このページのスレッド一覧(全417スレッド)
| 内容・タイトル | ナイスクチコミ数 | 返信数 | 最終投稿日時 |
|---|---|---|---|
 L2TP/IPsecでリモートアクセス+IPsec拠点間通信の併用 |
5 | 5 | 2015年11月13日 14:46 |
| お名前.comを使ってのDDNS設定 |
0 | 3 | 2015年10月26日 12:41 |
| パスワード |
2 | 4 | 2015年10月8日 14:24 |
| DDNS下VPNでのファイル転送速度など |
7 | 14 | 2015年9月15日 15:49 |
| 後段のVoIPアダプタでIP電話が通じない |
1 | 5 | 2015年9月7日 11:51 |
| ポートベースVLAN |
1 | 4 | 2015年8月13日 18:19 |
- 「質問の絞込み」の未返信、未解決は最新1年、解決済みは全期間のクチコミを表示しています
お気に入りに追加
そろそろうちもリモートに本格的に対応しおうと、RTX1210の導入を考えていますが
現在、rt107eの3台で拠点間をIPsecVPNで3つのセグメントで結んでいます。
IPsecVPN
rt107e(親)−−− セグメント 192.168.0.1/24
|−−rt107e(子) セグメント 192.168.1.1/24
|−−rt107e(子) セグメント 192.168.2.1/24
この親をrt107eからRTX1210へ変更し、設定は流用
IPsecVPN
RTX1210(親)−−− セグメント 192.168.0.1/24
| |−−rt107e(子) セグメント 192.168.1.1/24
| |−−rt107e(子) セグメント 192.168.2.1/24
|
|−−L2TP/IPsec VPN 端末クライアント 192.168.0.200
と接続された際、 端末クライアントは RTX1210を通して、192.168.1.1や192.168.2.1へ
アクセスできるのでしょうか?
よろしくお願いします。
0点
「端末クライアント」に 192.168.1.0/24, 192.168.2.0/24 のルーティング先を 192.168.0.1 に設定できるなら可能ではないでしょうか。
書込番号:19270036
0点
本拠点をRTX1210ルータ-へ変更し、メッシュ方式のVPNトンネル設定をされない状態でしたら(スター型VPN)ですと、RTX1210とRT107EそれぞれのLANセグメント通信出来る様に、スタティック・ルーティング設定をIPSECトンネルルート向けに設定しれあげればOKです。
例として、RTX1210(192.168.0.1/24)・・トンネル@ip route 192.168.1.0/24 gateway tunnel 1、Aip route 192.168.2.0/24 gateway tunnel 2、RT107E@・・ip route 192.168.0.0/24 gateway tunnel 1、RT107EA・・ip route 192.168.0.0/24 gateway tunnel 2
L2TP/IPSECリモート端末から、RT107EのWebアクセス許容させる為には、「httpd host 192.168.0.2-192.168.0.254」と言った形に、簡易WebアクセスをIPベースでの許容させる設定を確認下さい。
Telnetアクセスを許容させる場合には、「telnetd service on」→「telnetd host 192.168.0.2-192.168.0.254」と言った形に設定確認下さい。
VPNスループット性能は、あまりににされなくても良いのですか?
VPN性能を考慮される場合には、RT107Eの方もRTX810や、NEC「UNIVERGE iX2105」あたりを考慮されると良いかと考えます。
書込番号:19272865
1点
案ずるより産むが易しでした。
すでに ip routeの設定はしてありますので、
L2TP/IPsecで接続したクライアントは192.168.0.1の配下に置かれ、
IPsec-VPNを通して192.168.1.1等へアクセス可能でした。
事前にYAMAHAサポートに聞いたら、サポートしません、(基本は同セグメントのみ)との
回答だったので。
書込番号:19312965
2点
そうですか。
YamahaでのWebコンソール機能は、httpd host設定でのIP範囲指定が可能ですので、「httpd host 192.168.0.2-192.168.0.254 192.168.1.2-192.168.1.254 192.168.2.2-192.168.2.254」とRTX1210ルーターへ登録すれば、L2TP/IPSECクライアントだけではなく、IPSEC拠点のIP許容範囲の設定も可能です。
老婆心ながらRT107Eルーターは、最大でもVPNスループットは、80Mbpsまでしか対応出来ませんので、利用用途によっては、RT107E拠点ルーターも更改された方が、RTX1210ルーターのメリットが有るかと考えます。
中古・オークションにて、RTX1200の在庫がだぶついている様ですので、拠点側をRTX1200ルーターにするのも一択ですが。
書込番号:19313428
2点
DDNSを設定できるのは「BUFFALOダイナミック DNS」、「DynDNS」だけなのでしょうか?
お名前.comを契約しているのですが、DDNSはつかえないのでしょうか?
またDDNS経由でiPhoneからVPN接続は可能でしょうか?
