ドコモ BF-01B で RTX1000 VPN接続 

ドコモ BF-01Bを手配した。

価格は機種変更で21,000円、新規はタダ。 バッファローのDWR-PGを買うよりかなりお得なようです。

BUFFALO ポータブルWiFiルーター Portable Wi-Fi DWR-PG
バッファロー (2010-06-25)
売り上げランキング: 2634

この機種は「静的ルーティング機能」が有るため、配下に別のルータを接続出来る。
BF-01B に RTX1000を接続して、VPN接続が出来るかテストする予定。(RTX1000でOKなら、RTX1100でも問題なし)

イメージはこんな感じ...

 

2010/10/19 追記 (2011/07/04修正)

BF-01Bが届いたので早速テストしてみた。

結果: OK

あっけなくVPN接続できてしまった

<やったこと>
・BF-01B単体でインターネット接続させる
・BF-01BのIPアドレスを192.168.0.1に変更する
・経路設定に、RTX1000のLAN1側のセグメントを追加する
・VPN接続テスト → OK

<address構成>

         <========tunnel 26=========>  
 ? 本社RTX1100????    <=>?  BF-01B???????????? <=>??????????? RTX1000??????????????? <=>???????????????????????? PC
 LAN2:xx.xx.xx.xx??????????????????? 192.168.0.1??????????????????? LAN2:192.168.0.2
 LAN1:192.168.1.1????????????????      ??????????????????????? LAN1:192.168.26.1????????????????????? 192.168.26.100(DHCP)

<RTX1000 config>

# RTX1000 Rev.8.01.28 (Mon Aug  4 17:13:15 2008)

ip route default gateway 192.168.0.1
ip route 192.168.1.0/24 gateway tunnel 26 ← 192.168.1.0/24セグメントのパケットはトンネル26へ転送 
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.26.1/24
ip lan2 address 192.168.0.2/24
tunnel select 26
 ipsec tunnel 26
  ipsec sa policy 26 26 esp aes-cbc sha-hmac
  ipsec ike keepalive log 26 off
  ipsec ike keepalive use 26 off
  ipsec ike local address 26 192.168.26.1 ←ローカルアドレス
  ipsec ike local name 26 mnetsg26 key-id ←ローカル名
  ipsec ike pre-shared-key 26 text ********  ←パスワード
  ipsec ike remote address 26 ***.***.***.*** ←本社外部アドレス
 ip tunnel tcp mss limit auto
 tunnel enable 26
ipsec auto refresh on
ipsec ike retry 10 5
dhcp service server
dhcp scope 1 192.168.26.100-192.168.26.199/24 expire 10:00 maxexpire 10:00
dns server 210.130.1.1
dns private address spoof on

<本社側rtx1100の設定(抜粋)>

ip route 192.168.26.0/24 gateway tunnel 26 ← 192.168.26.0/24セグメントのパケットはトンネル26へ転送
  
tunnel select 26
ipsec tunnel 26
ipsec sa policy 26 26 esp aes-cbc sha-hmac
ipsec ike keepalive log 26 off
ipsec ike keepalive use 26 off
ipsec ike local address 26 192.168.1.1 ←ローカルアドレス 
ipsec ike pre-shared-key 26 text ********  ←パスワード
ipsec ike remote address 26 any ← 接続するアドレス anyはどのアドレスもOK
ipsec ike remote name 26 mnetsg26 ← リモート名
ip tunnel tcp mss limit auto
tunnel enable 26

<その他>
・VPN接続はできたが、結構ケーブルがかさばるのが気になる。
理想はRTX1200 + L-05A。これならケーブルは少ないので、すっきりするんだが...
RTX1200の中古でも6万位はするので、5千円弱で手に入るRTX1000で我慢しよう。

2011/05/07

経路情報の設定画面のスクリーンショットをアップします

数ある通信カードのなかで、BF-01Bは、この経路情報を登録できることが
大きな特徴だと思います。
この機能があるから、BF-01Bの配下にRTX1000等のルーターを接続できます。

で、設定内容ですが...
宛先アドレスにRTX1000 LAN1のセグメントのアドレスを指定し、(192.168.28.0 / 255.255.255.0)
ゲートウェイにRTX1000 LAN2のアドレスを指定します。(192.168.0.2)

こうすることにより、192.168.28.* 宛のパケットは, 192.168.0.2 に転送されるようになり、
BF-01BはRTX1000と通信を始めてくれます。

*前の記事ではRTX1000 LAN1のアドレスが192.168.26.0になっていますが、
スクリーンショットの192.168.28.0と異なります。
これは、たまたま手元にあったBF-01Bが、192.168.28.0用だったためで、
192.168.26.0と読み替えてください。

