フレッツVPNワイドを使った2拠点VPNの設定例

フレッツ・VPNワイドとは？

フレッツVPNワイドは、NTT東西が提供しているVPNサービスです。複数拠点をインターネットを介さずフレッツ網内でVPN接続することができます。

このサービスを利用することで、接続先のネットワークがお互いに参照可能になり、共有フォルダやNASへのアクセス、Windows のリモートデスクトップ接続などを行うことができます。

東日本
http://flets.com/vpnwide/

西日本
http://flets-w.com/vpnwide/

利用条件は、管理者側は、フレッツ光ネクスト利用、参加者側はフレッツのいずれかのサービス(ISDN含む)を利用していること。利用料金は一拠点あたり月額1,890円。(他に初期工事費として一拠点 2,100円)
新規契約する場合は契約インセンティブがある代理店が多い。
以下のリンクはそのうちの一例
PCと現金がもらえる新規申し込み

YAMAHA RT シリーズ利用者は簡単な設定で利用することが可能です。

NTTへのサービス申し込み(西日本の場合の例)

オンラインでの申し込み方法

オンラインでの申し込みは「フレッツ光 ネクストサービス情報サイト」から行います。
このサイトは、フレッツ網内にあるので、インターネットから直接接続することができません。

ルーターにフレッツ網への接続設定を行うか、光終端装置に直結したパソコンから純正の接続ツールを使って接続します。

接続ツールは契約時に受領した CD-ROM からインストールするか、下記ページからダウンロードします。
http://flets-w.com/support/download/

申し込み時に、フレッツサービスのお客様ID と アクセスキーが必要になります。
これらはフレッツサービスの契約時に受領した紙に書いてあります。(アクセスキーというのはこのサイトの利用暗証番号)

管理者用ID、パスワード、企業識別子の取得、設定

申し込み画面でまず管理者用の IDを取得しパスワードを設定します。同時に「企業識別子」が発行されます。
「企業識別子」はこのサービスを利用するにあたってのドメイン名のようなものです。
(実際にドメイン名を企業識別子に設定することも可能ですが、この場合はオンラインでの手続きでなく書面での手続きが必要になります。)

参加者用ID、パスワードの登録

引き続き、参加者(もう一方の接続先)用の ID、パスワードを管理メニューから設定します。

各拠点のWAN アドレスの設定

管理者側の拠点と、参加者側の拠点用に、IPアドレスを設定します。このアドレスは、グローバルアドレスでも、ローカルアドレスでもなく、このサービスを利用するためだけのための、各拠点のIP WANアドレスです。

自分で自由に設定できるので、各拠点のローカルアドレスと全く関係無いアドレスを利用することがお勧めです。(その方がルーターの設定時に混乱しなくてすみます。)

筆者の場合、管理者側が 10.10.10.1/24 参加者側が 10.10.10.2/24 としました。
⇒2017/09/01時点では別セグメント
　管理者：10.10.10.1/24
　参加者：10.10.20.2/24
　で更新しないとエラーとなってしまうようです。
　以下、適宜読み替えてください。

なお、このサービスは、各拠点のフレッツ利用者ID によって通信を識別しているし、上記のアドレスもグローバルアドレスでは無いので、さらしてしまっても心配ありません。
(LAN 内のローカルアドレスをさらすようなもの)

参加者側でのオンラインからの利用登録

参加者側でもサービスの利用登録が必要ですが、管理者側と同様で、「フレッツ光 ネクストサービス情報サイト」に接続して行います。
この際に管理者側で登録したIDとパスワードを使って登録作業を行います。

ルーターの設定(NVR500の場合)

準備するもの

(1)フレッツVPN・ワイドの企業識別子 (申込時に発行されるもの)
(2)管理者側(拠点１)のフレッツVPN・ワイドの利用者ID とパスワード(自分で設定)
(3)参加者側(拠点２)のフレッツVPN・ワイドの利用者ID とパスワード(自分で設定)
(4)拠点１のフレッツVPN・ワイドでのWAN IPアドレス(サービスの管理メニューで設定)
(5)拠点２のフレッツVPN・ワイドでのWAN IPアドレス(同上)
(6)拠点１のLANネットワークアドレス(各自の環境でルーターに設定)
(7)拠点２のLANネットワークアドレス(各自の環境でルーターに設定)・・・(6)と異なるものを設定すること

以上のものを用意してコピペしやすいところに記入しておきましょう。

ルーターの設定手順の概要

設定は以下の三段階に分かれます。

(1)フレッツVPN・ワイド 用の PPPoE 接続の設定
(2)VPN のためのトンネル設定
(3)適切な gateway 設定

接続設定例は行数が多いですが、中身を区分して考えると理解しやすいと思います。

(1)の部分はインターネットを利用するためのプロバイダへの接続設定と中身は一緒です。
(2)が VPN に関係する設定ですが、今回は IPIP という暗号化無しの接続なので行数も少なく簡単です。
(3)が大事なところで、これまでは、全ての外部向けの通信は、ルーターを gateway として設定してあれば
良かった部分が、拠点2に向けた通信は、pp 2 に向け、トンネル設定した経路で通信を行うという意味の設定を行います。

(1)フレッツVPN・ワイド 用の PPPOE 接続の設定

普通は皆さん、インターネット接続用の PPPOE接続の設定が既にあると思います。そちらが pp 1
であるとして、VPN・ワイド用に pp 2 として接続設定をします。