書込番号:19255074 スマートフォンサイトからの書き込み
0点
『DDNSを設定できるのは「BUFFALOダイナミック DNS」、「DynDNS」だけなのでしょうか?』
「ブロードステーション設定ガイド」によれば、BHR-4GRV2が対応しているDynamic DNSのプロバイダは、
「BUFFALOダイナミック DNS」と「DynDNS」だけのようです。
ブロードステーション設定ガイド
DDNS
ダイナミックDNSに関する設定を行う画面です。
ダイナミックDNS機能:ダイナミックDNSサービスプロバイダーを「BUFFALOダイナミック DNS」、「DynDNS」から選択します。
http://manual.buffalo.jp/buf-doc/35020484-01.pdf
「お名前.comダイナミックDNSクライアント」を利用することもできるようです。
Q【ドメイン】お名前.comダイナミックDNSクライアントについて
Aお名前.comダイナミックDNSクライアントは自サーバーの接続IPアドレスを一定間隔で監視し、IPアドレスが変更された場合、自動的に新しいIPアドレスへ更新してくれるソフトです。お名前.comダイナミックDNSご利用の方に無料にてご提供いたしております。
動作環境 : Windows Vista / 7 / 8.1 / Windows Server 2003 / 2008 ※32bit/64bit版
https://help.onamae.com/app/answers/detail/a_id/7920
『またDDNS経由でiPhoneからVPN接続は可能でしょうか?』
docomoのspモードでは、公式にはアナウンスされていないようですが、昨年6月頃よりPPTP接続可能のようで、現時点でも接続可能のようです。
書込番号:19255235
0点
こんにちは。
>DDNSを設定できるのは「BUFFALOダイナミック DNS」、「DynDNS」だけなのでしょうか?
本機に設定できるDDNSホストとしてはそういうことになります。
>お名前.comを契約しているのですが、DDNSはつかえないのでしょうか?
本機に設定することはできませんが、使うことはできますよ。
(本機設定画面の「かんたん設定」では設定できないかもしれませんが、手動ではできるはずです。)
⇒ 非公式な方法なので、メーカーに聞くと「できない」と言われると思います。
そのためにしなければならないことは、グローバルアドレスを自動更新する方法を別途準備することです。
その方法の一つとして、LsLoverさんご提案のクライアントソフトの使用があります。
PCにインストールし、スタートアップのサービスとして登録すれば、自動更新できます。
(PCに更新作業をさせるので、PCの常時起動が前提となります。)
>またDDNS経由でiPhoneからVPN接続は可能でしょうか?
お名前.comのDDNSを使用しても、iPhoneから本機にVPN接続はできますよ。
注意しなければならないのは、クライアント/サーバー間に存在するNAT/NAPTの存在です。
本機で使用するVPNのプロトコルはPPTPなので、その仕様上の制限事項として、
クライアント/サーバー間に存在するすべてのNAT/NAPTで、PPTP(GRE)をパススルーさせる必要があります。
これができない場合、PPTPでのVPN接続は、原理的に「不可能」となります。
・自宅のNAT配下のWiFi環境から固定回線経由でアクセスする場合
⇒ アドレス変換を行っている自宅のルーターで「PPTP(GRE)」パススルーの設定が必要
(アクセスポイントがルーターモードの場合はそれに、アクセスポイントモードの場合はその上位のルーターに設定)
・プライベートアドレスが割り当てられられているスマートフォンから直接アクセスする場合
⇒ 契約しているキャリアのネットワークがPPTP(GRE)をパススルーさせる仕様であることが必要
(au/softbankは公式に対応。docomoは非対応だが、現状は非公式ながらできるみたいだというのがLsLoverさんの話です。)
(docomoは非公式なので、いつできなくなるかわかりません。できなくなっても文句は言えません。)
・外出先のWiFiスポットに接続してそのサービス業者の回線経由でアクセスする場合
⇒ そのサービス業者のネットワークがPPTP(GRE)をパススルーさせる仕様であることが必要
下2つに関しては、もし自分の環境がPPTP(GRE)をパススルーできなかったとしても、
アドレス変換を行っている機器の設定変更を個人ではどうすることもできないので、
PPTP-VPNにこだわる限りは、PPTP(GRE)をパススルーできる別のサービスを選択するしか方法はありません。
(この点、本機では使えませんが、IPSecやL2TPのプロトコルが利用できる機器を使用する場合は、回避方法があります。)
書込番号:19258248
0点
要は、年間課金のコスト及び国外ドメイン課金サービス制約のため、お名前ドメインでの低コストサービスを利用されたいと言うことですよね?