 

2017/12/08 ドコモBF-01Dを格安SIM(IIJmio)を使って RTX1100でVPN接続

これまでドコモBF-01B、BF-01DとヤマハRTX1000、RTX1100を使って本社・拠点間でVPN接続をしてきた
しかし、ドコモは通信料が高い為、格安SIM(IIJmio)を試してみることにした

■設定変更せずSIMのみ交換してみた結果

・BF-01DにIIJmioのSIMをセット
・APNをIIJmioに変更

 結果:トンネル自体は接続状態になるが、pingが通らない状態となった

■IIJmioのVPN接続について調べてみた

・プロトコルやアプリによる制限は設けていない。
・端末にはプライベートIPアドレスが割り当てられるため、接続できない可能性がある。

https://help.iijmio.jp/app/answers/detail/a_id/2174/~/vpn%E6%8E%A5%E7%B6%9A%E3%81%AF%E5%88%A9%E7%94%A8%E3%81%A7%E3%81%8D%E3%81%BE%E3%81%99%E3%81%8B

■設定変更して試してみた

 結果:接続可能

但し、下記の制約がある
・RTX1000は使用不可 (nat-traversalが使用できないようだ)
 ・RTX1100はファームアップが必要(8.03.46以上)
 ・RTX1100の設定変更が必要(nat-traversal,keepalive,nat)

<参考URL>
ファームウェア配布ページ
http://www.rtpro.yamaha.co.jp/RT/firmware/index.php

IPsec NATトラバーサル 外部仕様書
http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat-traversal.html

■RTX1100 変更ポイント

・最新のファームに更新する

・nat-traversal機能をオンにする (本社、拠点)

ipsec ike nat-traversal xx on

・キープアライブをオンにする (本社、拠点)

ipsec ike keepalive log xx on
ipsec ike keepalive use xx auto heartbeat

・静的IPマスカレードでUDP 500,4500を指定する (本社)

nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 udp 4500

※本社では鍵交換を受け付けるため、静的IPマスカレードを設定し、 外側からのパケットを常に通します。
UDPの500番はIKEを通すために必要で、 UDPの4500番もNATトラバーサルで発生するパケットを通すために必要です。

ドコモ BF-01B で RTX1000 VPN接続 ” への12件のフィードバック

  1. こんにちは。
    はじめまして、私もドコモBF-01BでRTX1000 VPN接続をやろうとしていますが、ルータの設定などやったことが無いのでネット上の情報が頼りです。
    NTTのADSL回線にRTX1100を繋げてtunnelの片側は設定できたので、もう片方をBF-01BとRTX1000で設定したくて情報を探していたところPika’s Homeを見つけました。
    早速この通りにやってみましたが上手く行きません。BF-01B+RTX1000でインターネットに繋ぐこともできません。ご教授願えませんでしょうか。

  2. BF-01BでVPN接続できてしまうと、スピードは少々遅いですが、
    便利ですので、頑張ってみてください。

    気になるのは、ADSLで、固定IPではないと思います。
    その場合は、yamaha等のダイナミックDSNを利用する必要があります。

    もし、VPN接続が初めてならば、yamahaのVPNクライアント(確か1か月は無料で使えると思います)
    で、雰囲気を確認するのも手です。

    その他のチェックポイントですが...

    ・BF-01B単体でインターネット接続させる

     >これは必須です。  

    ・BF-01BのIPアドレスを192.168.0.1に変更する

     >RTX1100側と別なセグメントにしてやる必要があります

    ・経路設定に、RTX1000のLAN1側のセグメントを追加する

     >BF-01Bの画面で、192.168.26.0/24宛のパケットを
      192.168.0.2のアドレスに転送するように指定します。
      この部分は、ちょっとわかりにくかったかも...
      設定画面の画面コピーが入手できたら、貼り付けておきます。

    ・本社側のRTX1100の関係しそうな設定部分です。
     参考にしてみてください。

    ip route 192.168.26.0/24 gateway tunnel 26

    tunnel select 26
    ipsec tunnel 26
    ipsec sa policy 26 26 esp aes-cbc sha-hmac
    ipsec ike keepalive log 26 off
    ipsec ike keepalive use 26 off
    ipsec ike local address 26 192.168.1.1
    ipsec ike pre-shared-key 26 text ********
    ipsec ike remote address 26 any
    ipsec ike remote name 26 mnetsg26
    ip tunnel tcp mss limit auto
    tunnel enable 26

