前回は、ヤマハのネットワーク統合管理サービス「Yamaha Network Organizer(YNO)」を使って、リモートアクセスVPNを構築してみました。管理対象のネットワーク機器がその場になくても、クラウドサービスを経由して設定が行えるので、便利でした。
特に、専任のネットワーク管理者を置いていない組織においては、管理者の作業負担を減らすことができそうだと感じたのではないでしょうか。今までVPNの導入を躊躇していた組織においても、VPNの導入を検討するきっかけにもなりそうです。
さて今回は、すでに稼働しているRTX830の設定情報(CONFIG)を、別のRTX830に流し込む「ゼロコンフィグ」を試してみます。通常、ネットワーク機器は、工場出荷状態のままでは使えず、設定を行う必要があります。この設定が管理者の負担を増大させているといっても過言ではありません。
設定作業は、手間もかかれば、緊張感も伴います。設定を一箇所間違えていただけでも正常に動きませんし、設定の漏れは意図せずにセキュリティホールを作っているかもしれません。もし、すでに正常稼働している機器から設定情報をコピーできれば、これほど管理作業の低減につながることはありませんね。
今回行うゼロコンフィグの流れは、次のとおりです。
- すでに稼働しているRTX830の設定情報をベースに初期CONFIGを作る
- そのCONFIGをSDカードにコピーする
- そのSDカードを工場出荷状態のRTX830に挿入して電源を入れる
- 設定情報がコピーされる
工場出荷状態の機器は、インターネット接続に接続されていないので、YNOに接続することもできません。よって、CONFIGをSDカードに保存し、それを自動で読み込むという方法を取ります。それでは、早速始めていきましょう。
(1)YNOにログイン
まずは、YNOにログインし、ベースとなるCONFIGを作ります。発行されたオペレーターIDとパスワードを使ってYNOにログインし、ダッシュボードを表示しましょう。さらに、メニューから「機器管理」-「機器一覧」を選択し、機器一覧画面を表示します。すると、前回、VPNを構築したRTX830が一覧に表示されています。
(2)YNOマネージャー経由でWebGUIを表示
さらに、該当機器のWebGUIを参照してみましょう。機器一覧のRTX830の右に表示されている、アクション欄の矢印をクリックするとWebGUIを表示することができます。WebGUIが表示されたら、メニューの「かんたん設定」-「VPN」-「リモートアクセス」と選択していくと、現在のリモートアクセスVPNの状態が表示されます。リモートアクセスVPNが設定されていることがわかりますね。
(3)CONFIGのバックアップ
それでは、YNOに戻って、RTX830のCONFIGのバックアップをします。機器一覧画面上部にある「CONFIGバックアップ」ボタンを押します。すると、名称の入力画面になるので、名称を入力します。
なお、各モデルでバックアップ可能なCONFIGは1つのみです。過去にバックアップされていたCONFIGは破棄されるので注意しましょう。バックアップが始まるとジョブ一覧画面に遷移します。バックアップは即時実行で処理されるので、それほど時間は掛かりません。画面をリロードすると、成功欄に「1」が表示されているはずです。
さらに、メニューの「機器管理」-「CONFIGバックアップ一覧」から一覧画面を表示してみると、バックアップされているCONFIGを表示できます。ここで、詳細表示を押すと、バックアップの詳細を表示できます。この詳細表示されたCONFIGは、このあとの初期CONFIG作成で使います。
(4)初期CONFIGの作成
次に、SDカードにコピーするCONFIGを作成します。これは、初期CONFIG画面で操作します。メニューから「機器管理」-「ゼロコンフィグ」-「初期CONFIG一覧」を選択し、画面上部にある「初期CONFIGの新規作成」ボタンを押して、新規作成画面を表示しましょう。新規作成画面の初期CONFIG入力欄には、すでに次のようなコマンドが入力されています。
yno use on
yno zero-config id text ¥OPERATOR_NAME¥ ¥PLACE_ID¥ ¥PASSWORD¥
これは「YNOを使います」というコマンドです。このコマンドの前に、必要なコマンドを入力して初期CONFIGを作っていきます。初期CONFIGの作成には、先ほどバックアップしたRTX830のCONFIGを流用し、必要な部分だけを変更すればよいでしょう。
その前に、CONFIGに入力するコマンドにはどのような意味があるのか、セクション単位に、簡単に説明しておきます。
静的経路の設定をします。
ip route default gateway pp 1
LAN側のIPアドレスの設定をします。
必要に応じて変更します。拠点間VPNを構築することがある場合は、LAN側のIPアドレスが重複しないように注意します。
ip lan1 address 192.168.100.1/24
ネットワークインタフェース設定前の宣言です。
pp disable all
WAN側インタフェースの設定です。
プロバイダーへの接続設定をします。 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname [プロバイダユーザー] [パスワード] …
PPTP接続を許可する設定です。
リモートアクセスVPNでアクセスしてくるユーザーを設定します。
pp select anonymous
pp bind tunnel1
pp auth request chap-pap
pp auth username [PPTP接続ユーザー] [パスワード]
…
pp enable anonymous
リモートアクセスVPN(PPTP接続)の設定です。
tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
…
tunnel enable 1
フィルタを設定します。
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.100.0/24 * * * *
…
NATの設定をします。
nat descriptor type 1000 masquerade
DHCPの設定をします。
機器のLAN側IPアドレスに合わせる必要があります。
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
DNSの設定をします。
dns host lan1
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
入力が済んだら保存します。入力された初期CONFIGは一覧に表示され、表示してみると、次のようになっています。
(5)初期CONFIGのダウンロード
初期CONFIGを作成できたら、一旦、ローカルPCにダウンロードします。メニューの「機器管理」-「ゼロコンフィグ」-「CONFIG一覧」に戻り、初期CONFIGを取得するCONFIGの右端にあるダウンロードアイコンを押すと、ダウンロードされます。このconfig.txtをマイクロSDカードにコピーしましょう。
(6)SDカードを挿入して起動
新規で設定を行うRT830には、電源ケーブルとWAN側のネットワークケーブルを接続し、SDカードをスロットに挿入して、電源を入れます。
電源を入れると、POWERランプが点滅し、「ピポ」というアラーム音がしたあと、STATUSランプが点滅、CONFIGが置き換わると、「ピポピ」というアラーム音が鳴ります。
YNOの機器一覧画面をリロードしてみましょう。次のように表示されます。「New CPE」と表示されているのが、ゼロコンフィグで設定を投入した機器です。成功しました。
(7)ファームウェア更新
ファームウェアは、機器一覧画面上部にある「ファームウェア更新」ボタンを使って最新版に更新しましょう。管理対象機器のWebGUIを表示できる「GUI Forwarder」は、「Rev,15.02.03」以降である必要があります。
ファームウェアを最新版に更新したら、WebGUIを表示し、リモートアクセスVPNを確認してみましょう。設定されているはずです。
今回は、YNOのゼロコンフィグという、YNOマネージャーに接続してきた機器に自動で設定情報(CONFIG)を送信する機能を使って、ルータの初期設定をしてみました。
ルータが遠隔地にある場合は、CONFIGが保存されているSDカードを現地の担当者に送付して、ルータにSDカードを挿入し、電源を投入するだけで設定できるため、簡単に設置することができます。
前回は、YNOを経由してクラウドサービス上で実際に手を動かして設定を行いましたが、今回は、管理者が実機を操作することもほとんどありません。特に、複数台のルータを設置するような場合は、設定のミスを抑えて、管理者の作業も低減できるでしょう。