こんにちは。まほろば工房の浅間です。前回に引き続き、今度は L2TPv3/IPsec VPN(L2 VPN) でニフティクラウドを Hub にしてオンプレ間をつなぐような構成を紹介したいと思います。 絵にするとこんな感じです。ニフティクラウド上のプライベート LAN とオンプレ 2カ所をひとつのスイッチングハブでつないだような感じです。
前回の IPsec VPN(L3 VPN) では裏技っぽい感じでニフティクラウドを Hub とするような構成をつくってみましたが、 L2TPv3/IPsec VPN(L2 VPN) ではふつうに(とくに工夫とかする必要なく) 2 カ所のオンプレをつなぐだけです。
同じく前回の IPsec VPN(L3 VPN) では、オンプレの YAMAHA RTX1210 間で IPsec VPN の設定したほうがいいかもしれません、というようなことを書きましたが、逆に L2TPv3/IPsec VPN(L2 VPN) ではそれをやると大変なことになります。 L2 ネットワークがループすると ARP 問い合わせ等のブロードキャスト・フレームが溢れて大変なことになります(良く分からないという方はブロードキャスト・ストームでググってみましょう)。
VPN ゲートウェイの設定
プライベート LAN を作成します。上の図の通り 192.168.1.0/24 で作成します。
次に VPN ゲートウェイを作成します。今回は 2 拠点以上を接続するのでタイプは medium を選択しました。
ファイアウォールも前回までと同様設定します。今回も接続したい拠点が 2 カ所なので YAMAHA RTX1210 のグローバル IP アドレスをふたつとプライベート LAN の IP アドレス帯である 192.168.1.0/24 を登録しました。
そして VPN コネクションを作成します。まずは 1 カ所目(図の右側の YAMAHA RTX1210 用) の VPN コネクションを作成します。このへんは “YAMAHA RTX1210 で単一拠点 L2TPv3/IPsec VPN(L2 VPN)” と同じです。
トンネル設定はモードに Managed を選択し “確認へ” ボタンを押します。
2 カ所目の VPN コネクションも同じように作成します。
VPN コネクションの作成が完了したらオンプレ側の YAMAHA RTX1210 の設定に移りましょう。
右側の YAMAHA RTX1210 の設定
YAMAHA RTX1210 の設定は “YAMAHA RTX1210 で単一拠点 L2TPv3/IPsec VPN(L2 VPN)” とまったく同じ手順です。参考までに設定の全体を貼り付けておきます。
ip route default gateway pp 1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.1.254/24
pp select 1
pppoe use lan2
pp auth accept pap chap
pp auth myname xxx@yyy zzz
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
tunnel select 1
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.1.254 198.51.100.123
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration ike-sa 1 28800
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive use 1 on dpd
ipsec ike local address 1 192.168.1.254
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
ipsec ike remote address 1 198.51.100.123
l2tp always-on on
l2tp hostname YAMAHA-RT1
l2tp tunnel auth off
l2tp tunnel disconnect time off
l2tp keepalive use on 20 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 203.0.113.123
l2tp remote router-id 198.51.100.123
l2tp remote end-id vpn-0v3nmzof
tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.1.254 esp
nat descriptor masquerade static 1 2 192.168.1.254 udp 500
nat descriptor masquerade static 1 3 192.168.1.254 udp 4500
ipsec auto refresh on
ipsec transport 1 101 udp 1701
dns server pp 1
dns private address spoof on
l2tp service on l2tpv3
左側の YAMAHA RTX1210 の設定
こちらも “YAMAHA RTX1210 で単一拠点 L2TPv3/IPsec VPN(L2 VPN)” と同様です。
ip route default gateway pp 1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.1.253/24
pp select 1
pppoe use lan2
pp auth accept pap chap
pp auth myname xxx@yyy zzz
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
tunnel select 1
tunnel encapsulation l2tpv3
tunnel endpoint address 192.168.1.253 198.51.100.123
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration ike-sa 1 28800
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive use 1 on dpd
ipsec ike local address 1 192.168.1.253
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
ipsec ike remote address 1 198.51.100.123
l2tp always-on on
l2tp hostname YAMAHA-RT1
l2tp tunnel auth off
l2tp tunnel disconnect time off
l2tp keepalive use on 20 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 203.0.113.234
l2tp remote router-id 198.51.100.123
l2tp remote end-id vpn-0xej1d7j
tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.1.253 esp
nat descriptor masquerade static 1 2 192.168.1.253 udp 500
nat descriptor masquerade static 1 3 192.168.1.253 udp 4500
ipsec auto refresh on
ipsec transport 1 101 udp 1701
dns server pp 1
dns private address spoof on
l2tp service on l2tpv3
まとめ
L2TPv3/IPsec(L2 VPN) でニフティクラウドを Hub にオンプレ間の通信もできるような構成について紹介してみました。ニフティクラウド上のプライベート LAN と同じ L2 ネットワークが 2 カ所のオンプレに伸ばせるってなんだか不思議な感じがしますね。