BF-01Dを格安SIM(IIJmio)を使って RTX1100でVPN接続

11 12月, 2017 (10:23) | YAMAHAルーター | By: ohishi

これまでドコモBF-01B、BF-01DとヤマハRTX1000、RTX1100を使って本社・拠点間でVPN接続をしてきた
しかし、ドコモは通信料が高い為、格安SIM(IIJmio)を試してみることにした

■設定変更せずSIMのみIIJmio SIMに交換してみた結果

・BF-01DにIIJmioのSIMをセット
・APNをIIJmioに変更

 結果:トンネル自体は接続状態になるが、pingが通らない状態となった

■IIJmioのVPN接続について調べてみた

・プロトコルやアプリによる制限は設けていない。
・端末にはプライベートIPアドレスが割り当てられるため、接続できない可能性がある。

https://help.iijmio.jp/app/answers/detail/a_id/2174/~/vpn%E6%8E%A5%E7%B6%9A%E3%81%AF%E5%88%A9%E7%94%A8%E3%81%A7%E3%81%8D%E3%81%BE%E3%81%99%E3%81%8B

■設定変更して試してみた

 結果:接続可能

但し、下記の制約がある
 ・RTX1000は使用不可 (nat-traversalが使用できないようだ)
 ・RTX1100はファームアップが必要(8.03.46以上)
 ・RTX1100の設定変更が必要(nat-traversal,keepalive,nat)

<参考URL>
ファームウェア配布ページ
http://www.rtpro.yamaha.co.jp/RT/firmware/index.php

IPsec NATトラバーサル 外部仕様書
http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat-traversal.html

■RTX1100 変更ポイント

・最新のファームに更新する

・nat-traversal機能をオンにする (本社、拠点)

ipsec ike nat-traversal xx on

・キープアライブをオンにする (本社、拠点)

ipsec ike keepalive log xx on
ipsec ike keepalive use xx auto heartbeat

・静的IPマスカレードでUDP 500,4500を指定する (本社)

nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 udp 4500

※本社では鍵交換を受け付けるため、静的IPマスカレードを設定し、 外側からのパケットを常に通します。
UDPの500番はIKEを通すために必要で、 UDPの4500番もNATトラバーサルで発生するパケットを通すために必要です。

 

■設定

<address構成>

         <========tunnel 26=========>  
   本社RTX1200        <=>   BF-01d             <=>            RTX1100                <=>                         PC
 LAN2:xx.xx.xx.xx                    192.168.0.1                    LAN2:192.168.0.2
 LAN1:192.168.1.1                                              LAN1:192.168.26.1                      192.168.26.100(DHCP)

<RTX1100 config>

ip route default gateway 192.168.0.1
ip route 192.168.1.0/24 gateway tunnel 26 ← 192.168.1.0/24セグメントのパケットはトンネル26へ転送
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.26.1/24
ip lan2 address 192.168.0.2/24

tunnel select 26
 ipsec tunnel 26
  ipsec sa policy 26 26 esp aes-cbc sha-hmac
  ipsec ike keepalive log 26 on
  ipsec ike keepalive use 26 auto heartbeat
  ipsec ike nat-traversal 26 on
  ipsec ike local address 26 192.168.26.1 ←ローカルアドレス
  ipsec ike local name 26 mnetsg26 key-id ←ローカル名
  ipsec ike pre-shared-key 26 text ******** ←パスワード
  ipsec ike remote address 26 ***.***.***.*** ←本社外部アドレス
 ip tunnel tcp mss limit auto
tunnel enable 26

ipsec auto refresh on 
ipsec ike retry 10 5 
dhcp service server 
dhcp scope 1 192.168.26.100-192.168.26.199/24 expire 10:00 maxexpire 10:00 
dns server 210.130.1.1 
dns private address spoof on

 

<本社側rtx1200の設定(抜粋)>

ip route 192.168.26.0/24 gateway tunnel 26 ← 192.168.26.0/24セグメントのパケットはトンネル26へ転送
  
tunnel select 26
 ipsec tunnel 26
  ipsec sa policy 26 26 esp aes-cbc sha-hmac
  ipsec ike keepalive log 26 on
  ipsec ike keepalive use 26 auto heartbeat
  ipsec ike nat-traversal 26 on
  ipsec ike local address 26 192.168.1.1 ←ローカルアドレス 
  ipsec ike pre-shared-key 26 text ********  ←パスワード
  ipsec ike remote address 26 any ← 接続するアドレス anyはどのアドレスもOK
  ipsec ike remote name 26 mnetsg26 ← リモート名
  ip tunnel tcp mss limit auto
 tunnel enable 26

nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 udp 4500

 

<経路情報の設定画面のスクリーンショット>

数ある通信カードのなかで、BF-01B,BF-01Dは、この経路情報を登録できることが
大きな特徴だと思います。
この機能があるから、BF-01B,BF-01Dの配下にRTX1100等のルーターを接続できます。

で、設定内容ですが...
宛先アドレスにRTX1100 LAN1のセグメントのアドレスを指定し、(192.168.28.0 / 255.255.255.0)
ゲートウェイにRTX1100 LAN2のアドレスを指定します。(192.168.0.2)

こうすることにより、192.168.28.* 宛のパケットは, 192.168.0.2 に転送されるようになり、
BF-01BはRTX1100と通信を始めてくれます。

*前の記事ではRTX1100 LAN1のアドレスが192.168.26.0になっていますが、
スクリーンショットの192.168.28.0と異なります。
これは、たまたま手元にあったBF-01Bが、192.168.28.0用だったためで、
192.168.26.0と読み替えてください。

 

Write a comment