同じ課金サービスを利用されるのでしたら、DDNSサービスではなく、現状の利用プロバイダの方を低価格グローバルIPオプション有りのプロバイダへ乗り換えする方法も有りますよ。
グローバルIP固定有りのサービスでしたら、DDNS自体不要です。
現状の回線がどちらか解りませんが、NTT光NEXT等でしたら、ASAHIネット(月額780円)プロバイダ料+グローバルIP固定オプション(月額800円)、乗り換えキャンペーンにて12ヶ月プロバイダ料金無料特典もやっております。
ご利用の月額プロバイダコースがどちらか解りませんが、乗り換えも年間コストとしてご検討されると良いかと存じます。固定IPオプションでしたら、そのIPでPPTP/L2TPなどのVPN機能の構成が可能です。
書込番号:19261150
0点
かえてないなら
ID admin
PASS password
とかてきとーにいれたらあたりそうですが
変えてるなら初期化する以外ないです
http://buffalo.jp/support_s/guide2/manual/bhr-4grv2/99/ja/pc_index.html?Chapter6#h3anc4
>設定を出荷時の状態に戻したい
>本製品の設定を出荷時の状態に戻したい場合は、底面のRESETボタンを前面のPOWER/DIAGランプが
>橙色に点灯するまで(約3秒間)押し続けてください。その後、本製品が再起動したら設定の初期化は完了です。
だってさ
書込番号:19207203
0点
バッファローのちょっと前までのルータは
ID : root
PASS : なし
が多かったです。
書込番号:19207227
0点
仮に初期化しても、設定復元出来る様に、設定情報のエクスポートが事前に出来る筈です。
今後のために、設定のエクスポートをしておいた方が良いですよ。
書込番号:19209404
0点
実際にご利用されている方からのコメント頂けると幸いです。
buffalo旧製品(WZR-RS)でのDDNS(年4000円程)を契約して利用してます。
3拠点(A,B,Cともマンション光タイプの回線で有線実測50Mbps以上は出てます)の内、A拠点にWZR-RSを設置し、リンクステーション(簡易NAS)ぶら下げて、主にB・C拠点から共有HDD内のデータ操作をする目的で現在使ってます。VPN同時接続端末数は10台以下(6台前後)で全てリモートアクセス接続のPPTP利用です。
現状A拠点内では困る事はないのですが、B・C拠点からA拠点共有HDD内ファイルの操作時に、ファイルの読み込みや転送にえらく時間がかかります。
1MB程度のエクセルを開くまでにB拠点やC拠点では数十秒。
B・C拠点から数百MBのファイルをA拠点内のNASに保存しようとした場合は数時間覚悟になります。
現状、VPN対応ルータはA拠点に1台設置し、B・C拠点(その他)からリモートアクセス接続なのですが、IPsecでbuffalo製品を各拠点に設置しルーター間接続にした場合は、通信速度は実際どのくらい出るものなのでしょうか?
メーカーサポートセンターに問い合わせてもカタログ値以外の返答はもらえませんでした。
文面通りネットワークには相当疎いので、ヤマハとかのIPsec対応ルータは初トライでは敷居高く、『VR-S1000』に変更もしくは全ての拠点に入れ替えようかとも考えております。
参考事例を探してましたが、なかなか見つからず、この場を借りて質問させていただきました。
実際に利用されている方や設置された方で、どんな環境下でどのくらいの通信速度が出てるなどの情報頂けると幸いです。
・リモートアクセス接続時のファイル送受信速度
・IPsec利用時のファイル送受信速度
・VPN利用時の安定感 などなど・・・
どうそよろしく。
0点
VR-S1000は未使用ですが、PPTP-VPNの場合ハードウェアVPN機能ではなく、ソフトウェアVPNである性格上、ソフトウェアでの暗号化・複合化処理→PPTPトンネル・カプセル化などの処理を合わせると、NAS設置個所のVPNルーターの性能上、良くて20〜30Mbps/悪くて10〜15Mbpsが限度かと存じます。
基本的に、IPSECカプセル対応のルーター、「VR-S1000」に変更しても、VPNスループットは最大100Mbpsという事ですが、目に見える改善は難しいかと考えます。
「VR-S1000」には、IPSEC接続をアシストするCPUやIPSECパケット通信を最適化する、キャッシュ機能などは未搭載ですし、実性能上良くて回線性能に対し40〜50%程度の性能しか想定されていない筈です。
A拠点、B拠点、C拠点全てに同一ルーターを導入するイメージですが、少なくともA拠点には、同時アクセススループットの安定化・信頼性向上の為、VPNスループットの良いタイプが必要かと考えます。
それぞれのVPNトンネルに回線性能の40〜50%程度の割り当て帯域を確保出来るとは限らず、A拠点のルーターには、BとC拠点の同時アクセス負荷が真面にかかる形になります。
よって個人経験則では、A拠点にYamaha「RTX810」、NEC「UNIVERGE iX2105」あたり、BとC拠点はBuffalo「VR-S1000」と言った形も推奨されます。
A拠点のVPNトンネルの払い出しスループット性能が良いタイプ、「RTX810」は最大200Mbit/s、「UNIVERGE iX2105」は最大440Mbpsと言うスペックになります。
SOHO向けには疎いとの事ですが、VPN性能向上とインターネット性能の安定化・信頼性を考えると、避けては通れないかと。
ちなみにAUひかりビジネス(グローバルIP固定、300Mbps)回線で、RTX810ルーターですとインターネットスループット上り180〜230Mbps/下り240〜260Mbps、iX2105ルーターですと上り250〜260Mbps/下り270〜290Mbpsまで向上し、インターネット・スループット上のばらつきが無い・性能の均一化が図れたのは、NEC系の方が良い数値を経験しております。
AUひかりビジネスの場合、回線契約上にグローバルIPが最低1個は付帯されておりますので、VPN構成はメインモードVPNにて構成しました。アグレッシブモードでの構成も可能ですが、アグレッシブモードの場合、IPSEC-SAとIKE-SAの暗号化キーの更新に、タイムラグやVPNセキュリティ上の問題も有りますので、実質的にIPSEC-SAとIKE-SAの更新にタイムラグの少ない、メインモードでの構成ですと、若干VPN性能も良かった記憶が有ります。
