ささ企業では、運用開始前までに、社内ネットワーク構成の見直しを行い、星3を取得できるように、場合によっては構成し直す必要があります。
ちなみに、「セキュリティ対策評価制度(SCS評価制度)」で、星3を取得する必要性については記事にしていますので、是非ご覧ください。
ネットワーク構成の見直しを行った際、インターネットアクセスするポイントを、よりセキュアかつログ管理も出来るように、1つにまとめる事が必要になるケースがある為、今回の構成を検討となりました。
しかし実際に構築してみると、構成によって、「VPNが繋がらない」といった問題が発生してしまいました。
その為、IPoE環境でYAMAHA RTXルーターを利用したVPN構築を行った際、センター出し構成特有の注意点について、実体験を交えながら紹介していきたいと思います。
今回構築したネットワーク構成
今回構成したネットワーク環境は、以下のような構成です。
構成の説明
- 本社(センター拠点):
→ FortiGate+NURO回線 :本社+拠点からのインターネットアクセス用
→ YAMAHA RTX+IPoE回線固定IPサービス :拠点間VPN接続用 - 拠点:
→ YAMAHA RTX+IPoE回線動的IPサービス :拠点間VPN接続
いわゆる「インターネットセンター出し構成」です。
それぞれの拠点にあるYAMAHA RTXは拠点接続専用で、インターネットアクセスは、全てFortiGateのUTM機能を通してアクセスします。
この構成にする事で、
- セキュリティポリシー統一
- UTM機能集中管理
- インターネット出口の一元化
などのメリットがあり、管理負荷を減らして、セキュリティを保つ事が可能になります。
YAMAHA RTX 「インターネットセンター出し構成」設定
YAMAHA RTX「インターネットセンター出し構成」の設定は、本社・拠点ルーター共、以下の手順で実施しました。
① IPoE接続設定
最近のYAMAHA RTXシリーズは、ブラウザアクセスを行って設定する「GUI設定」が、かなり優秀です。
その為、基本的な設定は全てGUIで設定が可能です。
もちろん、今回実施するIPoE接続設定も、ブラウザで行うGUIで設定する方が、コンソール接続で行うCUIよりも、簡単で確実です。
設定方法については、本社のIPoE固定(IPIP方式)の手順を紹介したブログを以前公開していますので、そちらをご確認お願いいたします。本ブログでは、省略します。
② 拠点間VPN設定
本社と拠点のYAMAHA RTXで、それぞれインターネットが接続できましたら、次は「拠点間VPN」を接続していきます。
この拠点間VPN設定も、GUIで簡単に設定を行う事が出来ます。
設定手順(設定画面はRTX1210)
1.[かんたん設定] - [VPN] - [拠点間接続]から、「IPSec」を選択します。(本社・拠点共通)
2.IPSecの設定を入力します。本社、拠点で設定が異なります。
本社:ID・認証鍵・アルゴリズムを拠点側と合わせます
拠点:ID・認証鍵・アルゴリズムを本社側と合わせます。また接続先IPアドレスを入力します。
3.接続先のネットワークアドレスを入力します。
本社:拠点の場合は本社ネットワークアドレス(192.168.100.0)を入力します
以上で入力は完了、設定を確定すれば、拠点間VPN接続は完了し、疎通が出来る事が確認出来ます。
③ デフォルトルート設定変更
最後に、デフォルトルートの変更を行います。
具体的には、現在デフォルトルートは、YAMAHA RTXのWANポートに接続されているIPoEとなってますが、これを、以下のように変更します。
本社
デフォルトルートをFortiGate(192.168.100.254)に変更します。
また、IPSec接続用のパケットをIPoE側に流す為、フィルター型ルーティングを設定します。
ip route default gateway tunnel 1 filter 1 2 3 gateway 192.168.100.254
ip filter 1 pass * * udp * 500
ip filter 2 pass * * esp
ip filter 3 pass * * udp * 4500拠点
デフォルトルートを拠点間VPNトンネル(tunnel2)に変更します。
また、IPSec接続用のパケットをIPoE側に流す為、フィルター型ルーティングを設定します。
ip route default gateway tunnel 1 filter 1 2 3 gateway tunnel 2
ip filter 1 pass * * udp * 500
ip filter 2 pass * * esp
ip filter 3 pass * * udp * 4500以上で設定は完了ですが、上記設定を行うと、
繋がっていたはずの「拠点間VPN」が切断されてしまい、拠点からのインターネットも繋がらなくなってしまいました。
センター出し構成で発生した問題
先程の設定を行った事で、拠点間VPN接続が切断されてしまいました。
この原因の問題は、何になるのか?
原因は、拠点側のインターネット接続が「DS-Lite」の為
この問題の原因は、拠点側のインターネット接続が「IPoE動的IPサービス(DS-Lite)」の仕組みが影響していると分かり、今まで良く使われていた接続方式の「PPPoE」であれば、起こらなかった問題でした。
「DS-Lite」の仕組みについては、以前の記事でご紹介しているので、詳しくはそちらをご確認いただきたいのですが・・
「DS-Lite」は、YAMAHA RTXルーターでNATがかからず、NATをかけるのは事業者(VNE)のルーターになります。その為、想定していたIPsecポートが使用されず、本社YAMAHA RTXルーターで設定した、フィルター型ルーティングで設定したフィルターで引っかからず、VPN接続が出来なかったと思われます。
解決方法
本社側YAMAHA RTXルーターの、デフォルトルート設定を変更する事で、問題を解決する事が出来ました。
具体的には、発信ポートでフィルターを設定しました。
ip route default gateway tunnel 1 filter 1 2 3 gateway 192.168.100.254
ip filter 1 pass * * udp 500 *
ip filter 2 pass * * esp
ip filter 3 pass * * udp 4500 *その他の方法としては、拠点側の回線契約を、IPoE固定IPサービスにする事でも、問題を回避する事が可能です。
どちらかというと、固定IPサービスを利用する事を推奨します。
その他気を付ける事
今回使用する回線が「IPoE回線」なので、YAMAHA RTXルーターを接続すると、IPv6アドレスがクライアントでも利用可能になります。
今回ご紹介した設定は、IPv4アドレスに対しては有効で、「センター出し」構成(本社FortiGateを経由してインターネットアクセス)として動作しますが、IPv6アドレスでは「センター出し」動作しません。
全てのインターネットアクセスを「センター出し」とするのであれば、本社・拠点のYAMAHA RTXルーターのLANインターフェイスでIPv6を使用出来ないように設定する必要があります。
YAMAHA RTXルーターLAN1配下でipv6アドレスを使用させない設定
以下、コマンドを入力します(RA方式の場合)
no ipv6 prefix 1 ra-prefix@lan2::/64
no ipv6 lan1 rtadv send 1 o_flag=on
no ipv6 lan1 dhcp service server以上になります。
最後に
IPoE環境でVPNを構築するなら事前検証が重要
IPoE回線でのVPN構築は非常に快適ですが、従来PPPoE環境と同じ感覚で設計すると、思わぬ落とし穴があります。
特に「センター出し構成」は便利な反面、
- ルーティング
- DNS
- NAT
- IPv4/IPv6共存
などを総合的に理解する必要があります。
YAMAHA RTXは非常に柔軟な機器ですが、その分「なぜその設定にするのか」を理解しておく事が安定運用への近道だと感じました。
これからIPoE環境で拠点間VPNを構築する方の参考になれば幸いです。
コメント