３拠点WAN接続方法について

拠点Ａ、Ｂ、Ｃがあり、
それぞれ
192.～、
172.～、
10．～のネットワークだとします。

ＡとＢ、ＢとＣがルータで接続されている場合、
ＡからＣのネットワークに接続は
出来るのでしょうか？

※ ＡとＣは直接繋がっていないので
　Ｂを経由して


その場合、ＮＡＴが必要でしょうか？
（出来ればＮＡＴ無しで接続したいのです）

どなたかご存知でしたらお教え下さいませ。

No.4 ベストアンサー 回答者： neumann 回答日時： 2004/05/24 22:31

RTX1000でインターネットVPN（IPSec）を構築する際の設定例を紹介します。

なおルータに添付されていた設定例集P.263を元に多少加工してみました。
「22.3 インターネット接続を併用する場合（固定IP アドレス使用）」

インターネットVPNを構築するには拠点A、拠点Bのプロバイダのどちらかが固定IPアドレスに対応している必要があります。今回は両方のプロバイダが固定IPだった場合の設定例を紹介します。

【前提条件】
＜拠点Ａ＞
　RT-A WANアドレス：211.*.10.1/32（ISP固定IP1）
　RT-A LANアドレス：192.168.1.1/24

＜拠点Ｂ＞
　RT-B1 WANアドレス：211.*.20.1/32（ISP固定IP1）
　RT-B1 LANアドレス：172.16.1.1/24
　RT-B2 WANアドレス：10.0.10.1/24
　RT-B2 LANアドレス：172.16.1.254/24

＜拠点Ｃ＞
　RT-C WANアドレス：10.0.10.254/24
　RT-C LANアドレス：10.0.1.1/24

--------------------------------------------
＜RT-Aの設定例＞
# ip lan1 address 192.168.1.1/24
# pp select 1
pp1# pp always-on on
pp1# pppoe use lan2
pp1# pp auth accept pap chap
pp1# pp auth myname ISP接続ID ISP接続パスワード
pp1# ppp lcp mru on 1454
pp1# ppp ccp type none
pp1# ip pp address 211.*.10.1/32
pp1# ip pp mtu 1454
pp1# ip pp nat descriptor 1
pp1# pp enable 1
pp1# tunnel select 1
tunnel1# ipsec tunnel 101
tunnel1# tunnel enable 1
tunnel1# ip route 172.16.1.0/24 gateway tunnel 1
tunnel1# ip route 10.0.1.0/24 gateway tunnel 1
tunnel1# ip route 10.0.10.0/24 gateway tunnel 1
tunnel1# ip route default gateway pp 1
tunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASS
tunnel1# ipsec ike remote address 1 211.*.20.1
tunnel1# ipsec ike local address 1 192.168.1.1
tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac
tunnel1# nat descriptor type 1 masquerade
tunnel1# nat descriptor masquerade static 1 1 192.168.1.1 udp 500
tunnel1# nat descriptor masquerade static 1 2 192.168.1.1 esp
tunnel1# nat descriptor address outer 1 211.*.10.1
tunnel1# ipsec auto refresh on
tunnel1# save
--------------------------------------------
＜RT-B1の設定例＞
# ip lan1 address 172.16.1.1/24
# pp select 1
pp1# pp always-on on
pp1# pppoe use lan2
pp1# pp auth accept pap chap
pp1# pp auth myname ISP接続ID ISP接続パスワード
pp1# ppp lcp mru on 1454
pp1# ppp ccp type none
pp1# ip pp address 211.*.20.1/32
pp1# ip pp mtu 1454
pp1# ip pp nat descriptor 1
pp1# pp enable 1
pp1# tunnel select 1
tunnel1# ipsec tunnel 101
tunnel1# tunnel enable 1
tunnel1# ip route 192.168.1.0/24 gateway tunnel 1
tunnel1# ip route 10.0.1.0/24 gateway 172.16.1.254
tunnel1# ip route 10.0.10.0/24 gateway 172.16.1.254
tunnel1# ip route default gateway pp 1
tunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASS
tunnel1# ipsec ike remote address 1 211.*.10.1
tunnel1# ipsec ike local address 1 172.16.1.1
tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac
tunnel1# nat descriptor type 1 masquerade
tunnel1# nat descriptor masquerade static 1 1 172.16.1.1 udp 500
tunnel1# nat descriptor masquerade static 1 2 172.16.1.1 esp
tunnel1# nat descriptor address outer 1 211.*.10.1
tunnel1# ipsec auto refresh on
tunnel1# save
--------------------------------------------

※急ぎで作ったのでIPアドレスが若干間違ってるかもしれませんが、「設定例集」を参照してください。

あとはRT-B2とRT-Cの設定も必要です。
RT-B2のルーティング：10.0.1.0/24⇒10.0.10.254
RT-Cのルーティング：デフォルトルート⇒10.0.10.1

Cのルータにもスタティックルート（デフォルトルート）を記述する必要はあります。
ＡからＣへアクセスした場合
行き：[RT-A]→[RT-B1]→[RT-B2]→[RT-C]→
　　　　　　　　　　　　　　　　　　　　　　　　　　　↓
帰り：[RT-A]←[RT-B1]←[RT-B2]←[RT-C]←
というようにＣまで行ってＡに戻ってきますよ。つまりＣからＡへ帰るためのルーティングが必要です。同じようにＢからＡへ帰るためのルーティングも必要です。

