『DDNS下VPNでのファイル転送速度など』のクチコミ掲示板

[犬バロン]

実際にご利用されている方からのコメント頂けると幸いです。
buffalo旧製品（WZR-RS）でのDDNS（年4000円程）を契約して利用してます。
3拠点（A,B,Cともマンション光タイプの回線で有線実測50Mbps以上は出てます）の内、A拠点にWZR-RSを設置し、リンクステーション（簡易NAS）ぶら下げて、主にB・C拠点から共有HDD内のデータ操作をする目的で現在使ってます。VPN同時接続端末数は10台以下（6台前後）で全てリモートアクセス接続のPPTP利用です。

現状A拠点内では困る事はないのですが、B・C拠点からA拠点共有HDD内ファイルの操作時に、ファイルの読み込みや転送にえらく時間がかかります。
1MB程度のエクセルを開くまでにB拠点やC拠点では数十秒。
B・C拠点から数百MBのファイルをA拠点内のNASに保存しようとした場合は数時間覚悟になります。

現状、VPN対応ルータはA拠点に1台設置し、B・C拠点（その他）からリモートアクセス接続なのですが、IPsecでbuffalo製品を各拠点に設置しルーター間接続にした場合は、通信速度は実際どのくらい出るものなのでしょうか?
メーカーサポートセンターに問い合わせてもカタログ値以外の返答はもらえませんでした。
文面通りネットワークには相当疎いので、ヤマハとかのIPsec対応ルータは初トライでは敷居高く、『VR-S1000』に変更もしくは全ての拠点に入れ替えようかとも考えております。
参考事例を探してましたが、なかなか見つからず、この場を借りて質問させていただきました。

実際に利用されている方や設置された方で、どんな環境下でどのくらいの通信速度が出てるなどの情報頂けると幸いです。
・リモートアクセス接続時のファイル送受信速度
・IPsec利用時のファイル送受信速度
・VPN利用時の安定感　などなど・・・

どうそよろしく。

書込番号：19103025

[sorio-2215]

　　VR-S1000は未使用ですが、PPTP-VPNの場合ハードウェアVPN機能ではなく、ソフトウェアVPNである性格上、ソフトウェアでの暗号化・複合化処理→PPTPトンネル・カプセル化などの処理を合わせると、NAS設置個所のVPNルーターの性能上、良くて20〜30Mbps/悪くて10〜15Mbpsが限度かと存じます。
　基本的に、IPSECカプセル対応のルーター、「VR-S1000」に変更しても、VPNスループットは最大100Mbpsという事ですが、目に見える改善は難しいかと考えます。

　「VR-S1000」には、IPSEC接続をアシストするCPUやIPSECパケット通信を最適化する、キャッシュ機能などは未搭載ですし、実性能上良くて回線性能に対し40〜50％程度の性能しか想定されていない筈です。

　A拠点、B拠点、C拠点全てに同一ルーターを導入するイメージですが、少なくともA拠点には、同時アクセススループットの安定化・信頼性向上の為、VPNスループットの良いタイプが必要かと考えます。

　それぞれのVPNトンネルに回線性能の40〜50％程度の割り当て帯域を確保出来るとは限らず、A拠点のルーターには、BとC拠点の同時アクセス負荷が真面にかかる形になります。
　よって個人経験則では、A拠点にYamaha「RTX810」、NEC「UNIVERGE iX2105」あたり、BとC拠点はBuffalo「VR-S1000」と言った形も推奨されます。

　A拠点のVPNトンネルの払い出しスループット性能が良いタイプ、「RTX810」は最大200Mbit/s、「UNIVERGE iX2105」は最大440Mbpsと言うスペックになります。

　SOHO向けには疎いとの事ですが、VPN性能向上とインターネット性能の安定化・信頼性を考えると、避けては通れないかと。

　ちなみにAUひかりビジネス（グローバルIP固定、300Mbps）回線で、RTX810ルーターですとインターネットスループット上り180〜230Mbps/下り240〜260Mbps、iX2105ルーターですと上り250〜260Mbps/下り270〜290Mbpsまで向上し、インターネット・スループット上のばらつきが無い・性能の均一化が図れたのは、NEC系の方が良い数値を経験しております。

