VPN構築時のグローバルIPアドレスについて

宜しくお願いしますBENETTOと申します。

現在、本社・支店A・支店Bと３拠点あり、
それぞれ、
[本社]
固定グローバルIPアドレス：8個
　・ゲートウェイ(ルータ)用で1個
　・メールサーバ用で1個(ルータNATで割当)
　・ウェブサーバ用で1個(ルータNATで割当)
※各クライアントは自社のメールサーバを使用
※WAN側から本社のメールサーバへのPOP3禁止、SMTPのみOK

[支店A・支店B]
動的グローバルIPアドレス：1個
　・ゲートウェイ(ADSLモデム)用で1個(プロバイダから自動割当)
※各クライアントは本社のメールサーバの使用ができず、プロバイダの
　メールを使用

今回、各支店A・Bからも本社のメールサーバを使用しメールの送受信
を行うため、支店A・Bに対して
　・固定グローバルIPアドレスの取得。
　・本社と各支店間をVPNで接続し、各支店からVPN経由で本社のメール
　　サーバでメール送受信。
を検討しています。

その中で本社・支店間をVPNで接続するにあたり、各支店に幾つの固定
グローバルIPを取得すれば良いのか悩んでます。実際VPNを構築されて
いる方はゲートウェイ用とVPN用のグローバルIPアドレスを別々にして
いるのでしょうか、メリット・デメリット等もありましたら、ご教示宜
しくお願いします。


プロバイダのサービスでは
　固定IP： 1個
　固定IP： 8個
があり、

各支店に「1個」の場合
　・ゲートウェイ(ルータ)・VPN兼用で1個

各支店に「8個」の場合
　・ゲートウェイ(ルータ)用で1個
　・VPN用で1個

No.2 ベストアンサー 回答者： sunrize 回答日時： 2004/03/09 10:04

簡単ですが、VPNを実際に構築した者です。

まず、VPNを構築するに当たり、「ゲートウェイ」と「VPNゲートウェイ」を分けるか、分けないか、と言う部分についてですが、実際は、分けておくほうが無難と考えられています。
VPNは暗号化処理に非常にCPUの処理能力を食われます。そのため、通常のゲートウェイと一緒にしていると、能力の低い（特に家庭用BBルーターにVPNがおまけで付いた物）VPNルーターだとすぐにオーバーフローしがちになります。

ただ、最近はゲートウェイと兼用にしてもそれなりの処理をできるルーターもあります。YAMAHAのRTX1000やRTX2000などがそうです。
新たに機器を投資できるのであれば、管理の面や設定の簡単な、兼用型をお勧めします。


固定IPの取得の数についてですが、通常VPNを組まれるのであれば、固定IPは１つで大丈夫です。
本社側のVPNルーターに固定IPを設定し、各支店のVPNルーターが
その固定アドレス宛にVPNを張る形になります。

VPN形成後は、POPサーバーのアドレスをPOPサーバーのローカルIPアドレスに指定するだけで通信ができます。

センター、複数拠点間のVPNのイメージとYAMAHA RTX1000ルーターでの設定内容が下記のサイトに載っています。新たに機器へ投資できるなら、下記のサイトの情報だけで簡単にVPNを構築できますよ。
http://netvolante.jp/solution/vpn/case2/example1 …

また、YAMAHA独自のものですが、ネットボランチDNSと言うものを利用した、固定IPを利用しないタイプのVPNもありますよ。
事例が下記に載っています。
http://netvolante.jp/solution/vpn/case1/example2 …
デメリットは、ネットボランチDNSのサービスが止まると、通信できなくなる可能性があります。

この回答へのお礼

ご回答ありがとうございました。
「ANo.#1」で回答しました内容で検討したいと考えております。

また、YAMAHAのネットボランチDNSですが、ちょうどエンドユーザ様で運用をしていて突然データの通信が出来ないとのクレームを頂き、調査を行ったところ平日の午前中にYAMAHAのサーバのメンテナンスが入り、困ったことがありました。せめて、深夜にやってもらえれば、と思うのは都合がいいのでしょうか。

ありがとうございました。

お礼日時：2004/03/17 11:20

No.1 回答者： incho0922 回答日時： 2004/03/09 01:02

まず書かれているのが要件のすべてだとすれば、支店A・Bには固定IPアドレスは必須ではないです。

固定IPが必要となるのは、たとえば支店AにあるPCやサーバに本社や支店Bから接続するような場合です。
支店Aから本社への接続はあるが、本社から支店Aへの接続が不要なら、固定IPは不要です。

ゲートウェイとVPNのアドレスを別々にした場合、ルーティングの設定をする必要が出てきます。つまり「VPNを介して接続するネットワーク宛のパケットはVPN接続をしているルータに転送する」という設定が必要です。メリットは特に思い浮かびませんが・・・何かあるかなぁ・・^_^;

この回答へのお礼

ご回答ありがとうございました。
まず、各支店へ固定IPの割り当ての件ですが、
将来的（微妙ですが）に本社→支部間で支部サーバの管理をしたいとの意向があり、各支部へ固定IPを割り当てることにしました。

ゲートウェイとVPNゲートウェイのIPを別々については
「ANo.#2」でご回答がありましたように、RTX1000を視野に入れて検討することにしました。

ありがとうございました。

お礼日時：2004/03/17 11:11