はじめに
ネットワーク構成
VPNについて
各設定ファイル

 

VPNについて
 VPN対応の新型ルーター”古河電工FITELnetF40”でVPNにチャレンジ!最初は、どこをどうやって?設定するのか?よくわかりませんでした。試行錯誤を繰り返している内に、色々なことが判りましたので説明します。

 VPN(Virtial Private Network):仮想的な専用ネットワーク(直訳)笑。

 VPNでは、一般公衆回線を使って暗号化通信します。通常の通信経路では、第三者にパケットを盗聴?されますので、セキュリティ上良くありません。今までは、回線業者に、本社〜営業所までの間を専用線で結んでいました。しかし、ランニングコストがかかるため、専用線を確保しない・余り太い回線を確保できない等の問題がありました。

 そこで、VPNという技を利用し、一般公衆回線を、さも専用線のような振る舞いをしてセキュリティを保つ通信方法が考えられました。VPNには、ルーター側にその機能を持たせた物が一般的です。また、Linuxサーバーに2枚のネットワークカードを装着させソフトウェアでVPNを行う物もあります。しかし、パケット長が短くなるに従って、暗号化のオーバーヘットが大きくなり、通信パフォーマンスが悪くなることが有りました。

 そこで、古河電工製のFITELnetF40は、複雑な暗号化の処理全てをハードウェアで行いどんなパケット長にでも対応できる用にした物を開発したのです。ブンタネットジャパンでは、この最高のパフォーマンスを誇るF40を使ってVPNを実現しました。

 上記の図で示された青線は、通信の相手方が事業所ではない(VPN以外)所です。赤線は、通信の相手方が事業所に対して行う(VPN通信)ことを示してます。インターネットには、一般公衆回線網を使ってますので、本社経由でなく直接接続します。ネットワーク効率が良いことが、一目でわかります。今は、フレッツISDNや、ADSLが一般的になってきてますので、このようなランニングコストが低い回線を使うのも良いでしょう。但し、本社側には、固定IPアドレスが必要です。他の事業所には、不定でOK!です。名前の解決方法は、ルーター名を登録しておけばよいのです。

 VPNって、名前のみ聞くと難しく感じますが、簡単に考えれば上記のようになります。セグメントが異なるネットワークを繋ぐGWモドキとして考えればOK!です。但し、元となる(本社側)ネットワークにDNSなどがある場合は、接続宛先(出先ネットワークとも言う)に名前解決できるように工夫しましょう。私は、出先側で名前解決できなくて苦労しました。笑!詳細は、dnsの項で!

 本社側の設定を説明します。本社側は、www、mailサービスを行っているわけですから、外部に公開しなければなりません。そのためには、必要最低限のパケットを許可しなければなりません。そこで、ポート25,53,80などを開けておかないとなりません。また、これらのポート指定をしてきた場合は、特定のサーバーを明示していかなければなりません。この明示の仕方を、NAT+(ナットプラス)と言います。全パケットを特定のIPアドレスに振り分ける方法もありますが、これはNATと言います。以外と、NAT+とNATの区別を付けてない人がいますので、気を付けましょう。VPNに関しては、ポートを利用してないので、これらのことを意識しなくてもOK!です。

 簡単に一例を挙げておきます。この例では、一対一のピア接続を想定しましょう。相手先を、ISDNタイプのDUPルーター(Mucho-EV)と仮定してます。勿論、F40でも構いません。ピアとは、接続先の情報です。この場合は、desaki2としています。IPアドレス、不定のため、名前解決をこのVPNピア名で区別しています。また、これらの場合には、本社側から事業所2(出先)のネットワークにアクセスできません。双方向の情報交換をしたい場合は、両方IP固定でないとなりません。汗・・・。

 Phase1とPhase2とは、暗号化のプロセスの設定項目です。最初に、Phase1で基本となる暗号化のプロセスを処理します。つまり、通信の下地を作ります。この下地を作った後に、Phase2でさらに暗号化をかけます。このように、複数のPhaseで暗号化処理を行います。暗号化アルゴリズムも、desと3des(トリプルdes)があります。これらの指定は、ユーザーが任意に指定可能となっています。3desにすると、処理に時間がかかってしまい理想的ではありません。通常は、desで充分でしょう。笑!ポリシー識別子は、Phase1とPhase2を合わせましょう。それでないと、どのポリシーを使うか判らなくなります。注意しましょう。

 ここでは、接続相手先の設定を行います。VPNピア識別は、お好きな名前でどうぞ!私は、desaki2としました。拡張認証や、鍵データはお好みで設定しましょう。鍵データは、出先全てを同じデータにし、友人や趣味に使う所は、別にしてます。また接続相手先がIPアドレス固定であれば、IPアドレスを決め打ちしてもOK!です。

 F40で唯一わかりにくいのが、このVPN対象パケットの登録の所です。宛先指定(F40から見て、接続させる端末指定)と、送信元指定(接続させる端末からF40を見た場合の指定)です。これらの項目は、マニュアルを何度読んでも理解できませんでした。メーカーに強く改善を要望してます・・・・・。上記の図で見れば、一目瞭然ですが・・・汗・・・。矢印を見れば、確認できると思います。コツは、ipアドレスを指定して入力することで通信可能となります!頑張ろう!