　AUひかりビジネスの場合、回線契約上にグローバルIPが最低１個は付帯されておりますので、VPN構成はメインモードVPNにて構成しました。アグレッシブモードでの構成も可能ですが、アグレッシブモードの場合、IPSEC-SAとIKE-SAの暗号化キーの更新に、タイムラグやVPNセキュリティ上の問題も有りますので、実質的にIPSEC-SAとIKE-SAの更新にタイムラグの少ない、メインモードでの構成ですと、若干VPN性能も良かった記憶が有ります。
　
　VPNスループットですが、だいたい、上記回線状況で、本店iX2105ルーターと支店RTX810ルーターにてIPSECトンネル構築しましたが、支店側のVPN性能は良くて80〜90Mbps程度だったかと。
　当初は、本店がRTX810ルーターにて構成した事も有るのですが、本店のインターネットスループットの帯域圧迫・消費が激しいらしく、誤動作や頻繁にSTATUSランプ点灯での不確定動作も経験しています。
　

書込番号：19105034

[sorio-2215]

　補足です。
　Buffalo-DDNSを利用しているとの事ですが、出来ればプロバイダ・固定IPオプションの方が、DDNSサーバの中継迂回しない通信となりますので、固定IPオプションの方が良いかと考えます。

　契約プロバイダ及び回線がどちらか解りませんので、何とも言えませんが、プロバイダの選択もIPV4/IPV6-IPOE回線で、実性能の高い回線タイプが推奨されます。
　
　VPN構築に慣れてくると、RTX810ルーターやiX2105ルーターの場合、IPV6網でのVPNトンネル構成も出来るタイプになっております。IPV6網でのVPNトンネルですと、NGN網の性能をフルに生かす事も可能です。

　実性能は未経験ですが、固定IPオプション付きにて、低価格プロバイダも有ります。
　Asahiネットなどは、固定IPが月額800円、プロバイダ基本料780円になっております。

書込番号：19105085

[犬バロン]

＞sorio-2215さん
質問投稿から間もなく、丁寧且つ明確な事例の提示をして頂けたことに、感謝しております。
VPN利用可での簡易NAS内ファイルの複数拠点間共有を２年前に設定した当初は、同時接続端末上限１０回線で考えていた為、初期投資とランニングコストを抑える方法でリモートアクセスVPN（PPTP利用）の一択になっており、古いバッファローのVPN対応ルータを利用するに至りました。

頂いたコメントから私なりに考えると、快適にかつ初期投資やランニングコストを抑える現状候補は主に以下の３つになりそうです。
�@まず一番簡単な方法は、A拠点既設置ルータ（古いWZR-RS）をVR-S1000に入れ替えて状況変化の確認かもしれませんが、
�Aヤマハの無料DDNS（ネットボランチ）でIPsec利用、RTX1210（簡易NAS設置A拠点）とB・C拠点にRTX810を設置（⇒現状ギリギリ設定可能かもしれません）
�BNECのiX2105ルーター（⇒初めて知ったもので業務用らしく敷居が高そうですね）
�C利用プロバイダ・回線し見直しでNTTのフレッツ網VPN利用（IPｖ６）に統一
（⇒IPｖ６は今まで使う必要性が無いと思ってました、各PCでは意図的にIPV6は設定切ってしまってました）
�Dアサヒネットなどの固定IPプロバイダ（現状は３拠点とも一般向けの非固定IPです）
組み合わせでランニングコスト（自身で設定難しそうなら業者任せ・導入コスト含む）を試算してみようとおもいます。

本当にわかりやすい切り分けや、経験上の実例提示までして頂けて感謝しております。
いろいろ勉強と試行錯誤は続きそうです。
ありがとうございます。

書込番号：19106169

[sorio-2215]

