センタールータ経由のインターネット接続について

Question

ネットワーク初心者です。

仕事の関係上、Century XR-410を使用してVPNを構築することになりました。

ネットワークの構成としては、拠点AとBの２拠点があります。
それぞれの設定は下記のような形です。

●拠点A
WAN側IPアドレス：10.10.10.1
LAN側IPアドレス：192.168.10.1
サブネット：255.255.255.0

●拠点B
WAN側IPアドレス：10.10.20.1
LAN側IPアドレス：192.168.20.1
サブネット：255.255.255.0

（条件）
AとBはIPSecによるインターネットvpnを行います。
拠点Bからのインターネット抜けを、拠点Aのルータから抜けさせたいと
思っています。

その時に、
拠点AのIPSecポリシーとして
本装置側のLAN側のネットワークアドレス：0.0.0.0/0
相手側のLAN側のネットワークアドレス：192.168.20.0/24

拠点BのIPSecポリシーとして
本装置側のLAN側のネットワークアドレス：192.168.20.0/24
相手側のLAN側のネットワークアドレス：0.0.0.0/0

と設定するようにマニュアルには、書かれていました。
通常VPNでは、それぞれの拠点のLAN側ネットワークアドレスを書く事になると思っていますが、
なぜ、「0.0.0.0/0」と書かなくてはいけないのか分かりません。
この時の「0.0.0.0/0」とは、すべてのアドレス？となるのでしょうか？
マニュアルを読んでもいまいち理解できなかったので、教えて下さい。

ちなみに、マニュアルとは
http://www.centurysys.co.jp/support/xr_common/guides.html
の「インターネットVPN設定例集　IPsec編　P.48 」
になります。

よろしくお願いいたします。

Toshi0230 · Accepted Answer

質問にあるルータは使ったことがないので、一般論で。

> 「0.0.0.0/0」とは、すべてのアドレス？となるのでしょうか？

これはその通りです。デフォルトルートの設定時に宛先アドレスを同様に設定することがあります。

> なぜ、「0.0.0.0/0」と書かなくてはいけないのか分かりません。

IPSecのポリシーはVPNの回線を通すときに、「どのネットワークからどのネットワーク宛の通信をVPNで経由させるか」を指定するものです。

拠点Bはインターネット向けの通信をいったん拠点Aに転送して、そこからインターネットに出させたいわけですから、ポリシーの設定としては以下のようになります。
(a) 送信元アドレスは拠点Bのネットワーク (192.168.20.0/24)
(b) 送信先アドレスはすべてのネットワーク(0.0.0.0/0)

拠点Aからしてみると、インターネットから受信したパケットを拠点Bに転送する場合がありますので、該当する通信をVPNで拠点Bに転送する設定をする必要があります。
(c) 送信元アドレスはすべてのネットワーク(0.0.0.0/0)
(d) 送信宛アドレスは拠点Bのネットワーク (192.168.20.0/24)

もしインターネットへの通信を考慮する必要がないのであれば、質問者さんが考えているとおり、送信元／宛に双方のLAN側アドレスだけ記述すればOKですが、今回胃は拠点Bが拠点Aを経由してインターネットに出るという条件がありますので、このような形になります。

pakuti · Answer

すみません、マニュアルを読んでいませんしCentury XR-410も使用した事はありません。

一般的なVPNポリシーとして話をします。

>拠点BのIPSecポリシーとして
>本装置側のLAN側のネットワークアドレス：192.168.20.0/24
>相手側のLAN側のネットワークアドレス：0.0.0.0/0

どの通信をトンネルするかを指定します。
内部として認識するアドレス（ローカル）は、192.168.20.0/24で
それ以外のすべて（0.0.0.0/0）の通信をトンネルすると言う事です。

拠点Aは拠点Bのポリシーと合わなくてはいけないので
このような設定になります。

センタールータ経由のインターネット接続について

質問にあるルータは使ったことがないので、一般論で。

すみません、マニュアルを読んでいませんしCentury XR-410も使用した事はありません。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング