YAMAHAルーターでのVPNにおけるVPN使用機器の制限方法について

YAMAHAルーターでのVPNにおけるVPN使用機器の制限方法について

現在、各拠点間でVPN設定しているルーターを、Netscreen系のルーターから YAMAHA機器（RTX1200やRT107eなど）に置き換えを進めています。
通常のLAN同士のVPNは問題なくできましたが、その先に追加する設定方法で悩んでおります。

これまで不要なアクセスを制限するために、Netscreen にて各拠点でVPNを使用するPCやサーバーを、Netscreenの「Object-Addresses-list」へ登録し、Policy上で接続を作成しておりました。

たとえば、
拠点Ａ 192.168.1.0/24
拠点Ｂ 192.168.2.0/24
拠点Ｃ 192.168.3.0/24 があるとして

拠点Ａ-Ｂ間のVPNは、192.168.1.100/32 ～ 192.168.2.0/24
拠点Ａ-Ｃ間のVPNは、192.168.1.100/32 ～ 192.168.3.100/32
のようなpolicyを作成し、それ以外のVPNは通さないといった具合です。
Netscreenでは、簡易にこのような設定ができていました。

YAMAHAルーターはポリシーベースではないため、全く違う手法が必要かもしれませんが、ヒントや設定例だけでもご教授いただければと思います。よろしくお願いします。

No.1 ベストアンサー 回答者： pakuti 回答日時： 2010/05/12 00:39

・特定のあて先に該当するルーティングのみをトンネルインターフェースに向ける

・ルーティングはネットワークで指定し、フィルタリングする

この回答への補足

回答ありがとうございます。
ルーティングやフィルタリングについてはマニュアルで確認中です。

> 特定のあて先に該当するルーティングのみをトンネルインターフェースに向ける

これは質問の例で上げました「拠点Ａ-Ｂ間のVPNは、192.168.1.100/32 ～ 192.168.2.0/24」でいうと、

ip route 192.168.1.100/32 gateway tunnel 1

のような記述を、拠点Ｂのルーターに設定、拠点Ａにも対向する設定をに書くことで実現されるということでしょうか。
これまでは、"ip route 192.168.1.0/24 gateway tunnel 1" というような記述でした。

> ルーティングはネットワークで指定し、フィルタリングする
ここがよくわかりませんが、同様に質問の例で上げました「拠点Ａ-Ｃ間のVPNは、192.168.1.100/32 ～ 192.168.3.100/32」でいえば、

ip route 192.168.1.100/32 gateway tunnel 1
ip filter 300001 pass-nolog 192.168.3.100 192.168.1.100
ip filter 300002 reject-nolog 192.168.3.* 192.168.1.*

拠点Ｃのルーターにのような指定を行ない、
この後、" ip tunnel secure filter 300001 300002" といったコマンドにて設定する。
拠点Ａにも対向する設定を追加するということで良いでしょうか？

勉強不足で申し訳ありませんが、よろしくお願いします。

補足日時：2010/05/12 10:52

この回答へのお礼

こちらで頂いた内容などを参考にした結果、
目的のVPN設定ができるようになりました。
ありがとうございました。

お礼日時：2010/05/27 10:01