VPNスループットですが、だいたい、上記回線状況で、本店iX2105ルーターと支店RTX810ルーターにてIPSECトンネル構築しましたが、支店側のVPN性能は良くて80〜90Mbps程度だったかと。
当初は、本店がRTX810ルーターにて構成した事も有るのですが、本店のインターネットスループットの帯域圧迫・消費が激しいらしく、誤動作や頻繁にSTATUSランプ点灯での不確定動作も経験しています。
書込番号:19105034
1点
補足です。
Buffalo-DDNSを利用しているとの事ですが、出来ればプロバイダ・固定IPオプションの方が、DDNSサーバの中継迂回しない通信となりますので、固定IPオプションの方が良いかと考えます。
契約プロバイダ及び回線がどちらか解りませんので、何とも言えませんが、プロバイダの選択もIPV4/IPV6-IPOE回線で、実性能の高い回線タイプが推奨されます。
VPN構築に慣れてくると、RTX810ルーターやiX2105ルーターの場合、IPV6網でのVPNトンネル構成も出来るタイプになっております。IPV6網でのVPNトンネルですと、NGN網の性能をフルに生かす事も可能です。
実性能は未経験ですが、固定IPオプション付きにて、低価格プロバイダも有ります。
Asahiネットなどは、固定IPが月額800円、プロバイダ基本料780円になっております。
書込番号:19105085
1点
>sorio-2215さん
質問投稿から間もなく、丁寧且つ明確な事例の提示をして頂けたことに、感謝しております。
VPN利用可での簡易NAS内ファイルの複数拠点間共有を2年前に設定した当初は、同時接続端末上限10回線で考えていた為、初期投資とランニングコストを抑える方法でリモートアクセスVPN(PPTP利用)の一択になっており、古いバッファローのVPN対応ルータを利用するに至りました。
頂いたコメントから私なりに考えると、快適にかつ初期投資やランニングコストを抑える現状候補は主に以下の3つになりそうです。
@まず一番簡単な方法は、A拠点既設置ルータ(古いWZR-RS)をVR-S1000に入れ替えて状況変化の確認かもしれませんが、
Aヤマハの無料DDNS(ネットボランチ)でIPsec利用、RTX1210(簡易NAS設置A拠点)とB・C拠点にRTX810を設置(⇒現状ギリギリ設定可能かもしれません)
BNECのiX2105ルーター(⇒初めて知ったもので業務用らしく敷居が高そうですね)
C利用プロバイダ・回線し見直しでNTTのフレッツ網VPN利用(IPv6)に統一
(⇒IPv6は今まで使う必要性が無いと思ってました、各PCでは意図的にIPV6は設定切ってしまってました)
Dアサヒネットなどの固定IPプロバイダ(現状は3拠点とも一般向けの非固定IPです)
組み合わせでランニングコスト(自身で設定難しそうなら業者任せ・導入コスト含む)を試算してみようとおもいます。
本当にわかりやすい切り分けや、経験上の実例提示までして頂けて感謝しております。
いろいろ勉強と試行錯誤は続きそうです。
ありがとうございます。
書込番号:19106169
0点
うーん、RTX810ルーターのVPN対地数を忘れてました。
最大6対地ですので、VPNトンネル拠点が10拠点ある場合には、確かにRTX1210ルーター等になりますね。
NTTのキャリアVPNサービスの利用も有りですが、月額費用1拠点1,800円×10拠点となると、月額18,000円になります。
費用的に、プロバイダの固定IPサービスの利用の方が得策かと。
BIGLOBEの場合、固定IPサービスが月額3,000円ですので、固定IPのみ契約しB拠点〜のルーターは、DDNS設定でのVPNメインモード構成をする方法が、フレッツVPNワイドの契約するよりは得策かと。
RTX1210ルーターの通販コストが、7万〜程度になっておりますが、iX2105ルーターが5.6万〜程度になっておりますが、実質的にNEC独自のVPNキャッシュ機能「UFSキャッシュ機能」やVPNアシストCPUの搭載機能が有る為、速度的にはあまり違和感は無いかと存じます。
iX2105ルーターには、簡易Web設定が可能です。
簡易Web設定にて、可能な設定として、インターネットWAN設定とIPSEC設定は、Webインターフェイスからの設定は可能です。 L2TP/IPSEC設定やEthernet over IP設定は、コマンド登録設定になります。
※ http://jpn.nec.com/univerge/ix/Manual/WM/WM-IX2000-ver9.1-1.pdf
それと、iX2105ルーターの場合対応DDNS機能として、MyDNSサービスが対応しております。
※ http://jpn.nec.com/univerge/ix/faq/ddns.html#Q1-2
Yamahaルーターとの比較ですが、YamahaのNetvolanteDNSは、IPV4のみの対応ですが、MyDNSはIPV6も対応していますので、iX2105ルーターの場合IPV6-IPSECの設定も可能です。
方法的に推奨されますのは、A拠点にRTX1210かiX2105、B拠点〜はVR-S1000、RTX810等の選択、IPV6網でのVPN対応には、プロバイダのIPV6サービスの対応が必須ですので、既存プロバイダをそのまま利用する場合には、プロバイダのIPV6サービス可否も確認下さい。
RTX1210の性能で、ご指摘トンネル数から満足されないという事は考えにくいですが、ケースにより上位のiX2215ルーターでの構成の方が、Yamahaルーターで言うとRTX3500クラスの性能は確保出来るかと。
書込番号:19106417
1点
補足Aです。
VPNルーターによって、IPSEC接続の死活監視(切断・再接続監視)機能が、独自の規格が有ります。
一般的には、dpd死活監視機能が標準なのですが、Yamahaの場合簡易Web設定から設定すると、自動的に独自のHeartBeat死活監視機能になります。
よって、A拠点のルーターをRTX1210ルーターを選択し、B拠点〜VR-S1000ルーターの選択をすると、RTX1210の死活監視設定をdpd死活監視設定にしませんと、IPSEC接続不相違にて接続出来ないケースが想定されます。
※ http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/dpd.html
VR-S1000及びiX2105、iX2215ルーターは、VPN業界標準のdpd死活監視機能になっております。
書込番号:19106438
1点
一つ気になる点が有りますが、NAS本体のインターフェイスは、ギガビット仕様でしょうか?
