ヤマハルータでつくるインターネットVPN(10) VPNゲートウェイをLAN内部に設置する使い方

これまで、本連載で取り上げてきたインターネットVPN の設定例は、いずれもLANとインターネットの境界に設置したヤマハルータをVPNゲートウェイとして機能させるという内容だった。こうすれば、拠点ごとに1台のルータを設置するだけで済む。

しかし、LANの内部にVPNゲートウェイを設置する形態も考えられないわけではない。たとえば、すでにLANとインターネットの境界にルータを設置済みで、そこに後からVPNゲートウェイを付け足す、といった場面が考えられる。そういった必要性が生じる蓋然性はともかく、ひとつの設定例ということで、VPNゲートウェイをLAN上に配置する場合の設定例について取り上げてみよう。

なお、この設定例は「ヤマハルータでつくるインターネットVPN」の改訂第2版まで収録しているが、改訂第3版には収録していない。そのこともあり、ここで取り上げてみようと考えた次第だ。使用するプロトコルについては、IPsecに限定することとしたい。

設定に際しての基本的な考え方

VPNゲートウェイをLAN上に配置する場面として「インターネット→ファイアウォール→VPNゲートウェイ→LAN」という構成を想定した。そして、ファイアウォールとVPNゲートウェイの間、VPNゲートウェイとLANの間で、それぞれ異なるネットワークアドレスを持つプライベートIPアドレスを割り当てることになる(そうしないと、ルーティングが成立しない)。

そして、IPマスカレードはファイアウォールの部分でのみ行う。IPマスカレードを二重に作動させるとトラブルの原因になるためだ。そのため、VPNゲートウェイとなるヤマハルータは、双方にプライベートIPアドレスを持つローカルルータとして機能して、そこにVPNゲートウェイとしての設定を追加する形になる。

インターネット側からの不正侵入阻止はファイアウォールに依存することになることから、設定簡略化のために、VPNゲートウェイとなるヤマハルータではファイアウォール関連の設定は省略する。また、話を簡単にするために、対向する2つのLANのうち片側についてのみ、LAN内部にVPNゲートウェイを配置する想定とした。

この項で想定しているネットワーク構成

ファイアウォールとなるルータに対して必要な設定

インターネットとの境界に設置するファイアウォールでは、IPsecの通信をLAN内部に配置したVPNゲートウェイまで確実に送り届けるために、パケットフィルタと静的IPマスカレード(ヤマハルータでいうところのNATディスクリプタ)の設定が必要になる。その設定に際して必要となる考え方は、以下のような内容になる。

・IKEで使用する、UDPポート500番(送信側・受信側ともに同じポート番号を使用する)のトラフィックを、LAN側に設置したVPNゲートウェイのファイアウォール側IPアドレスに変換・転送させる
・IPsecで使用するESP(プロトコル番号50)も同様に、LAN側に設置したVPNゲートウェイのファイアウォール側IPアドレスに変換・転送させる
・上に挙げた2種類のトラフィックが通過できるように、パケットフィルタ設定を行う

そこで問題になるのが、プロトコル番号を使ってフィルタや静的IPマスカレードの設定を行えるかどうかだ。ヤマハルータであれば問題ないが、それ以外のルータを使用する場合には、この点を確認する必要がある。

以下に、ヤマハルータを使用する場合のフィルタ設定とNATディスクリプタ設定を示す。VPNゲートウェイをLAN内部に配置するLAN #1では、ファイアウォールと、VPNゲートウェイとなるヤマハルータの間でネットワークアドレス「192.168.1.0/24」を、VPNゲートウェイの内側ではネットワークアドレス「192.168.100.0/24」を使用する想定とした。

・IPsecを通過させるためのフィルタ設定

ip filter 1 pass * 192.168.1.1 udp * 500
ip filter 2 pass * 192.168.1.1 esp * *
ip lan2 secure filter in ...1 2...