　うーん、RTX810ルーターのVPN対地数を忘れてました。
　最大６対地ですので、VPNトンネル拠点が１０拠点ある場合には、確かにRTX1210ルーター等になりますね。

　NTTのキャリアVPNサービスの利用も有りですが、月額費用１拠点１，８００円×１０拠点となると、月額１８，０００円になります。
　費用的に、プロバイダの固定IPサービスの利用の方が得策かと。
　BIGLOBEの場合、固定IPサービスが月額３，０００円ですので、固定IPのみ契約しB拠点〜のルーターは、DDNS設定でのVPNメインモード構成をする方法が、フレッツVPNワイドの契約するよりは得策かと。

　RTX1210ルーターの通販コストが、７万〜程度になっておりますが、iX2105ルーターが５．６万〜程度になっておりますが、実質的にNEC独自のVPNキャッシュ機能「UFSキャッシュ機能」やVPNアシストCPUの搭載機能が有る為、速度的にはあまり違和感は無いかと存じます。

　iX2105ルーターには、簡易Web設定が可能です。
　簡易Web設定にて、可能な設定として、インターネットWAN設定とIPSEC設定は、Webインターフェイスからの設定は可能です。　L２TP/IPSEC設定やEthernet over IP設定は、コマンド登録設定になります。
　
　※　http://jpn.nec.com/univerge/ix/Manual/WM/WM-IX2000-ver9.1-1.pdf

　それと、iX2105ルーターの場合対応DDNS機能として、MｙDNSサービスが対応しております。
　
　※　http://jpn.nec.com/univerge/ix/faq/ddns.html#Q1-2

　Yamahaルーターとの比較ですが、YamahaのNetvolanteDNSは、IPV4のみの対応ですが、MyDNSはIPV6も対応していますので、iX2105ルーターの場合IPV6-IPSECの設定も可能です。

　方法的に推奨されますのは、A拠点にRTX1210かiX2105、B拠点〜はVR-S1000、RTX810等の選択、IPV6網でのVPN対応には、プロバイダのIPV6サービスの対応が必須ですので、既存プロバイダをそのまま利用する場合には、プロバイダのIPV6サービス可否も確認下さい。

　RTX1210の性能で、ご指摘トンネル数から満足されないという事は考えにくいですが、ケースにより上位のiX2215ルーターでの構成の方が、Yamahaルーターで言うとRTX3500クラスの性能は確保出来るかと。

書込番号：19106417

[sorio-2215]

　補足�Aです。
　
　VPNルーターによって、IPSEC接続の死活監視（切断・再接続監視）機能が、独自の規格が有ります。
　一般的には、dpd死活監視機能が標準なのですが、Yamahaの場合簡易Web設定から設定すると、自動的に独自のHeartBeat死活監視機能になります。

　よって、A拠点のルーターをRTX1210ルーターを選択し、B拠点〜VR-S1000ルーターの選択をすると、RTX1210の死活監視設定をdpd死活監視設定にしませんと、IPSEC接続不相違にて接続出来ないケースが想定されます。

　※　http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/dpd.html

　VR-S1000及びiX2105、iX2215ルーターは、VPN業界標準のdpd死活監視機能になっております。
　

書込番号：19106438

[sorio-2215]

　一つ気になる点が有りますが、NAS本体のインターフェイスは、ギガビット仕様でしょうか？
　ギガビットに合わせて、IPV6対応のもの・内蔵HDDの回転数と信頼性を機にされた方が良いかもしれません。

書込番号：19107676

[犬バロン]