ギガビットに合わせて、IPV6対応のもの・内蔵HDDの回転数と信頼性を機にされた方が良いかもしれません。
書込番号:19107676
1点
>sorio-2215さん
ネットワークコンサル受けているような詳細なご説明で、ありがとうございます。
現在の環境は拠点数3で、最大の同時接続数は10〜15端末になる小規模なものなので、設置機器の選定はご説明に有ったどれかの機種でいけそうですね。
DDNSのサービスをどうするかですが、myDNSの場合はIP非固定環境ではIP自動更新ツールの「Dice」も関わってくるので、安価で利用出来るIP固定を3拠点のプロバイダで変更する必要はありそうです。
myDNSの利用制限項目として
・定期的な IP更新 or 管理画面ログイン
・IP更新 or 管理画面ログインが、一週間ない場合・・・DDNS機能の停止(WEBでもエラーページが表示される)
・IP更新 or 管理画面ログインが、一か月ない場合・・・登録データそのものが、自動的に破棄される
・IP自動更新ツールへの対応可否 :IP自動更新ツールの「Dice」に対応
などと少々運用上煩わしさが出てきそうなので、機器選定はYAMAHAのネットボランチが有力候補。
死活監視(切断・再接続監視)機能については事前によく見ておかないとならない盲点でした。ありがとうございます。
@YAMAHA製品のIPsecでIPv4のネットボランチ使う(IPv4なので拠点間、リモートアクセス混在)
A拠点間接続でVPN安定化の為にIPv6利用し、拠点以外からの接続はリモートアクセスVPN(IPv4の(L2TP/IPsec))を混在して使う
に絞られてきました。NECはヤマハに比べると敷居が高い感があります(手を出せなさそう)。
予算が間に合わなければbuffaloのVR-S1000一択になりますが・・・
書込番号:19107704
0点
「DDNSのサービスをどうするかですが、myDNSの場合はIP非固定環境ではIP自動更新ツールの「Dice」も関わってくるので・・」
上の文面ですが、誤解が有るかもしれませんので、説明しますが、NEC-VPNルーター系では、MyDNSでのグローバルIP自動監視機能付ですので、Diceは不要です。
例えば、A拠点とB〜C拠点間の接続において、A拠点にNEC-VPNルーターを選択された場合に、A拠点のプロバイダを固定IPオプション契約でなくても、MyDNS取得・登録を、NEC-VPNルーターへ設定すれば、グローバルIPの切断・再接続時での変動接続は自動的にしてくれます。
先刻説明のNEC-VPNルーターのMyDNS設定例は掲載しましたが・・。
※ http://jpn.nec.com/univerge/ix/faq/ddns.html#Q1-2
コマンド設定にて、NEC-VPNルーターのコマンド登録から、投入可能です。
NEC-VPNルーターが、DDNSサービスを利用出来ないと認識されているのであれば、誤解です。
Yamahaルーターと比較して、Yamahaの場合にはNetvolante-DNSの機能はIPV4のみに限定されますが、NECのMyDNS監視機能は、IPV4とIPV6双方対応しております。
最近のNTT回線及び契約プロバイダ等が、IPV6契約出来るのであれば、そのスループット上のアドバンテージは、NECの方が上かと説明しましたが・・。
よって選択肢として、IPV6の利用可否はともかく、IPSEC接続の際のコスト及びA→BとC拠点のIPSECトンネルが2トンネル構成(2対地)であれば、RTX1210まで不要です。
IPSECの性能上のオーバーヘッドは有るかと存じますが、接続端末数とIPSEC対地数(トンネル数)は別と判断下さい。
更に、A拠点がNEC-VPNルーターの選択時に、BとC拠点をRTX810ルーターの選定時には、MyDNSドメインとNetvolante-DNSドメイン間においても、IPSEC-VPN・メインモード設定は可能です。
先刻の説明は固定IPオプションの方が、接続性能及び安定性、セキュリティ面から推奨されるという事でしたが、その際には、NEC-VPNルーターでのグローバル固定IPと、Netvolante-DNSドメイン間においても、IPSEC-VPN・メインモードも可能です。
書込番号:19107839
1点
ちなみに、IPSEC-VPNでのメインモードとは、それぞれの拠点がグローバルIP特定での双方固定IP指定でのIPSEC接続方法です。
アグレッシブモードは、IPSECトンネル接続時のIKE接続認証方法として、双方とも固定IPで無くても、A拠点のみ固定グローバルIP若しくはDDNS管理機能が有れば、BとC拠点については、動的グローバルIPでも可能と言うモードです。
通常、メインモードより、双方でIPSEC-SAキー及びIKE-SAキーの相互暗号化・複合化のやり取りが発生し、認証後での相互接続モードが、アグレッシブモードである為、IPSECの相互接続・レスポンスや、ルーターのかかる負荷は、メインモードの方が低いです。
書込番号:19107878
1点
>sorio-2215さん
またのコメントありがとうございます。
既存NASはバッファロLS-WXL(2台設置)で有線ギガビットLAN対応です。3.5インチHDDでRAID1の設定。
拠点A/B/Cの現状のプロバイダ契約プランは確認不足ですが、いずれもマンションタイプの光回線(VDSLかも)になっていそうな気がします。
数年前にとりあえずVPN使えるように設置したルータはバッファロWZR-RSで有線LANが10/100Mbpsです。
現状のVPN接続速度が出ない根本的な原因はロートルなWZR-RSでしょうね!
