インターネットVPNの仕方

拠点A　と　拠点BをインターネットVPNで繋ぐことになりました。(新規拠点は拠点B)

【構成図】
拠点B・・・Linuxルータ・・・Ciscoルータ・・・VPN・・・Ciscoルータ・・・Linuxルータ・・・拠点A
　　　　　　　　　　　　　　　　＼　　　　　　　　　　　　　　　／
　　　　　　　　　　　　　　　　　　＼　　　　　　　　　　　　／
　　　　　　　　　　　　　　　　　　　　　　インターネット


インターネットVPNで拠点同士を接続する時は、

「拠点Bから送信される「CIFSデータ(ファイルサーバデータ)」は、拠点AにVPN通信で送信。」
「拠点Bから送信される「httpデータ」は、インターネットに送信。」

【質問】
というように設定するのが普通なのでしょうか？
むしろそのような設定がVPNで出来るのでしょうか？

特に拠点Bからのインターネット通信を、
拠点Aのsquid等のプロキシサーバに通すといった設定条件はありません。
ファイル通信や必要データ以外は、VPN以外を通して通信させたいと思っています。

ご教授お願いします。

No.1 ベストアンサー 回答者： nnori7142 回答日時： 2013/02/10 15:18

　お尋ねの件ですが、指摘環境ですと、ＣｉｓｃｏルーターにてIPSEC-VPN（ＧＰ１・アグレッシブモード接続）が安価に出来るかと存じます。

Ｃｉｓｃｏルーターにて、セキュリティ面でしたらＩＰフィルタ-in/out登録の必要にて、セキュア通信は可能、インターネット通信とＶＰＮの同時・ダイナミックルーティングは可能です。
　Ａ地点・Ｂ7地点にて、ＩＰＳＥＣ設定と静的ルーティング登録、ＵＤＰ500番とespパケット転送（パススルー）とＬｉｎｕｘサーバ（samba）宛てに通信可能にすればＯＫです。ＩＰＳＥＣのトンネルルーティングも必要ですが、双方のトンネル先ＩＰの静的ルーティング登録は必要です。
　インターネット接続については、ＣｉｓｃｏルーターにてルーティングさせればＯＫです。

この回答へのお礼

>ＩＰＳＥＣ設定と静的ルーティング登録、ＵＤＰ500番とespパケット転送（パススルー）とＬｉｎｕｘサーバ（samba）宛てに通信可能にすればＯＫです。

>インターネット接続については、ＣｉｓｃｏルーターにてルーティングさせればＯＫです。

なるほど。そういうやり方で出来るのですね。
情報ありがとうございました。

お礼日時：2013/02/14 22:27

No.2 回答者： nby1215tkd 回答日時： 2013/02/11 12:09

現行のCiscoルータ（モデル・IOSなど不明なので）でできるできないはおいておいて、

「拠点Bから送信される「httpデータ」は、インターネットに送信。」とは、どういう意味でしょうか？

　拠点BにあるHTTPサーバのHTTPパケットの戻り（HTTP応答パケット）のことでしょうか？
　それとも拠点Bの端末から拠点外のHTTPサーバへのアクセス'(HTTP要求パケット）のことでしょうか？


機器に関係なく、IPルーティングは、宛先IPアドレスで実施されるため、プロトコルで分けるより、
宛先で分けられるのであれば、VPNのコントロールも宛先で行ったほうが良いと思います。

プロトコルで宛先を分けるのはL4以上の制御ですし、そもそも、今回は宛先で単純に経路制御
した方が簡単ではないでしょうか？

要は、プロトコルなんて関係なく、単純に拠点A－拠点B間の送受信だけVPN側に回すだけで
十分ではないのでしょうか？

少なくとも考えているプロトコルでわける方法だけでは、拠点内に組織内用HTTPサーバ(要は
イントラWWWサーバ）がある場合、その通信がVPN側でなく、インターネット側になってしまうと
思います。

また、宛先でコントロールすれば拠点先が追加・変更されない限り、設定変更は不要ですが、
プロトコルでコントロールだとプロトコルを追加・変更するたびに設定変更が大変だと思います。

この回答へのお礼

>機器に関係なく、IPルーティングは、宛先IPアドレスで実施されるため、プロトコルで分けるより、宛先で分けられるのであれば、VPNのコントロールも宛先で行ったほうが良いと思います。
>また、宛先でコントロールすれば拠点先が追加・変更されない限り、設定変更は不要ですが、プロトコルでコントロールだとプロトコルを追加・変更するたびに設定変更が大変だと思います。

確かに、おっしゃられる通りです。IPアドレスでVPN通信させるほうがいいですね。
参考になりました。

ありがとうございました。

お礼日時：2013/02/14 22:24