＞sorio-2215さん
ネットワークコンサル受けているような詳細なご説明で、ありがとうございます。
現在の環境は拠点数3で、最大の同時接続数は10〜15端末になる小規模なものなので、設置機器の選定はご説明に有ったどれかの機種でいけそうですね。
DDNSのサービスをどうするかですが、ｍｙDNSの場合はIP非固定環境ではIP自動更新ツールの「Dice」も関わってくるので、安価で利用出来るIP固定を３拠点のプロバイダで変更する必要はありそうです。
ｍｙDNSの利用制限項目として
・定期的な IP更新 or 管理画面ログイン
・IP更新 or 管理画面ログインが、一週間ない場合・・・DDNS機能の停止（WEBでもエラーページが表示される）
・IP更新 or 管理画面ログインが、一か月ない場合・・・登録データそのものが、自動的に破棄される
・IP自動更新ツールへの対応可否　：IP自動更新ツールの「Dice」に対応
などと少々運用上煩わしさが出てきそうなので、機器選定はYAMAHAのネットボランチが有力候補。
死活監視（切断・再接続監視）機能については事前によく見ておかないとならない盲点でした。ありがとうございます。
�@YAMAHA製品のIPsecでIPｖ４のネットボランチ使う（IPｖ４なので拠点間、リモートアクセス混在）
�A拠点間接続でVPN安定化の為にIPｖ６利用し、拠点以外からの接続はリモートアクセスVPN（IPｖ４の（L2TP/IPsec））を混在して使う
に絞られてきました。NECはヤマハに比べると敷居が高い感があります（手を出せなさそう）。
予算が間に合わなければbuffaloのVR-S1000一択になりますが・・・

書込番号：19107704

[sorio-2215]

　「DDNSのサービスをどうするかですが、ｍｙDNSの場合はIP非固定環境ではIP自動更新ツールの「Dice」も関わってくるので・・」

　上の文面ですが、誤解が有るかもしれませんので、説明しますが、NEC-VPNルーター系では、MyDNSでのグローバルIP自動監視機能付ですので、Diceは不要です。

　例えば、A拠点とB〜C拠点間の接続において、A拠点にNEC-VPNルーターを選択された場合に、A拠点のプロバイダを固定IPオプション契約でなくても、MyDNS取得・登録を、NEC-VPNルーターへ設定すれば、グローバルIPの切断・再接続時での変動接続は自動的にしてくれます。
　
　先刻説明のNEC-VPNルーターのMyDNS設定例は掲載しましたが・・。
　※　http://jpn.nec.com/univerge/ix/faq/ddns.html#Q1-2
　コマンド設定にて、NEC-VPNルーターのコマンド登録から、投入可能です。

　NEC-VPNルーターが、DDNSサービスを利用出来ないと認識されているのであれば、誤解です。
　Yamahaルーターと比較して、Yamahaの場合にはNetvolante-DNSの機能はIPV4のみに限定されますが、NECのMyDNS監視機能は、IPV4とIPV6双方対応しております。

　最近のNTT回線及び契約プロバイダ等が、IPV6契約出来るのであれば、そのスループット上のアドバンテージは、NECの方が上かと説明しましたが・・。

　よって選択肢として、IPV6の利用可否はともかく、IPSEC接続の際のコスト及びA→BとC拠点のIPSECトンネルが２トンネル構成（２対地）であれば、RTX1210まで不要です。

　IPSECの性能上のオーバーヘッドは有るかと存じますが、接続端末数とIPSEC対地数（トンネル数）は別と判断下さい。
　更に、A拠点がNEC-VPNルーターの選択時に、BとC拠点をRTX810ルーターの選定時には、MyDNSドメインとNetvolante-DNSドメイン間においても、IPSEC-VPN・メインモード設定は可能です。
　先刻の説明は固定IPオプションの方が、接続性能及び安定性、セキュリティ面から推奨されるという事でしたが、その際には、NEC-VPNルーターでのグローバル固定IPと、Netvolante-DNSドメイン間においても、IPSEC-VPN・メインモードも可能です。

書込番号：19107839

[sorio-2215]

　ちなみに、IPSEC-VPNでのメインモードとは、それぞれの拠点がグローバルIP特定での双方固定IP指定でのIPSEC接続方法です。
　アグレッシブモードは、IPSECトンネル接続時のIKE接続認証方法として、双方とも固定IPで無くても、A拠点のみ固定グローバルIP若しくはDDNS管理機能が有れば、BとC拠点については、動的グローバルIPでも可能と言うモードです。