IPv4でバッファロDDNS利用下のPPTPによるリモートアクセス接続なのも要因でしょうし。
NEC-VPNルーターが、DDNSサービスを利用出来ることに対しては理解しているのですが、MyDNSを利用しての設定など利用経験がない為に不安があり、buffaloとヤマハに関してはNECよりは敷居が低いと感じてます。
Yamahaの場合にはNetvolante-DNSの機能はIPV4のみに限定され、NECのMyDNS(DDNS?)監視機能はIPV4とIPV6双方対応していること・・・に関しては、認識してなかった内容でしたので調べてみましたが
http://www.rtpro.yamaha.co.jp/RT/ipv6/
の表記によるとyamahaのRTX810は、対応しているように感じてしまいましたが・・・
回線及び契約プロバイダ等の見直しも必要がありそうなので、IPV6契約出来るものに統一して恩恵を受けたいとも考えております。運用所、同時に3拠点の変更が難しそうなら簡易NAS設置しているA拠点だけ手始めに固定IPプランにしても良さそうな気がしてきました。
拠点Aはどのみちルータ交換必要だと思うので、WEB通販上で定価よりずっと安い7万円程で購入できそうなRTX1210はを候補に入れておりますが、設定の敷居の高さを払拭できればアマゾンで55000円で買えるiX2105がベストチョイスになりそうですね。
書き込み当初のVR-S1000からだんだん離れてきてしまってますが・・・
VR-S1000だとどのみち3台それぞれバッファロDDNS契約下でIPsec使ってのIPv4での接続になりそうですね。
対置数10というカタログ値はNAS設置拠点Aには少々力不足かもしれませんが、B/Cの2対地とリモートアクセスが7台は使えることを考えると現状環境でもギリギリなのでしょう。
A拠点はNEC、B・C拠点間の機器はヤマハにすることでメーカー間の違いからくる煩雑な設定になる事が現状では恐ろしいのが実感です。
知識のない者相手に理解面での誘導しながら丁寧な解説して頂いて感謝しております。
少しずつ環境変更するための準備要素が明確になってきました、ありがとうございます。
書込番号:19108503
0点
「http://www.rtpro.yamaha.co.jp/RT/ipv6/」→「 の表記によるとyamahaのRTX810は、対応しているように感じてしまいましたが・・・」
↑の表記ですが、IPV6対応状況の中欄をご覧下さい。
IPV6の対応として、Netvolante-DNS機能は、全て×になってますよね?
要は、プロバイダのIPV6・グローバルIPアドレスが変動した際に、Netvolante-DNSでは追従出来ないという事です。
それと、MyDNSの件にですが、MyDNSのサイトからユーザ―登録をすると、自動的にドメインとログインID/パスワードが発行されるサービスになっております。その発行時でのIPV4及びIPV6アドレスが自動検出されるステータス確認出来る筈です。
危惧される内容としてですが、MyDNSサービスの場合、通信履歴が長期間無い場合に、自動解除されるケースが有りますが、IPSEC-VPNの場合、定期的にIKE-SA更新情報のやり取りをVPNトンネル毎にしていますので、先ず心配される事は無いかと存じますが、接続拠点数(トンネル数)が多くなってきたり、特定のアプリケーション運用等での、安定性・信頼性を要求される場合には、先刻のグローバル固定IPサービスの選択になります。
IPSECトンネル(2対地)とL2TP/IPSECトンネル(7対地)という事ですね。
PPTP-VPNはYamahaにて出来ますが、NECでは不可、PPTP-VPNのセキュリティ漏洩問題やリモートアクセスVPNでの性能上の問題も有りますので、L2TP/IPSECの方が推奨されます。
ちなみに、L2TP/IPSECについてですが、下記を参考下さい。
※ http://jp.yamaha.com/products/network/solution/vpn/smartphone/vpn-smartphone-setup-rtx1210/
※ http://jpn.nec.com/univerge/ix/Support/l2tp_ipsec/windows.html
上記のサイトでは、Netvolante-DNSの取得・登録は、コマンド設定にて案内になってますが、RTX1210の場合、ファームウェアを最新版へ変更する事で、簡易メニューからのNetvolante-DNS登録は容易に設定できます。
既存契約のプロバイダの件ですが、Asahiネットなどへ乗り換えし、既存プロバイダのメールサービスを利用される場合、既存プロバイダの方へダイアルアップ・バリュープランやライトプランへ変更する事で、メール機能はそのまま残す事も可能です。
それと、異機種メーカー製品の組合せ・IPSEC-VPNを利用する場合でのIPSEC-DPD死活監視の件については、下記を参考下さい。
※ http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/dpd.html
