パソコン情報

さくらのクラウドVPCルータとヤマハRTX810でサイト間VPN接続に成功

注意ポイント

Ipsec接続でWindows10マシンで、さくらのクラウドに構築したVPN環境に接続すると自動切断されて、再接続するのにVPCルータを強制リブートしないとできないという仕様!?

https://pctips.jp/security/vpc-pptp-windows10/

にぶち当たってしまい途方にくれていましたが、YAMAHAのRTX810というVPNルーターが眠っていたので試しにサイト間VPNをやってみたら成功しました。

ネットワーク構成図

さくらのクラウドの方には、VPCルータを構築して、グローバルIP(111.222.333.444)とします。そして、さくらのクラウド内の環境は、192.168.0.0/24にしました。

自宅の方には、YAMAHAのRTX810を設置しました。

実際には、

 

ココに注意

PR-500KIというNTTレンタルルータの下流側に普通にLANケーブルでRTX810を接続しています。

なんだか、いろいろと調べたときに、PR-500KIのOUNだけを使う為に、配線を機器から取り出して・・・というのがありましたが、そんなことはやっていません。

ただし、

今回のサイト間VPNを構築する為だけに、プロバイダアカウントを発行しました。

 

まずはお試しだったので固定IPは取得していませんが、本稼働させるためには、固定IP1個が付いたプロバイダアカウントが良いと思います。

 

 

【重要】PPPoEブリッジを許可する!

NTTからレンタルルータPR-500KIのLAN(下部側)にYAMAHA RTX-810を接続して、固定IP付きのPPPoEにて接続させる事を行ったが、たまたま、

ココがポイント

PR-500KIのPPPoEブリッジにチェック

が入っていたためRTX-810が接続できました。

通信事業者の回線を通じてインターネットなどに接続する場合、一般的にはルータが内蔵するPPPoE接続機能を用いてインターネットサービスプロバイダ(ISP)などに接続するが、何らかの理由でルータよりも内側(LAN側)にある機器からPPPoE接続を行いたい場合がある。そのような場合、ルータがPPPoEブリッジに対応していれば、LAN内の機器によるPPPoE通信には干渉せず、LAN側とWAN側で単純にデータを転送して素通ししてくれる。(引用:IT用語辞典

 

 





さくらのクラウドVPCルータの設定

サクラのクラウドのコントロールパネルから、VPCルータ>>サイト間VPN>>追加にて設定をします。

  • 参考

    • 対応IPアドレスってのは、自宅の固定IP(今回は実験だったので固定にしてませんので再接続で変わります。)
    • 対応IDってのは、自宅のネットワーク環境のVPNルータのIPアドレス(192.168.10.1)
    • Pre Shared Secretってのは、好きな暗号を決めておきます。
    • 対向Prefixってのは、自宅環境のネットワークアドレス(192.168.10.0/24)
    • ローカルPrefixってのは、サクラのクラウド側のローカル環境のネットワークアドレス(192.168.0.0/24)

これを設定して反映させておきますが、何も変化はありませんが自宅ルータの設定に行きます。

YAMAHA RTX810の設定

Configの準備

ココに注意

このルータを使わなくなった理由は、設定Configなる英文の羅列の設定にビビったからです!

今回は、とにかくやってみようという事で進めてみました。

上記のYAMAHAページをYAMAHA参考にしてとりあえず設定Comfigを準備してみました。

#
# さくらのクラウドとVPN(IPsec)接続するルーターの設定 : コマンド設定
#

#
# ルーターの設定(1)
#

#
# ゲートウェイの設定
#
ip route default gateway pp 1

#
# LANインターフェースの設定
#(LAN1ポートを使用)
#
ip lan1 address 192.168.100.1/24

#
# WANインターフェースの設定
#(LAN2ポートを使用)
#
pp select 1
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname 【プロバイダアカウント】 【プロバイダ接続パスワード】
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp address 220.158.37.208
ip pp secure filter in 300010 300020 200000 200001 200002 200003 200020 200021 200022 200023 200024 200025 200030 200032 200040
ip pp secure filter out 200010 200011 200012 200013 200020 200021 200022 200023 200024 200025 200026 200027 200030 200099 dynamic 200080 200081 200082 200083 200084 200098 200099
ip pp nat descriptor 1
pp enable 1