・IPsecを通過させるためのNATディスクリプタ設定

nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor masquerade static 200 1 192.168.1.1 udp 500
nat descriptor masquerade static 200 2 192.168.1.1 esp *

(既存のフィルタ設定と番号が重複する場合には、フィルタ番号を適当な空き番号に置き換える)

IPsecの設定

一方、IPsecの設定については、トンネルエンドポイントの指定が問題になる。

具体的にいうと、VPNゲートウェイとなるルータ #1のLAN #1側アドレス(192.168.100.1)をトンネルエンドポイントにする。これは、VPNゲートウェイがローカルルータとして機能しており、NATやIPマスカレードといったアドレス変換機能を動作させていないことから、IPsecの通信がVPNゲートウェイのLAN #1側まで筒抜けになるためだ。

そのため、VPNゲートウェイとなるヤマハルータのIPsec関連コマンドは以下のようになる。lan1がLAN側、lan2がファイアウォール側のインタフェースである。

ルータ #1の設定(LAN #1側VPNゲートウェイ)


ip lan1 address 192.168.100.1/24
ip lan2 address 192.168.1.1/24
tunnel select 1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike keepalive use 1 on
  ipsec ike keepalive log 1 off
  ip tunnel tcp mss limit auto
  ipsec ike local address 1 192.168.100.1
  ipsec ike pre-shared-key 1 text password
  ipsec ike remote address 1 172.16.0.3
 tunnel enable 1
ipsec auto refresh on
ip route default gateway 192.168.1.2
ip route 192.168.101.0/24 gateway tunnel 1

この設定の特徴は、ファイアウォールのLAN側IPアドレス「192.168.1.2」を、デフォルトゲートウェイに指定している点だ(最後から2行目)。これを忘れると、LAN #1からインターネットに向かう通信が迷子になってしまうので注意が必要だ。

なお、末尾のip routeコマンドは、VPNを通じて行き来するトラフィックをIPsecのトンネルに通して、LAN #2に中継させるための指定だ。これは、一般的なIPsec VPN設定の場合と同じ考え方になる。

これと対向する側のVPNゲートウェイ(ルータ #3)は、前述したようにLANとインターネットの境界に設置して、過去の本連載で取り上げてきた設定例と同様に、ルータとVPNゲートウェイを兼ねる想定としている。そのため、実際にはパケットフィルタやNATディスクリプタの設定も必要になるのだが、それについては割愛してIPsec関連の設定だけを示す。

ルータ #3の設定(LAN #2側VPNゲートウェイ)


tunnel select 1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike keepalive use 1 on
  ipsec ike keepalive log 1 off
  ip tunnel tcp mss limit auto
  ipsec ike local address 1 172.16.0.3
  ipsec ike pre-shared-key 1 text password
  ipsec ike remote address 1 172.16.0.2
 tunnel enable 1
ipsec auto refresh on
ip route 192.168.100.0/24 gateway tunnel 1

トンネルエンドポイントとして、自機(ルータ #3)のWAN側IPアドレス(172.16.0.3)と、対向する側のファイアウォールに割り当てたWAN側IPアドレス(172.16.0.2)を指定している点がポイントだ。LAN #1側に向かうIPsecのトラフィックは、ルータ #2に設定した静的IPマスカレード機能によってルータ #1に転送されるので、ルータ #3側では、ルータ #2のWAN側IPアドレスを指定する必要がある。

ip routeコマンドによるルーティングの対象は、VPNゲートウェイを通過した先のLANで使用しているネットワークアドレスとなる。これは一般的なVPN設定と同様だ。

ヤマハルータでつくるインターネットVPN ［第3版］

著者:井上孝司　協力:ヤマハ　価格:4,515円

本書は、ヤマハ社のVPNルータ NetVolante/RT/RTXシリーズを対象に、セキュリティの高いVPN環境を構築する手法を解説。VPN、IPsec利用環境の基礎知識から実構築・有効活用まで、「ヤマハルータ」の機能を活用した、さまざまなVPNの有効活用がこの1冊でできるようになる。また、QoS、バックアップ機能からルータの管理・メンテナンスもわかりやすく解説する。