ニフクラ ブログ

ニフクラ/FJcloud-Vやクラウドの技術について、エンジニアが語るブログです。

ニフティクラウドを Hub にして L2TPv3/IPsec VPN(L2 VPN)

こんにちは。まほろば工房の浅間です。前回に引き続き、今度は L2TPv3/IPsec VPN(L2 VPN) でニフティクラウドを Hub にしてオンプレ間をつなぐような構成を紹介したいと思います。 絵にするとこんな感じです。ニフティクラウド上のプライベート LAN とオンプレ 2カ所をひとつのスイッチングハブでつないだような感じです。

007_01

前回の IPsec VPN(L3 VPN) では裏技っぽい感じでニフティクラウドを Hub とするような構成をつくってみましたが、 L2TPv3/IPsec VPN(L2 VPN) ではふつうに(とくに工夫とかする必要なく) 2 カ所のオンプレをつなぐだけです。

同じく前回の IPsec VPN(L3 VPN) では、オンプレの YAMAHA RTX1210 間で IPsec VPN の設定したほうがいいかもしれません、というようなことを書きましたが、逆に L2TPv3/IPsec VPN(L2 VPN) ではそれをやると大変なことになります。 L2 ネットワークがループすると ARP 問い合わせ等のブロードキャスト・フレームが溢れて大変なことになります(良く分からないという方はブロードキャスト・ストームでググってみましょう)。

ではいつものとおり VPN ゲートウェイの設定からです。

VPN ゲートウェイの設定

プライベート LAN を作成します。上の図の通り 192.168.1.0/24 で作成します。

007_02

次に VPN ゲートウェイを作成します。今回は 2 拠点以上を接続するのでタイプは medium を選択しました。

007_03

ファイアウォールも前回までと同様設定します。今回も接続したい拠点が 2 カ所なので YAMAHA RTX1210 のグローバル IP アドレスをふたつとプライベート LAN の IP アドレス帯である 192.168.1.0/24 を登録しました。

007_04

そして VPN コネクションを作成します。まずは 1 カ所目(図の右側の YAMAHA RTX1210 用) の VPN コネクションを作成します。このへんは “YAMAHA RTX1210 で単一拠点 L2TPv3/IPsec VPN(L2 VPN)” と同じです。

007_05

トンネル設定はモードに Managed を選択し “確認へ” ボタンを押します。

007_06

2 カ所目の VPN コネクションも同じように作成します。

007_07 007_08

VPN コネクションの作成が完了したらオンプレ側の YAMAHA RTX1210 の設定に移りましょう。

右側の YAMAHA RTX1210 の設定

YAMAHA RTX1210 の設定は “YAMAHA RTX1210 で単一拠点 L2TPv3/IPsec VPN(L2 VPN)” とまったく同じ手順です。参考までに設定の全体を貼り付けておきます。

ip route default gateway pp 1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.1.254/24
pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname xxx@yyy zzz
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
 pp enable 1
tunnel select 1
 tunnel encapsulation l2tpv3
 tunnel endpoint address 192.168.1.254 198.51.100.123
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike duration ipsec-sa 1 3600
  ipsec ike duration ike-sa 1 28800
  ipsec ike encryption 1 aes-cbc
  ipsec ike group 1 modp1024
  ipsec ike hash 1 sha
  ipsec ike keepalive use 1 on dpd
  ipsec ike local address 1 192.168.1.254
  ipsec ike pfs 1 on
  ipsec ike pre-shared-key 1 text xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
  ipsec ike remote address 1 198.51.100.123
 l2tp always-on on
 l2tp hostname YAMAHA-RT1
 l2tp tunnel auth off
 l2tp tunnel disconnect time off
 l2tp keepalive use on 20 3
 l2tp keepalive log on
 l2tp syslog on
 l2tp local router-id 203.0.113.123
 l2tp remote router-id 198.51.100.123
 l2tp remote end-id vpn-0v3nmzof
 tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.1.254 esp
nat descriptor masquerade static 1 2 192.168.1.254 udp 500
nat descriptor masquerade static 1 3 192.168.1.254 udp 4500
ipsec auto refresh on
ipsec transport 1 101 udp 1701
dns server pp 1
dns private address spoof on
l2tp service on l2tpv3

左側の YAMAHA RTX1210 の設定

こちらも “YAMAHA RTX1210 で単一拠点 L2TPv3/IPsec VPN(L2 VPN)” と同様です。

ip route default gateway pp 1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.1.253/24
pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname xxx@yyy zzz
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp nat descriptor 1
 pp enable 1
tunnel select 1
 tunnel encapsulation l2tpv3
 tunnel endpoint address 192.168.1.253 198.51.100.123
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike duration ipsec-sa 1 3600
  ipsec ike duration ike-sa 1 28800
  ipsec ike encryption 1 aes-cbc
  ipsec ike group 1 modp1024
  ipsec ike hash 1 sha
  ipsec ike keepalive use 1 on dpd
  ipsec ike local address 1 192.168.1.253
  ipsec ike pfs 1 on
  ipsec ike pre-shared-key 1 text xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
  ipsec ike remote address 1 198.51.100.123
 l2tp always-on on
 l2tp hostname YAMAHA-RT1
 l2tp tunnel auth off
 l2tp tunnel disconnect time off
 l2tp keepalive use on 20 3
 l2tp keepalive log on
 l2tp syslog on
 l2tp local router-id 203.0.113.234
 l2tp remote router-id 198.51.100.123
 l2tp remote end-id vpn-0xej1d7j
 tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.1.253 esp
nat descriptor masquerade static 1 2 192.168.1.253 udp 500
nat descriptor masquerade static 1 3 192.168.1.253 udp 4500
ipsec auto refresh on
ipsec transport 1 101 udp 1701
dns server pp 1
dns private address spoof on
l2tp service on l2tpv3

まとめ

L2TPv3/IPsec(L2 VPN) でニフティクラウドを Hub にオンプレ間の通信もできるような構成について紹介してみました。ニフティクラウド上のプライベート LAN と同じ L2 ネットワークが 2 カ所のオンプレに伸ばせるってなんだか不思議な感じがしますね。

次回はいままでとだいぶ雰囲気を変えて VPN ゲートウェイの性能について紹介したいと思います。お楽しみに。