ニフクラ ブログ

ニフクラやクラウドの技術について、エンジニアが語るブログです。

東西リージョン間 L2TPv3/IPsec VPN(L2 VPN)

こんにちは。まほろば工房の浅間です。前回に引き続き今回も東西リージョンのプライベート LAN を VPN で接続するネタです。前回は IPsec VPN(L3 VPN) で接続しましたが、今回は L2TPv3/IPsec (L2 VPN) でつないでみます。

絵にするとこんな感じです。

005_01

東西リージョンのプライベート LAN を直接スイッチングハブでつないだようなイメージです。

前回と同様、 VPN ゲートウェイのグローバル IP アドレスは作ってみないとわからないので東日本リージョンのコンパネと西日本リージョンのコンパネを行ったり来たりします。混乱しないようにご注意ください。

まずは東日本リージョンの設定です。

東日本リージョンの VPN ゲートウェイの設定

プライベート LAN を作成します。

005_02

VPN ゲートウェイを作成します。

005_03

ファイアウォールを作成しますが、西日本リージョンの VPN ゲートウェイのグローバル IP アドレスが現時点では不明なのでとりあえずプライベート LAN の IP アドレス帯である 192.168.1.0/24 を許可するルールのみで作成します。

005_04

VPN ゲートウェイの作成が完了したら VPN ゲートウェイの左側のチェックボックスをクリックし、下に表示される “ネットワーク” タブをクリックし VPN ゲートウェイのグローバル IP アドレスを控えておきます。

005_05

続いて西日本リージョンでもプライベート LAN と VPN ゲートウェイを作成しましょう。コンパネを西日本リージョンに切り替えます。

西日本リージョンの VPN ゲートウェイの設定

プライベート LAN を作成します。

005_06

VPN ゲートウェイを作成します。

005_07

ファイアウォールを作成します。控えておいた東日本リージョンの VPN ゲートウェイのグローバル IP アドレスとプライベート LAN の IP アドレス帯を許可するよう設定します。

005_08

VPN ゲートウェイが作成されたら割り当てられたグローバル IP アドレスを控えます。

005_09

再びコンパネを東日本リージョンに切り替えます。

東日本リージョンの VPN ゲートウェイの設定(再)

西日本リージョンの VPN ゲートウェイのグローバル IP アドレスがわかったのでファイアウォールのルールにそのアドレスからの接続を許可するよう追加します。

005_10

VPN コネクションを作成します。

005_11

“接続方式” は L2TPv3/IPsec を選択し、 “対向機器 IP アドレス” には西日本リージョンの VPN ゲートウェイのグローバル IP アドレスを入力します。

事前共有鍵は今回も手動で設定してみます。

入力が完了したら “トンネル設定へ” をクリックします。

005_12

“モード” は Unmanaged を選択し、 “カプセル化方式” は IP を選択します。

トンネル ID とセッション ID には適当な数字(ただし VPN ゲートウェイ側のトンネル ID とセッション ID は重複できません)を入力するのですが、注意点としては対向機器(今回の例では反対側の VPN ゲートウェイ)と数字が入れ替わるような感じで設定する必要があります。例えば東日本リージョンの VPN ゲートウェイ側で以下のような設定をした場合、

VPN ゲートウェイ 対向機器
トンネル ID 123 234
セッション ID 345 456

西日本リージョンの VPN ゲートウェイは必ず以下のような設定にしなければなりません。

VPN ゲートウェイ 対向機器
トンネル ID 234 123
セッション ID 456 345

今回はすべて 1 に設定しました。

あともうちょっとです。西日本リージョンの VPN ゲートウェイでも同じように VPN コネクションを作成するため、コンパネを西日本リージョンに切り替えます。

西日本リージョンの VPN ゲートウェイの設定(再)

VPN コネクションを作成します。内容は東日本と同じ感じです(対向機器 IP アドレスは置き換えてください)。

005_13

トンネル設定も東日本と同じ感じです。トンネル ID とセッション ID は東西で入れ替わるように設定します。

005_14

VPN コネクションの作成が完了し、接続が完了すると VPN コネクションの “コネクションステータス” が緑色のチェックマークに変わるはずです。

005_15

まとめ

今回は東西リージョンのニフティクラウドのプライベート LAN を L2TPv3/IPsec VPN(L2 VPN) で接続してみました。 IPsec VPN(L3 VPN) のときと同様、コンパネからの操作だけで簡単に接続できました。

IPsec VPN(L3 VPN) と違い L2TPv3/IPsec(L2 VPN) では東西のプライベート LAN をスイッチングハブで直接つないだような接続になります。そのため IPsec VPN(L3 VPN) では実現できない東西リージョンにまたいで VRRP 等を利用した冗長化構成なんかもできたりします。凄くないですか?個人的には結構「凄いなー」って感動しました。

さてさて、次回とその次ではニフティクラウドを Hub にした拠点間通信もできるような構成について考えてみます。お楽しみに。