『拠点間VPN接続の設定方法』のクチコミ掲示板

[蒼い眼鏡]

NVR500を自宅と実家のそれぞれに導入していましたが、この両者をVPNで接続することに無事成功したので、他の方の参考になればと思い注意点を掲載します。
結果から見ると単にマニュアル通りにやっただけなのですが、当初はマニュアルの内容を誤読していたために上手く行かず、ヤマハのサポートの手を借りてやっと成功した次第です。そんな間抜けは私だけかも知れませんが。

(1)サブネットアドレスの設定
これはVPNそのものの設定ではありませんが、VPN接続に絡んで必要になるものです。VPNで接続したときに、各拠点のサブネットアドレスが同じだと正しく通信が出来ないので、予め重複しないように設定しておくというものです。初期設定のNVR500は全て同じ設定になっているので、少なくともどちらか一方の設定を変更しておく必要があります。

Web設定画面では、トップページから［詳細設定と情報］＞［LANの設定(IPアドレス、DHCPサーバ)］で該当設定画面になります。

例えば、下記のように設定します。
拠点A：192.168.100.0 /24 （192.168.100.1〜192.168.100.254をLAN内のIPアドレスとして使用する設定）
拠点B：192.168.101.0 /24 （192.168.101.1〜192.168.101.254をLAN内のIPアドレスとして使用する設定）

多くの場合、DHCPサーバ機能も使うでしょうから、この機能でのIPアドレスの割り当て範囲も変更が必要です。設定したサブネットアドレスの範囲内で、自動割り当てに使いたいアドレス範囲を設定しておきます

(2)ネットボランチDNSサービスでホストアドレスを取得する
固定IPアドレスサービスを契約している人は、この項目は不要です。固定で無い場合は、この設定が必要です。
Web設定画面では、トップページから［詳細設定と情報］＞［ネットボランチDNSホストアドレスの設定］で該当の設定画面になります。
ホストアドレスは、要するに（自分以外のユーザも含めて）重複していない文字列なら何でもいいです。ヘルプを参考にしながらホストアドレスを取得します。

この作業は、VPNで接続する両方の拠点でそれぞれに行う必要があります。拠点毎に異なるホストアドレスを持つわけです。
ちなみに私はこの部分を、「PPTP接続のサーバになる側のみホストアドレスを取得すれば良い」と勘違いしたので、当初上手く行きませんでした。よく考えると両方に必要なのは当然でした。

(3)VPNの設定
いよいよVPN設定そのものです。
Web設定画面では、 [詳細設定と情報] ＞ [VPN接続の設定] です。ここで［追加］をクリックすれば、詳細設定画面に入ります。
私は１つ前のステップで勘違いしていたので、このページでも当然正しい設定をすることが出来ず、悪戦苦闘した後、ヤマハのサポートの手を借りました。
設定は下記のようにします。

設定名：
　　単なる備忘録欄です。空欄でもOK。
PPTPサーバ／クライアント：
　　２台のどちらか一方を「PPTPサーバ」に、他方を「PPTPクライアント」に設定します。
ユーザID：
　　VPNでつながる２台のNVR500が相互認証するためのIDです。両方のNVR500に同じ文字列を設定します。
接続パスワード：
　　同じく、両方のNVR500に同じ文字列を設定します。思い切って長くてランダムな文字列にしておくのがセキュリティ上は
　　良いでしょう。最初の設定時にしか入力しないパスワードなので、覚えられなくても運用上の面倒はほとんどありません。
接続先のホスト名又はIPアドレス：
　　(2)で取得したネットボランチDNSホストアドレスを入力します。但し入力するのは、VPN通信の「相手側」のホストアドレスです。
　　拠点AのNVR500で取得したホストアドレスを、拠点BのNVR500のこの欄に入力します。逆も同様です。（私の場合、
　　最初は片方のホストアドレスしか取得していなかったわけで、当然、ここの設定もおかしなものになっていました。）
　　尚、固定IPアドレスサービスを利用している人は、そのアドレスを入力します。この場合も、「相手側」のIPアドレスを
　　入力すると言う点は同じです。
経路情報の設定：
　　経路のアドレス情報欄に「相手側」のサブネット情報を入力します。前述の事例の場合なら、
　　拠点AのNVR500には「192.168.101.0」とネットマスク情報として「255.255.255.0 (24ビット)」を入力し、
　　拠点Bには「192.168.100.0」とネットマスク情報として「255.255.255.0 (24ビット)」を入力します。