この回答へのお礼

丁寧なご回答、本当に助かりました。
実際の設定は、すぐには行えないのですが
（各拠点でInternet接続が本稼動してしまっているので）
頂いたものを参考に設定してみます。

本当にありがとうございます。

お礼日時：2004/05/25 14:23

No.3 回答者： neumann 回答日時： 2004/05/22 14:22

＞具体的にはＲＴ－Ｂ１にて拠点Ｃの範囲のアドレスは

ＲＴ－Ｂ２へ、ＲＴ－Ｂ２にて
＞拠点Ａの範囲のアドレスはＲＴ－Ｂ１へルーティング設定すればＯＫ（ＲＴ－ＡやＲＴ－Ｃは特に設定不要）
でしょうか？

基本的にあってます。
ただしＲＴ－ＡとＲＴ－Ｃにもスタティックルートを記述する必要があります。
（デフォルトルートをＷＡＮ側に向ける必要があります。）

今回は以下のような構成だと思います。
[RT-A]--(Internet)--[RT-B1]---[RT-B2]--(Ether)--[RT-C]

スタティックルーティングのみを使う場合、各ルータのルーティングは以下のようになります。
RT-A ：デフォルトルートをRT-B1にする
RT-B1：拠点Aへのルーティング先をRT-Aにする
　　　　：拠点Cへのルーティング先をRT-B2にする
RT-B2：拠点Aへのルーティング先をRT-B1にする
　　　　：拠点Cへのルーティング先をRT-Cにする
RT-C ：デフォルトルートをRT-B2にする

※デフォルトルートとは、ルータに直接接続されたローカルネットワーク以外の全パケットを送信する先です。

なおRT-A、RT-B1の機種によっては、上記ルーティング以外にVPN用のルーティングが必要になる場合もあります。（ヤマハのRTX1000、RTX2000などがそうです）
またインターネットVPN用のルータの場合、ルーティング先を相手のルータのアドレスを指定せず、VPN用の仮想番号などを指定する機種もあります。（これもRTX1000などがそうです）

詳しくは各ルータのコマンドリファレンス等を参照してください。

この回答への補足

ありがとうございます。
アドバイス頂いたように、コマンドリファレンスを
読んでみたのですが、理解出来ないところが
あります。


まさに、RT-AとTR-B1はヤマハのRTX1000を
使用してVPNを構築しています。

まずやりたいのは拠点AからCに繋ぐ事なのですが
（CからAへ繋ぐ事は無い）、Cの設定も
しないとAからCへ繋がらないものでしょうか？

（RT-Aの設定をB、Cの範囲のアドレスはRT-B1の
　アドレスへルーティングするだけでは
　駄目でしょうか？）

補足日時：2004/05/24 11:03

No.2 回答者： neumann 回答日時： 2004/05/20 23:24

補足を見ました。

そのような条件の場合、設計手法、使用機器（ルータ）にもよりますがＮＡＴを使わず通信可能ですよ。

ただし厳密にはインターネットに接続するルータでＮＡＴを使うのですが、ＩＰＳｅｃなどを使ってインターネットＶＰＮを構築する場合にはＮＡＴを意識せず通信ができます。

[PC-A]-----[RT-A]---(Internet)---[RT-B]-----[PC-B]

上記の図の[RT-A]と[RT-B]で通常NATを使いますが、[RT-A]～[RT-B]間でインターネットVPNを構築すればPC側からはインターネット上のグローバルアドレスを意識する必要がありません。[RT-A]と[RT-B]がNATを使わず直接専用線で接続されているようなイメージになります。

ただしルーティングプロトコルとしてRIP（ver1）を使う場合は注意が必要です。今回は使用しているアドレス体系が拠点ごとにまったく違うため、RIPv1では運用できません。
スタティックルーティングのみ、もしくはRIPv2、OSPFなどを使う必要があります。

この回答へのお礼

ありがとうございます。

幸いルータはRIP2、OSPFをサポートしています。
ただ、スタティックルーティングすれば
良いのかと思っています。

具体的にはＲＴ－Ｂ１にて拠点Ｃの範囲のアドレスは
ＲＴ－Ｂ２へ、ＲＴ－Ｂ２にて
拠点Ａの範囲のアドレスはＲＴ－Ｂ１へ
ルーティング設定すればＯＫ
（ＲＴ－ＡやＲＴ－Ｃは特に設定不要）
でしょうか？

※拠点ＡとはＲＴ－Ｂ１、
　拠点ＣとはＲＴ－Ｂ２で接続

お礼日時：2004/05/21 09:25

No.1 回答者： neumann 回答日時： 2004/05/20 20:28

基本的にはできますが、具体的にどのような回線を利用するつもりですか？

専用線？ＩＰ－ＶＰＮ？広域イーサネット？インターネット？

回線によってネットワーク設計の条件が変わってきます。

この回答への補足

早速のご回答ありがとうございます。

ＡとＢがインターネットのＶＰＮです。
（ＩＰ－ＶＰＮではありません）
ＢとＣが広域イーサです。

ちなみに、中継点Ｂは
Ａと繋ぐルータ、Ｃと繋ぐルータが
別です。

補足日時：2004/05/20 20:47