フレッツ光ネクストでは、PPPOE 接続が同時に２セッション可能です。

==========
pp select 2 ← インターネット接続のプロバイダー用が1なのでこちらは2
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2 ← このlan2 というのはルーターにとって WAN 側という意味なので「2」で固定
pppoe auto disconnect off
pppoe call prohibit auth-error count off
pp auth accept pap chap
pp auth myname <拠点ID@企業識別子> <パスワード> ← 多くの参考書、参考サイトのコマンド例では @企業識別子 のことに触れていないが必要
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp nat descriptor 1100
pp enable 2 ← インターネット接続のプロバイダー用が1なのでこちらは2
==========

コマンド設定が初めてだと、おまじない部分(理解できなくてもそのままコピペする部分)と、各人の利用環境に合わせて調整が必要な部分の峻別がそもそも難しいと思いますが、今回の設定については上記の通りになります。

多くの設定例で、一行目は pp select 1 となっていますが、普通はインターネット用のプロバイダ接続で pp 1 は既に使っているので、ここでは 2 となるわけです。

lan2 のところで、数字が2 でいいのかなと悩むかもしれませんが、ここは実はおまじないとして lan2 固定です。(この lan 2 というのはルーターの WAN 側のポートを指しています。)

拠点ID@識別子については、拠点のIDが例えば User1(自分で決めたもの)で識別子が asv3952630503(こちらは申込時に発行されるもの)だとしたら User1@asv3952630503 ということになります。

この pp 接続の設定をすることでフレッツ網に対して接続できている状態になります。管理画面で「通信中」となっていれば接続に成功しています。これだけでは VPN 接続は可能になりません。

(2)VPN のためのトンネル設定

==========
tunnel select 1
tunnel name <トンネルの名前>
tunnel encapsulation ipip
tunnel endpoint address <こちらの拠点のWAN アドレス> <接続先の拠点のWANアドレス>
ip tunnel tcp mss limit auto
tunnel enable 1
==========

これは完全コピペでおまじないレベルです。
4行目が自分で設定したものを使うので重要なところですが、さきほどの例だと

==========
tunnel endpoint address 10.10.10.1 10.10.20.2
==========

ということになります。こちらの拠点と接続先の拠点の順番を間違えないように注意。

(3)適切な gateway 設定

拠点１から拠点２あるいはその逆方向の通信は、インターネット(pp 1)では無くて
VPNワイド(pp 2)に向けなくてはなりません。

============
ip route <接続先拠点のWANアドレス> gateway pp 2
ip route <接続先拠点のLANネットワークアドレス> gateway tunnel 1
============

こちらが拠点1(10.10.10.1)だとして拠点2に向けた通信は、pp2 に向けるという
指示が一行目。

拠点2 向けの通信は、VPN接続である トンネル 1 に向けるという指示が二行目

具体的に書くと以下のようになります。
============
ip route 10.10.20.2 gateway pp 2
ip route 192.168.11.0/24 gateway tunnel 1
============

二行目は、接続先(拠点２)のルーターのアドレスが 192.168.11.1 だとしての例です。
ここの IPアドレスはネットワークアドレスで書くので、最後は 0 になります。

拠点２側の設定

拠点２側も全く同様の設定が必要になりますが、IPアドレス関係については拠点１の場合と逆に書くことに注意。
適宜読み替えて下さい。

利用環境に合わせたチューニング

ここまでの設定が全てうまく行っていれば、二拠点間の VPNワイドを利用しての通信が可能になっているはずです。

ここから先は、それぞれの皆さんの環境に合わせたチューニングなので、フィルタを入れてみたり、三拠点にしてみたり、タイマー設定で時間限定での通信にしてみたりということになると思います。

皆さんも是非接続事例を紹介して下さい。

筆者は、自分の会社のサーバーのデータバックアップを自宅の NAS にたいして行う目的で、このVPNワイド2拠点接続を利用しています。

またこの接続設定がしてあるおかげで、夜間や休日にも自由に会社のネットワークに対してリモートデスクトップ接続が可能になりとても便利になりました。

このページはいつのまにかこの wiki のコンテンツの中で多く読まれているものになったようです。
是非皆さんも、3拠点VPN や、タイマーでの接続オンオフ、フィルタリングなど、ご自分のところで行っている設定を紹介してみて下さい。

ルーターのパネルによる設定(FWX120の場合)

FWX120を導入したので、今度はパネルからVPNワイドの設定をしてみました。
いろいろやってみて理解してきたのですが、YAMAHAのルーターのパネル設定は、コマンドラインでの設定のウィザードのようなものだと考えるといいと思います。パネルで設定してから、config を見てみて、いらないものを消したり(※）、足りないものを足したりすれば仕上がって行きます。

(※)いらない行を消すにはその行をコピーしたものをコマンドラインに貼って先頭に　no　を付けて実行すればよし。

no login password doremi

みたいな感じ。

(1)PPoE接続の設定(パネル設定)

ここは基本的にはプロバイダの設定と一緒です。
「PPPoE接続を用いる端末ブロードバンド接続」を選んで[次へ]

設定名：適当
ユーザーID：拠点ID@＠企業識別子
接続パスワード：あらかじめ設定したもの
宛先アドレス：「その他」を選び、自分で設定したVPNワイドのネットワークアドレス

(2)VPN のためのトンネル設定(パネル設定)

IPIPトンネルを使用したネットワーク型LAN間接続を選び[次へ]

設定名:適当
接続先のIPアドレス：VPNワイド契約時に設定した接続先のIPアドレス
接続プロバイダ：この接続のために設定したPPPoE接続を選ぶ
経路情報：接続先のルーターのIPアドレス