以上を設定すると、２つの拠点がVPNでつながり、相手側のLANにアクセスできるようになります。
私はヤマハのサポートを得てやっと成功しました。

尚、Web設定のトップ画面だと、VPNの［接続］ボタンはPPTPクライアント側NVR500にしか表示されません。なので、VPN接続はクライアント側から要求を出さないと接続できないように見えます。しかし実際はPPTPサーバ側からでも接続がかけられるとのこと（ヤマハサポートからの情報）。
初期値では自動接続が有効になっており、相手側のLANのアドレスに対する通信が発生したら自動的にVPN接続が確立するとのことなので、PPTPサーバ側からでもVPN接続はかけられるというわけ。

余談ですが、VPN接続に成功後は自宅側から実家側のNVR500の設定をいじれるようになりました。設定変更のためにわざわざ実家まで出向く必要がなくなり、非常に楽になりまた。但しその為には、VPN接続が成功するだけではダメで、もう１つ設定変更が必要です。
［詳細設定と情報］−［ユーザとアクセス制限の設定］の画面で、HTTPサーバ機能を「全て許可する」に変更しておく必要があります。（初期状態では「同一ネットワーク内であれば許可する」になっています。） 本当は「指定したIPアドレスを許可する」にするなどで、必要最小限に狭めておいた方がいいのでしょうが、上手く行くか分からなかったので、「全て許可する」で運用を始めました。

以上、他の方の参考になれば。

書込番号：18958566

[とっふぃ〜]

ちょっと気になったので一言。


# HTTPサーバ機能を「全て許可する」に変更しておく必要があります。

この場合、インターネットから不正アクセスされルータが乗っ取られるリスクも伴いますので、忘れずにフィルタリングを設定した方がいいですよ。

書込番号：18961718

[蒼い眼鏡]

とっふぃ〜さん

アドバイス有難うございます。
ご指摘のリスクは気にはなっているのですが、適切なフィルターの設定方法が分かっていないので、とりあえずそのまま運用を始めた次第です。
ヤマハに改めて質問して、適切な設定を実施しようと思います。

書込番号：18963538

[sorio-2215]

　HTTPサーバ機能を全て使用するの件ですが、当方がヤマハ系装置でとる方法としては、PPTP-VPNの際のPPTPサーバ及びDHCPサーバからのプールするIPを範囲限定し、そのIPアドレスのみのHTTPサーバログインにする方法を採っております。
　つまり、HTTPサーバ機能を全て使用するという事ではなく、指定したIPアドレスを許可する設定にするという事です。その許可するIPアドレスをPPTP-VPNサーバのプールIPと同一にする方法にしています。
　同一LAN内からのアクセスも、そのIP範囲に任意設定しませんと、ルーターログインは出来ない形になります。

書込番号：18968860

[蒼い眼鏡]

sorio-2215さん

やはりIPアドレスで絞ることになるのですね。
勉強になりました。
有難うございます。

書込番号：18972368

[sorio-2215]

　HTTPサーバ機能ですが、IP範囲を限定する規制ですが、複数規制可能です。
　
　※　http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/http_server/httpd_host.html

書込番号：18977650

[蒼い眼鏡]

暫く所用で手が回りませんでしたが、設定を実施しました。
設定後も自宅から実家側のNVR500の設定画面(Web)にアクセスできているので、正しく設定できたようです。

皆様アドバイス有難うございました。

書込番号：19000791