※ http://fenics.fujitsu.com/products/technical/example/internet-vpn/internet-vpn12.html
要は、 「ipsec ike keepalive use 1 on dpd 10 6」文が参考になりますが、IPSECトンネル毎にIKEキープアライブ設定を、Web簡易メニューから自動設定される「ipsec ike keepalive use ** on heartbeat 10 6」→「 「ipsec ike keepalive use ** on dpd 10 6」とコマンド登録するだけです。
Yamahaルーターですと、上記コマンド登録はWeb簡易メニューのコマンド実行から可能です。
** は、トンネル・エントリー番号により、任意。
書込番号:19109294
0点
「LS-WXL」シリーズですが、ギガビット仕様には対応しておりますが、IPV6アドレスでのアクセスには対応していない様です。
ただし、VPNトンネル間の通信は、NGN-IPV6通信での高い性能は維持可能かと存じますので、NASの性能のボトルネックにはならない構成にはなるかと。
IPV6アドレスにて、そのままアクセス可能なNASとしては、IO-DATA「HDL-XV」シリーズ以降が、主な機種になりますが、高価です。
書込番号:19109349
0点
コメントに対しての返信遅くなり申し訳ありませんでした。
当初の質問内容から少々違った方向に進んでしまいましたが、色々勉強になりました。
ありがとうございました。
書込番号:19141121
0点
あくまでも全体構成に対する、アドバイスと思っていただければと考えます。
ちなみに、iX2105ルーターは、オークションなどにて19,000円〜掲載されてます。
RTX810ルーターも、ほぼ同額で掲載されてます。
多少コンソール設定やWeb設定に慣れる必要が有りますが、参考までに。
ファームウェア更新ダウンロードについては、NECのサポート問合せにて、ユーザー登録申請が必要です。
※ https://www2.nec.co.jp/cgi-bin/contact/input.cgi?inqid=183ixseries_ix
マニュアル等については先刻の通り、「Web設定マニュアル」、「機能説明書」、「設定事例集」を参考下さい。
※ http://jpn.nec.com/univerge/ix/Manual/index.html?
Buffalo「VR-S1000」のコマンド設定イメージに毛が生えたものと認識して頂ければと存じます。
書込番号:19142297
0点
Bフレッツから光ネクストへ増速工事を行い、従来利用のWeb Caster V110(以下、V110)での100M接続は良好でしたが、
インターネット接続をギガ対応とするために、BHR-4GRV2(以下、本機)を購入し、V110をVoIPアダプタモードに変更して本機の後段へ接続したところ、
ギガでのインターネット接続は成功したものの、VoIPが通じない状況となりました。
ISPはOCN、VoIPはOCNドットフォン(050IP電話)です。
本機の設定は、
1.PPPoEを常時接続とする
2.uPnPを「使用する」にチェックを入れる
とし、PPPoEの接続情報を入れました。
V110の設定は、
1.初期化し、パスワード設定後に、アダプタモードとして、リブート
2.IP電話設定欄に所要情報を入力して、リブート
以上の設定で、V110の状態を見ると、uPnPのグローバルアドレスが0.0.0.0のままで、本機との間でうまくプラグアンドプレイ情報がやり取りできていないように見受けられます。
ちなみに、V110のLANにPCを接続した場合(デフォルトで192.168.100.1/24にNATされるようです)、インターネット接続は問題なく行えます。
V110の設定完了後、ケーブルを接続して、本機をリブートするなど、いろいろと手順を試しましたが、うまくいきません。
接続状態は
光ファイバ− GE-PON <M>C GE-PON-ONU タイプD<1>2 − 本機 − V110 − 電話
|−パソコン
で、両機のファームウェアは最新にバージョンアップしています(本機はVer.1.05、V110は 03.00.0002 )。
Q1・設定で足りないところがあるのでしょうか?
Q2・接続時のリブート手順など気をつけることがあるのでしょうか?
Q3・そもそもV110のアダプタモードでは本機とのuPnPが機能しないのでしょうか?
Q4・ひょっとして、数十分とか数時間とか時間をおかないとだめなのでしょうか?(5分くらいであきらめて本機をはずしてしまってます)
ご教示のほどよろしくお願いします。
0点
GE-PON ==== V110 ==== BHR-4GRV2 ==== PC
|
電話
書込番号:19098919
0点
>Hippo-cratesさん
早速の書き込みありがとうございます。
V110のインタフェースは100Mなので、いただいた構成では、V110がボトルネックになって1Gの光回線を活用することができないように思うのですが、如何でしょうか?
書込番号:19101173
0点
GE-PON→BHR-4GRV2→V110と言う接続形態ですよね?