　通常、メインモードより、双方でIPSEC-SAキー及びIKE-SAキーの相互暗号化・複合化のやり取りが発生し、認証後での相互接続モードが、アグレッシブモードである為、IPSECの相互接続・レスポンスや、ルーターのかかる負荷は、メインモードの方が低いです。

書込番号：19107878

[犬バロン]

＞sorio-2215さん
またのコメントありがとうございます。

既存NASはバッファロLS-WXL（２台設置）で有線ギガビットLAN対応です。3.5ｲﾝﾁHDDでRAID1の設定。
拠点A/B/Cの現状のプロバイダ契約プランは確認不足ですが、いずれもマンションタイプの光回線（VDSLかも）になっていそうな気がします。
数年前にとりあえずVPN使えるように設置したルータはバッファロWZR-RSで有線LANが10/100Mbpsです。
現状のVPN接続速度が出ない根本的な原因はロートルなWZR-RSでしょうね！
IPｖ４でバッファロDDNS利用下のPPTPによるリモートアクセス接続なのも要因でしょうし。

NEC-VPNルーターが、DDNSサービスを利用出来ることに対しては理解しているのですが、MyDNSを利用しての設定など利用経験がない為に不安があり、buffaloとヤマハに関してはNECよりは敷居が低いと感じてます。

Yamahaの場合にはNetvolante-DNSの機能はIPV4のみに限定され、NECのMyDNS（DDNS？）監視機能はIPV4とIPV6双方対応していること・・・に関しては、認識してなかった内容でしたので調べてみましたが
http://www.rtpro.yamaha.co.jp/RT/ipv6/　
の表記によるとyamahaのRTX810は、対応しているように感じてしまいましたが・・・

回線及び契約プロバイダ等の見直しも必要がありそうなので、IPV6契約出来るものに統一して恩恵を受けたいとも考えております。運用所、同時に３拠点の変更が難しそうなら簡易NAS設置しているA拠点だけ手始めに固定IPプランにしても良さそうな気がしてきました。
拠点Aはどのみちルータ交換必要だと思うので、WEB通販上で定価よりずっと安い７万円程で購入できそうなRTX1210はを候補に入れておりますが、設定の敷居の高さを払拭できればアマゾンで55000円で買えるiX2105がベストチョイスになりそうですね。
書き込み当初のVR-S1000からだんだん離れてきてしまってますが・・・
VR-S1000だとどのみち３台それぞれバッファロDDNS契約下でIPsec使ってのIPｖ４での接続になりそうですね。
対置数１０というカタログ値はNAS設置拠点Aには少々力不足かもしれませんが、B/Cの２対地とリモートアクセスが７台は使えることを考えると現状環境でもギリギリなのでしょう。
A拠点はNEC、B・C拠点間の機器はヤマハにすることでメーカー間の違いからくる煩雑な設定になる事が現状では恐ろしいのが実感です。

知識のない者相手に理解面での誘導しながら丁寧な解説して頂いて感謝しております。
少しずつ環境変更するための準備要素が明確になってきました、ありがとうございます。

書込番号：19108503

[sorio-2215]

　「http://www.rtpro.yamaha.co.jp/RT/ipv6/」→「　の表記によるとyamahaのRTX810は、対応しているように感じてしまいましたが・・・」

　↑の表記ですが、IPV6対応状況の中欄をご覧下さい。
　IPV6の対応として、Netvolante-DNS機能は、全て×になってますよね？

　要は、プロバイダのIPV6・グローバルIPアドレスが変動した際に、Netvolante-DNSでは追従出来ないという事です。

　それと、MyDNSの件にですが、MyDNSのサイトからユーザ―登録をすると、自動的にドメインとログインID/パスワードが発行されるサービスになっております。その発行時でのIPV4及びIPV6アドレスが自動検出されるステータス確認出来る筈です。
　危惧される内容としてですが、MyDNSサービスの場合、通信履歴が長期間無い場合に、自動解除されるケースが有りますが、IPSEC-VPNの場合、定期的にIKE-SA更新情報のやり取りをVPNトンネル毎にしていますので、先ず心配される事は無いかと存じますが、接続拠点数（トンネル数）が多くなってきたり、特定のアプリケーション運用等での、安定性・信頼性を要求される場合には、先刻のグローバル固定IPサービスの選択になります。

