Ciscoルータを使ってVPNワイド疑似環境の作成

さて2週間くらい前の記事で、Ciscoルータを使って

PPPoEサーバを構築したことを書いた。

そこで、今回は、Ciscoルータを使って

フレッツVPNワイドの疑似環境を作ることを記事にしたいと思う。

というのも、VPNワイドは、PPPoEの接続をして拠点間通信を実現する

ものなので、CiscoルータにNTTの網側のPPPoE認証部分の役割をしてもらい

Ciscoルータ下部に、各拠点に設置する想定のルータを接続する。

以前のブログにも書いたが、VPNワイドは初期値で

以下のユーザIDと払い出しIPアドレスが設定されている。

この辺に関しては、右側のカテゴリからVPNワイドを選んで

他の記事を確認してほしい。

user01 192.168.100.1/32

user02 192.168.100.2/32

user03 192.168.100.3/32

(以下省略)

そして、契約時に企業識別子という情報が発行される。

企業識別子が仮に、cvn1234567890

だとすると、ルータに設定するPPPoEの

ユーザIDとパスワードは、user01の場合

接続ID user01@cvn1234567890

接続パスワード user01

となる。

そのことを踏まえて、Ciscoルータでの設定は、以下のようになる。

username user01@cvn1234567890 password 0 user01
username user02@cvn1234567890 password 0 user02

bba-group pppoe pppoe01
virtual-template 1

bba-group pppoe pppoe02
virtual-template 2

interface FastEthernet0
switchport access vlan 1
no ip address

interface FastEthernet1
switchport access vlan 2
no ip address

interface Virtual-Template1
mtu 1454
ip address 10.128.1.2 255.255.255.0
peer default ip address pool pool01
ppp authentication chap

interface Virtual-Template2
mtu 1454
ip address 10.128.1.2 255.255.255.0
peer default ip address pool pool02
ppp authentication chap

interface Vlan1
no ip address
pppoe enable group pppoe01

interface Vlan2
no ip address
pppoe enable group pppoe02

ip local pool pool01 192.168.100.1
ip local pool pool02 192.168.100.2

ネットワーク構成図の右側のヤマハルータの設定例は、

以下のようになる。

ip route default gateway pp 1
ip route 192.168.10.0/24 gateway tunnel 1
ip lan1 address 192.168.20.1/24
pp select 1
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept chap
pp auth myname user02@cvn1234567890 user02
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
pp enable 1
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike pre-shared-key 1 text yamaha
ipsec ike remote address 1 192.168.100.1
ip tunnel tcp mss limit auto
tunnel enable 1
ipsec use on
ipsec auto refresh on
syslog notice on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.20.2-192.168.20.191/24

このCiscoルータでの疑似環境で動作確認して、

想定通り動作するルータを、実際のVPNワイドを契約した

回線に接続すれば、理論上同じように動作するはずだ。

なので、Ciscoルータが手元にあるようなら、

本番環境でぶっつけ本番しなくとも事前に、

対抗拠点へのリモートデスクトップの動作確認などを

疑似環境で行える。

今回は、払い出しIPアドレスが、初期値の端末型払い出しの

設定例を紹介したが、LAN型払い出しの場合の

Ciscoルータの設定例もいつか紹介したいと思う。


PowerPointで使えるヤマハのアイコンが超便利!

最近、ヤマハのサイトでヤマハルータのアイコン(図)を見つけた。

自由に使って良いらしい。リンクは下記

https://network.yamaha.com/support/download/tool

RTX1210やNVR510などのルータのアイコンはもちろん

電話機やスマホなど、

その他さまざまなアイコンがある。

例えば、お茶やATMまであるのだ。

PowerPointで構成図等を作るときなど、結構使えそう!