  3. 早速ご対応頂きありがとうございます。
    >BF-01Bの画面で、192.168.26.0/24宛のパケットを
      192.168.0.2のアドレスに転送するように指定します。
      この部分は、ちょっとわかりにくかったかも...
      設定画面の画面コピーが入手できたら、貼り付けておきます。
    このあたりは理解できていなくて勉強になります。
    週明けに試してみて報告させて頂きます。
    ありがとうございました。

  4. 試してみたこと。
    address構成
    BF-01B  RTX1000 PC
    192.168.13.1 LAN2:192.168.13.2
    LAN1:192.168.21.1 192.168.21.21(DHCP)

    BF-01Bに経路情報を登録
    宛先アドレス サブネットマスク ゲートウェイ
    192.168.21.0 255.255.255.0 192.168.13.2

    RTX1000 config設定
    ip route default gateway 192.168.13.1
    ip filter source-route on
    ip filter directed-broadcast on
    ip lan1 address 192.168.21.1/24
    ip lan2 address 192.168.13.2/24
    dhcp service server
    dhcp scope 1 192.168.21.21-192.168.21.39/24
    dns server 192.168.13.1
    dns private address spoof on

    これで、PCからインターネットに繋がりました。

    次にIPsecの設定。
    ip route 192.168.21.0/24 gateway tunnel 26
    tunnel select 26
    ipsec tunnel 26
    ipsec sa policy 26 26 esp aes-cbc sha-hmac
    ipsec ike keepalive log 26 off
    ipsec ike keepalive use 26 off
    ipsec ike local address 26 192.168.1.1
    ipsec ike pre-shared-key 26 text ********
    ipsec ike remote address 26 any
    ipsec ike remote name 26 hoge26
    ip tunnel tcp mss limit auto
    tunnel enable 26
    ipsec auto refresh on
    ipsec ike retry 10 5

    PCからインターネットに繋がらなくなりました。
    何が悪いのでしょうか?

  5. 2点ほどきになったので、コメントいたします。

    >ipsec ike local address 26 192.168.1.1
    ローカルアドレスは、筒井さんの場合、192.168.21.1 ですね。

    >ipsec ike remote name 26 hoge26

    「hoge26」で、RTX1100側ののアドレスを参照できていればいいのですが、
    参照できないと、VPN接続できません。
    RTX1100のLan2のアドレスを調べて、テストとしてリモートアドレスを設定してみるのも、
    一つの方法です。うまく接続できたら、DNSサービスを利用したらいいと思います。

    YAMAHAのDNSサービスを使う場合は、下記参照。(確かRTXをもっていれば無料で使えると思います)
    http://www.rtpro.yamaha.co.jp/RT/FAQ/NetVolanteDNS/netvolante-dns-use-command.html

  6. BF-01Bを他の業務で使用することになり
    しばしVPN接続の実験は中断せざるを得なくなりました。
    ご丁寧なご支援をして頂きどうもありがとうございました。

  7. お世話になります
    私もこのBF-01BとRTX1000を使って、VPN接続に挑戦をしようと思うのですが、設定を教えていただきたいのです。
    それは、イメージ図のなかで、インターネット(mopera)の相手側RTX1000の設定を教えてほしいのです。
    相手側は、Bフレッツ光で固定グローバルIPを1個持っています。

  8. スパムコメントが多くなり、コメント頂いたのに気づくのが遅くなりました。
    説明文に色を付けて、もう少しわかりやすくなるように修正してみましたので参考にしてみてください。

  9. こんにちは。
    モバイルルーターでのVPN構築に苦戦しておりましたところ、大変参考になりました。ありがとうございます。
    少しご教示頂けましたら有難いのですが、この方法による場合、自宅から本社へは繋ぐことができますが、逆では、つまり会社から自宅のネットワークには接続できないということになりますのでしょうか。

  10. HIROさん、コメントありがとうございます。
    自宅、会社の双方でアクセス可能ですよ。
    私のところでは、会社から無線の拠点に設置したコピー機などの状態確認や、設定変更を行ってます。

  11. こんにちは。
    早速にレスを頂きましてありがとうございます。
    なるほど、この様な間接的な?接続でもDDNSを利用して逆からのアクセスをする事が可能なんですね。ありがとうございます。
    私がやりたいことは外出先からAndroid端末で自宅LANに接続したいと考えております。ただし、住まいの関係で固定回線を引くことができずwimaxを用いて自宅LANをWANに接続しておりますので、方法が思いつかず四苦八苦考えておりました。
    もう少し勉強して、私もVPNを構築してみます。
    ご教示頂きまして誠に有り難う御座いました。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です