BF-01Dを格安SIM(IIJmio)を使って RTX1100でVPN接続
これまでドコモBF-01B、BF-01DとヤマハRTX1000、RTX1100を使って本社・拠点間でVPN接続をしてきた
しかし、ドコモは通信料が高い為、格安SIM(IIJmio)を試してみることにした
■設定変更せずSIMのみIIJmio SIMに交換してみた結果
・BF-01DにIIJmioのSIMをセット
・APNをIIJmioに変更
結果:トンネル自体は接続状態になるが、pingが通らない状態となった
■IIJmioのVPN接続について調べてみた
・プロトコルやアプリによる制限は設けていない。
・端末にはプライベートIPアドレスが割り当てられるため、接続できない可能性がある。
■設定変更して試してみた
結果:接続可能
但し、下記の制約がある
・RTX1000は使用不可 (nat-traversalが使用できないようだ)
・RTX1100はファームアップが必要(8.03.46以上)
・RTX1100の設定変更が必要(nat-traversal,keepalive,nat)
<参考URL>
ファームウェア配布ページ
http://www.rtpro.yamaha.co.jp/RT/firmware/index.php
IPsec NATトラバーサル 外部仕様書
http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat-traversal.html
■RTX1100 変更ポイント
・最新のファームに更新する
・nat-traversal機能をオンにする (本社、拠点)
ipsec ike nat-traversal xx on
・キープアライブをオンにする (本社、拠点)
ipsec ike keepalive log xx on ipsec ike keepalive use xx auto heartbeat
・静的IPマスカレードでUDP 500,4500を指定する (本社)
nat descriptor masquerade static 1 1 192.168.1.1 udp 500 nat descriptor masquerade static 1 2 192.168.1.1 udp 4500
※本社では鍵交換を受け付けるため、静的IPマスカレードを設定し、 外側からのパケットを常に通します。
UDPの500番はIKEを通すために必要で、 UDPの4500番もNATトラバーサルで発生するパケットを通すために必要です。
■設定
<address構成>
<========tunnel 26=========> 本社RTX1200 <=> BF-01d <=> RTX1100 <=> PC LAN2:xx.xx.xx.xx 192.168.0.1 LAN2:192.168.0.2 LAN1:192.168.1.1 LAN1:192.168.26.1 192.168.26.100(DHCP)
<RTX1100 config>
ip route default gateway 192.168.0.1
ip route 192.168.1.0/24 gateway tunnel 26 ← 192.168.1.0/24セグメントのパケットはトンネル26へ転送
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.26.1/24
ip lan2 address 192.168.0.2/24
tunnel select 26
ipsec tunnel 26
ipsec sa policy 26 26 esp aes-cbc sha-hmac
ipsec ike keepalive log 26 on
ipsec ike keepalive use 26 auto heartbeat
ipsec ike nat-traversal 26 on
ipsec ike local address 26 192.168.26.1 ←ローカルアドレス
ipsec ike local name 26 mnetsg26 key-id ←ローカル名
ipsec ike pre-shared-key 26 text ******** ←パスワード
ipsec ike remote address 26 ***.***.***.*** ←本社外部アドレス
ip tunnel tcp mss limit auto
tunnel enable 26
ipsec auto refresh on
ipsec ike retry 10 5
dhcp service server
dhcp scope 1 192.168.26.100-192.168.26.199/24 expire 10:00 maxexpire 10:00
dns server 210.130.1.1
dns private address spoof on
<本社側rtx1200の設定(抜粋)>
ip route 192.168.26.0/24 gateway tunnel 26 ← 192.168.26.0/24セグメントのパケットはトンネル26へ転送 tunnel select 26 ipsec tunnel 26 ipsec sa policy 26 26 esp aes-cbc sha-hmac ipsec ike keepalive log 26 on ipsec ike keepalive use 26 auto heartbeat ipsec ike nat-traversal 26 on ipsec ike local address 26 192.168.1.1 ←ローカルアドレス ipsec ike pre-shared-key 26 text ******** ←パスワード ipsec ike remote address 26 any ← 接続するアドレス anyはどのアドレスもOK ipsec ike remote name 26 mnetsg26 ← リモート名 ip tunnel tcp mss limit auto tunnel enable 26 nat descriptor masquerade static 1 1 192.168.1.1 udp 500 nat descriptor masquerade static 1 2 192.168.1.1 udp 4500
<経路情報の設定画面のスクリーンショット>
数ある通信カードのなかで、BF-01B,BF-01Dは、この経路情報を登録できることが
大きな特徴だと思います。
この機能があるから、BF-01B,BF-01Dの配下にRTX1100等のルーターを接続できます。
で、設定内容ですが...
宛先アドレスにRTX1100 LAN1のセグメントのアドレスを指定し、(192.168.28.0 / 255.255.255.0)
ゲートウェイにRTX1100 LAN2のアドレスを指定します。(192.168.0.2)
こうすることにより、192.168.28.* 宛のパケットは, 192.168.0.2 に転送されるようになり、
BF-01BはRTX1100と通信を始めてくれます。
*前の記事ではRTX1100 LAN1のアドレスが192.168.26.0になっていますが、
スクリーンショットの192.168.28.0と異なります。
これは、たまたま手元にあったBF-01Bが、192.168.28.0用だったためで、
192.168.26.0と読み替えてください。
