グローバルIP1個でインターネットVPNとSSL-VPNは可能？

始めまして　
小規模なネットワーク管理を任されましまい
わからない所があったのでご教授頂きたく質問いたしました
タイトルの通りグローバルIPは1つでインターネットVPNを2拠点間で使用しています。そこにSSL-VPNを通したいのですが、
現状どちらか一方が繋がる設定しかできませんでした。
これは設定の問題なのでしょうか
それともグローバルIPが二つないと解決できないのでしょうか

設定の問題であれば「ここがポイント！」など教えていただきたいです
configを張りたいのですが現在交渉中です(つд・)
使用中の機器は
サーバ拠点がRTX1200
支店がRTX1000
SSL-312(SSLアプライアンス)をRTX1200の配下に置いています。
ご教授宜しくお願い致します。

No.3 回答者： nnori7142 回答日時： 2011/03/20 10:11

　お尋ねの件ですが、可能ですよ。

インターネットVPN（IPsec）設定をルーターへ設定するのですが、まずインターネット接続情報をルーターへ設定（グローバルIP固定）、PPPOE認証接続なら、　　　　　「pp1# pppoe use lan2
pp1# pp auth accept pap chap
pp1# pp auth myname ID PASSWORD
pp1# pp always-on on
pp1# ppp lcp mru on 1454
pp1# ppp ccp type none
pp1# ip pp mtu 1454
pp1# ip pp address 172.16.0.1/32」
　といった具合に設定、CATV等でしたらpp１記述を削除・「ip route default gateway ***.***.***.*** lan2」といった形で、WANポートアドレス固定設定、更に「ip lan2 address ***.***.***.***」、「ip lan2 nat descriptor 1」は必要になるかと存じます。
　その後、http://netvolante.jp/support/example/command/VPN …に掲載されていますipsecVPN設定及びSSL通信ポートフォワード設定を実施すればOKかと存じます。
　上記の部分は、ヤマハルーター配下に「softether」等VPNサーバが存在する場合も同様です。

No.2 回答者： kuroizell 回答日時： 2008/12/01 16:06

> その方法だと上手く行くのでしょうか

NATの他に、filterの設定で
[支店IP]から[拠点IP]へのSSL-312が使う[ポート番号]を開ける事も必要です。
　if filter 10000 pass 支店IP 拠点IP tcp ポート番号(多分443)

一番のポイントは、syslog debug onしておいて、Rejectされてるモノを見てみる事です。

No.1 回答者： kuroizell 回答日時： 2008/12/01 11:54

RTX1200のconfigに

　nat descriptor masquerade static 1 10 (SSL-312のプライベートIP) tcp 443=443
のようなカンジでしょうか。
インターネットVPNトンネルの中に、SSL-VPNを通すのですか？

この回答への補足

＞インターネットVPNトンネルの中に、SSL-VPNを通すのですか？

言葉足らずで申し訳ないです。
一応念のため、
インターネットVPNにSSL－VPNを通すつもりではなかったのです。
インターネットVPNとSSL-VPNを別々で使用したいと思っておりました。
つまり、IPsecとSSL-VPNそれぞれをマスカレードを利用して、一つのグローバルIPで運用したいと思っております。

..................................｜←←←インターネットVPN→→→|

PC(支店)---RTX1000----インターネット-----RTX1200---SSL312---サーバ
..............................................................|..................................↑
..............................................................|..................................↑
.....................................................25クライアント........← ← ここはSSL接続したい。

こんな感じで、
RTX1200のグローバルIPが1個でそれぞれのVPNを別拠点から使用したいわけです。

よろしくお願い致しますm(__)m

補足日時：2008/12/01 16:16

この回答へのお礼

アドバイス有り難うございます。
トンネルの中に通すということは考えていなかったです
その方法だと上手く行くのでしょうか

なんか知識が無いせいで質問もあやふやになってますよね
申し訳ないです。

上記のnat descriptor masquerade static 1 10 (SSL-312のプライベートIP) tcp 443=443を試して見たいと思います！
有り難うございました。

お礼日時：2008/12/01 15:39