#
# フィルターの設定
#
ip filter source-route on
ip filter directed-broadcast on
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.100.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.100.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * * icmp * *
ip filter 200031 pass * 192.168.100.0/24 established * *
ip filter 200032 pass * 192.168.0.0/16 tcp * ident
ip filter 200033 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.100.0/24 udp domain *
ip filter 200036 pass * 192.168.100.0/24 udp * ntp
ip filter 200037 pass * 192.168.100.0/24 udp ntp *
ip filter 200040 pass * 192.168.100.1 tcp * telnet
ip filter 200099 pass * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp

#
# NATの設定
#
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.100.1 udp 500
nat descriptor masquerade static 1 2 192.168.100.1 esp

#
# DHCPの設定
#
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24

#
# DNSの設定
#※DNSが分からなかったのでコメントアウトしました。
#dns server (ISPから指定されたDNSサーバーのIPアドレス)
#dns private address spoof on

#
# DNSの設定
#
#dns server (ISPから指定されたDNSサーバーのIPアドレス)
#dns private address spoof on

#
# さくらのクラウドとVPN(IPsec)接続するルーターの設定 : コマンド設定
#

#
# ルーターの設定(2)
#

#
# ゲートウェイの設定
#
ip route 192.168.0.0/24 gateway tunnel 1

#
# VPN(IPsec)の設定
#
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike always-on 1 on
ipsec ike duration ipsec-sa 1 1800
ipsec ike duration ike-sa 1 28800
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 15 2
ipsec ike local address 1 192.168.100.1
ipsec ike local id 1 192.168.100.0/24
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text 【共有キー】
ipsec ike remote address 1 【111.222.333.444】
ipsec ike remote id 1 192.168.0.0/24
ip tunnel mtu 1280
ip tunnel tcp mss limit auto
tunnel enable 1

#
# VPN(IPsec)の設定 (共通項目)
#
ipsec auto refresh on

※【】の部分は、半角英数にて、自分の環境に合わせてください。

設定例で最小限しか変更しないでテストしたので、192.168.100になっている部分がありますが、VPNルータの初期設定だったので、途中から192.168.10じゃなく、192.168.100にしました。フィルター部分なので後でゆっくりと変更して検証してみます。

Configの実行

Configの内容は理解していませんが、とりあえず実行させることにしました。

ココがポイント

どうやって実行させるの?

自分は、コマンドライン・・・なんて考えたのでビビっていましたが、実際は簡単でした。

RTX810の管理画面で「コマンドの実行」という項目に進み、コードをコピペして実行するだけでした。

実行してエラーがでたら、その項目を確認するような流れです。

自分の場合は、2回目ですんなりエラー無く設定が終わったようです。

ところで接続できたのか?確認

接続切断の画面が無いので、どこで接続できたかの確認ができないと不安です。

しかし、YAMAHAのRTX810のトップ画面に行った時に分かりました。

TUNNEL【1】が通信中になっている!!!

更に、さくらのクラウド側のVPCルータのステータスが、「UP」になっていました。





WindowsServerから応答

コマンドラインから、VPCルータに向けて、

ping 192.168.0.1

接続確認すると応答があり接続確認できましたが、同じ環境にあるクラウドのWindowsServerからの応答がありません。

ルータのフィルタ関係が間違っているのかとも・・・確かに間違っているのですが、ブロックしてなければ通るはず。

試しに、リモートディスクトップで接続してみると普通に接続できました。

ココに注意

そう言えばWindowsServer自体がpingに応答しない設定でした!

IPsec接続、VPNルータ機器を使ったVPN接続

 

IPsec接続でWindows10がVPN切断されなければ、数台のパソコンならIpsec接続で良いと思っていましたが、

ココがおすすめ

長時間VPN接続にて、クラウドサーバを使うなら、VPNルータ機器を置いて複数台のパソコンをぶら下げたほうがスマート

であることがわかりました。

自動でVPN切断されることも無く、VPCルータの強制リブートもしなくて済むので仕事関係で使用するなら今回の構成が良いという判断になりました。

いろいろと勉強になりました。