　IPSECトンネル（２対地）とL2TP/IPSECトンネル（７対地）という事ですね。
　PPTP-VPNはYamahaにて出来ますが、NECでは不可、PPTP-VPNのセキュリティ漏洩問題やリモートアクセスVPNでの性能上の問題も有りますので、L2TP/IPSECの方が推奨されます。

　ちなみに、L2TP/IPSECについてですが、下記を参考下さい。
　※　http://jp.yamaha.com/products/network/solution/vpn/smartphone/vpn-smartphone-setup-rtx1210/
　※　http://jpn.nec.com/univerge/ix/Support/l2tp_ipsec/windows.html
　上記のサイトでは、Netvolante-DNSの取得・登録は、コマンド設定にて案内になってますが、RTX1210の場合、ファームウェアを最新版へ変更する事で、簡易メニューからのNetvolante-DNS登録は容易に設定できます。

　既存契約のプロバイダの件ですが、Asahiネットなどへ乗り換えし、既存プロバイダのメールサービスを利用される場合、既存プロバイダの方へダイアルアップ・バリュープランやライトプランへ変更する事で、メール機能はそのまま残す事も可能です。

　それと、異機種メーカー製品の組合せ・IPSEC-VPNを利用する場合でのIPSEC-DPD死活監視の件については、下記を参考下さい。
　※　http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/dpd.html
　※　http://fenics.fujitsu.com/products/technical/example/internet-vpn/internet-vpn12.html

　要は、 「ipsec ike keepalive use 1 on dpd 10 6」文が参考になりますが、IPSECトンネル毎にIKEキープアライブ設定を、Web簡易メニューから自動設定される「ipsec ike keepalive use ** on heartbeat 10 6」→「 「ipsec ike keepalive use ** on dpd 10 6」とコマンド登録するだけです。
　Yamahaルーターですと、上記コマンド登録はWeb簡易メニューのコマンド実行から可能です。
　**　は、トンネル・エントリー番号により、任意。

　

書込番号：19109294

[sorio-2215]

　「LS-WXL」シリーズですが、ギガビット仕様には対応しておりますが、IPV6アドレスでのアクセスには対応していない様です。
　ただし、VPNトンネル間の通信は、NGN-IPV6通信での高い性能は維持可能かと存じますので、NASの性能のボトルネックにはならない構成にはなるかと。

　IPV6アドレスにて、そのままアクセス可能なNASとしては、IO-DATA「HDL-XV」シリーズ以降が、主な機種になりますが、高価です。
　

書込番号：19109349

[犬バロン]

コメントに対しての返信遅くなり申し訳ありませんでした。
当初の質問内容から少々違った方向に進んでしまいましたが、色々勉強になりました。
ありがとうございました。

書込番号：19141121

[sorio-2215]

　あくまでも全体構成に対する、アドバイスと思っていただければと考えます。
　ちなみに、iX2105ルーターは、オークションなどにて19,000円〜掲載されてます。
　RTX810ルーターも、ほぼ同額で掲載されてます。

　多少コンソール設定やWeb設定に慣れる必要が有りますが、参考までに。
　ファームウェア更新ダウンロードについては、NECのサポート問合せにて、ユーザー登録申請が必要です。
　※　https://www2.nec.co.jp/cgi-bin/contact/input.cgi?inqid=183ixseries_ix

　マニュアル等については先刻の通り、「Web設定マニュアル」、「機能説明書」、「設定事例集」を参考下さい。
　※　http://jpn.nec.com/univerge/ix/Manual/index.html?

　Buffalo「VR-S1000」のコマンド設定イメージに毛が生えたものと認識して頂ければと存じます。
　

書込番号：19142297