BHR-4GRV2ルーターのUPNP機能が間違いなく有効になっているか、UPNP自体、ネットワーク機器メーカーの独自性の強い規格・ソフトウェア制御ですので、ルーターの機種によっての特定動作は異なる要素が有ります。
その際には、BHR-4GRV2ルーターのパケットフィルタ設定にて、VOIP利用ポート番号を許諾する設定や、静的IPマスカレード設定にて、VOIPアダプタのWANポート・固定IPへ転送する設定でなければ、安定しない場合も有ります。
VOIPで利用するポート番号は、5060/UDP, 5090/UDP, 5091/UDPが基本になります。
上記ポート番号の転送設定にて対応させる場合には、V110のWAN側IPを固定IP/デフォルトゲートウェイ固定/優先DNS固定と言った設定をする形、BHR-4GRV2ルーターの方にもアドレス変換設定にて、ポート番号の着信をV110のWAN-固定IPへ転送する設定になります。
例として、BHR-4GRV2ルーターが192.168.11.1の場合、V110のWAN固定IPは192.168.11.254/255.255.255.0、デフォルトゲートウェイ192.168.11.1、優先DNS192.168.11.1と設定、BHR-4GRV2ルーターのアドレス変換設定にて、WAN側(全て)・利用ポート(UDP5060、UDP5090〜UDP5091)→LAN側ホスト(192.168.11.254)・利用ポート(UDP5060、UDP5090〜UDP5091)の設定をそれぞれ登録する必要が有ります。
IPフィルタの設定においては、上記ポートを許諾する設定を追加する方法をお試しですかね。
一般のルーターですと、VOIPの優先制御に特異点が有る機種が有る為、Yamahaルーターの様にSIP-NAT変換機構が有るルーターの方が、通信安定性・信頼性が有るかと。
※ Yamaha「NVR500」など。
Yamaha「NVR500」ですと1台で実現可能、既存のBuffaloルーターとV110は不要になるかと。
書込番号:19104118
1点
>sorio-2215さん
詳細な設定情報ありがとうございます。同様の設定を施して試しましたが、V110が「VoIP利用可」というところまでたどり着きましたが、発信できても音声が通らない、かつ、着信できないという、やはりSIPのNAT越えができない状況と判断しました。
バッファローサポートに問い合わせたところ、本機のuPnPはVoIPには対応してないような回答でした。
ということで、本機をGePONの直下に置くことはあきらめました。
どうも皆さまご検討いただきありがとうございました。
書込番号:19116636
0点
うーん、そうすると、アドレス変換設定(ポート・マッピング設定)でダメであれば、Buffaloルーターに静的NAT設定にて、V110・アダプタのWAN側IPアドレスの設定登録(192.168.11.254/255.255.255.0)を投入してみても変わりませんか?
静的NAT設定ですと、無条件にて、該当IPの端末については、NATを通さない設定になります。
NAT変換ではなく、全てのポート通信を透過する設定になります。
静的NAT設定をする場合、アドレス変換設定の登録は不要になります。
Buffaloルーターに静的NAT設定が可能かどうか、メーカーへ確認下さい。
出来ないのであれば、DMZ設定で代替出来るかもしれません。
DMZ設定に、VOIPアダプタのWAN側IPを登録するだけ。(192.168.11.254/255.255.255.0)
V110へWAN側IPが固定192.168.11.254/255.255.255.0)、デフォルトゲートウェイ192.168.11.1、プライマリDNS192.168.11.1が投入されているかも再度確認下さい。
当初の話の様に、Yamaha「NVR500」などへ変更した方が、賢明かもしれません。
書込番号:19118554
0点
ご教示下さい。
ポートベースVLANに感して2つ質問があります。
1.ポートベースVLANですが、LANポートごとに分離するという認識で間違いないのでしょうか。
同じLANポートに違うPCを接続しなおしたとしても、同じ設定のままのVLANを使えるという認識でよろしいのでしょうか。
2.ポートベースVLANですが、設定したVLANの下にハブを接続した場合、そのハブに接続された機器はすべて、同じVLANグループになるのでしょうか。
例えば、下記の図で、
【RTX1210】ーー(LAN1)ーPC1
ー(LAN2)ー【ハブ】ーPC2
ーPC3
とつなぎ、LAN1とLAN2で、ポートベースVLANで分離してつないだ場合、LAN2の下にある、PC2,PC3は、すべてLAN2と同じグループのVLANと見なされるという認識で、よろしいのでしょうか。
よろしくお願いします。
書込番号:19042230 スマートフォンサイトからの書き込み
0点
図がおかしいので訂正します。
【RTX1210】ーー(LAN1)ーPC1
ー(LAN2)ー【ハブ】ーPC2
ーPC3
よろしくお願いします。
書込番号:19042233 スマートフォンサイトからの書き込み
0点
すみません。
図で空欄が、うまく入らないようで。
RTX1210の下に(LAN1) (LAN2)が接続されており、ハブの下にPC1 PC2が接続されている状態です。
よろしくお願いします。
書込番号:19042245 スマートフォンサイトからの書き込み
0点
RTX1210ルーターのLAN分割機能(ポートベースVLAN)につきましては、ご推察の通りです。
以下参考までに
※ LAN分割機能・・http://www.rtpro.yamaha.co.jp/RT/docs/lan-divide/
更にVLANで分割されたポートに、インターネットNAT変換を許容させるポートを限定する事も可能です。
※ http://jp.yamaha.com/products/network/solution/security/lan_side/disjunction/
書込番号:19043466
1点
クチコミ掲示板検索
新着ピックアップリスト
-
【Myコレクション】A20?
-
【Myコレクション】30万構成
-
【欲しいものリスト】サーバー用自作PC 構成案
-
【欲しいものリスト】10月7日
-
【欲しいものリスト】レンズ
価格.comマガジン
注目トピックス
(パソコン)