ヤマハルータでPPPoEパススルー

皆さん、あけましておめでとうございます。

2019年ですね。

さて、2018年にいつの間にか、ヤマハルータが

PPPoEパススルー機能が可能になっていました。

PPPoEパススルー機能とは、PPPoEの通信を素通しさせる機能です。

PPPoEブリッジ機能と呼ぶ場合もあります。

ヤマハルータで可能になったといっても、

NVR510やRTX1210など比較的新しい機種での話です。

また、ファームウェアのバージョンにも条件があります。

詳しくは、ヤマハのサイトを確認してください。

PPPoEパススルー機能が可能になったことで、上図のように

ヤマハルータ下部から、PPPoE接続が可能となります。

PPPoEパススルー機能がないと、下部からのPPPoE接続ができず、

ONUからスイッチなどで分岐させて、ルータを並列につなげ

などが必要になる場合もあります。

PPPoEパススルーのための具体的な設定は、


pppoe pass-through member lan1 lan2

これで、LAN側からWAN側へのPPPoEが素通しされる。

活用例として、

サービス情報サイト(NGNv4)へのアクセスは、PPPoE接続が

必要だが、この設定をヤマハルータに行えば、

LAN側のパソコンからPPPoE接続を行うことができるようになる。

トラブル事例 VPN経由でWeb参照ができない。

少し前にブログで紹介したトラブル事例と似ているが、

VPN経由で、ネット参照ができないというトラブルの事例を紹介したい。

構成イメージは以下のようなる。

拠点側のPC01が、本社側を経由してインターネットへのアクセス

正確には、Web参照ができない。という現象が起こった。

そのPC01を、本社側に持っていき、LANに接続すると

Web参照できる。

PC01の拠点側でのネットワーク設定は、

デフォルトゲートウェイは、192.168.20.254

DNSサーバは、192.168.20.254 としてあった。

拠点のVPN用ルータ(NVR500)であるルータBには、

DNSサーバのアドレスとして、本社側のインターネット用ルータ(NVR510)

のIPアドレスである192.168.10.253が設定されていた。

そのため、PC01がWeb参照をしようとすると、DNSへの問い合わせは、

まず、192.168.10.254(ルータB)へいき、そのルータBを経由して

192.168.10.253へいく。

そこで、問題が生じていた。DNSの問い合わせをうけたNVR510には、

dns host lan1

という設定がされている。

これは、lan1に所属しているアドレスからしかDNSの問い合わせを

受け付けないという意味になる。

lan1とは今回の例でいうと、本社側のネットワークである

192.168.10.0/24のネットワークのことである。

拠点側は、192.168.20.0/24のネットワークのため

DNSの問い合わせが拒否され結果、名前解決ができず、

PC01はWeb参照ができなかった。ということになる。

この dns host lan1は、プロバイダへの接続設定であるPPPoEの

設定を行うと自動的に追加される。

NR510やRTX1210など、比較的最近の型番のヤマハルータで設定すると

気づかないうちに設定されている。

NVR500では、PPPoEの設定をしても、自動的に追加はされない。

今回の現象の対処方法としては、

dns host lan1を

dns host anyとすれば、拠点側のPC01からWeb参照ができるようになる。

anyの部分をIPアドレスの範囲の指定もできるようなので、

制限をしたい場合は、そのような設定をするのもありだろう。

今回の紹介したトラブル事例のように、各装置のそれぞれの設定は、

特に間違っているわけではないのだけど、全体としてうまく動作しない

ということがありうるのだ。

NTT東日本 フレッツVPNワイド導入のポイント③ カスタマコントロール

NTT東日本 フレッツVPNワイド導入のポイント①
NTT東日本 フレッツVPNワイド導入のポイント②

で、カスタマコントロールという言葉が何回か登場したが、

VPNワイドの払い出しIPアドレスの編集や接続アカウントの
パスワードの変更ができる。

カスタマコントロールへのアクセス方法は、
まず、サービス情報サイトへアクセスし、
ログイン後、その中でフレッツVPNワイドの
コントロールを操作することになる。

ちなみに、サービス情報サイトでは、
フレッツナンバー通知の有効への変更も可能です。
フレッツナンバー通知の有効化は、フレッツVPNワイド
を利用する場合、必須で、NTTに工事を依頼すると
2000円ほどかかるが、自分でサービス情報サイトで
設定してしまえば無料で可能だ。

サービス情報サイトへのアクセス方法は、
NTT東日本のサイトに説明がある。

とりあえず、光ネクスト回線で考えると、
2パターンあり、IPv4でアクセスする方法とIPv6でアクセスする
方法がある。

IPv4のサービス情報サイトへアクセスする場合は、
まずPPPoE接続での接続が必要となる。

IPv6のサービス情報サイトへアクセスする場合は、
PPPoE接続は不要だがIPv6での通信が可能な環境での
アクセスが必要だ。

光ネクスト回線は、基本契約で2つのPPPoE接続が
できるが、それ以上のPPPoE接続が必要な場合、
セッションプラスという契約追加が必要になる。

つまりインターネットとVPNワイドの2つのPPPoE接続を
しているならば、セッションは使いきっていることになり、
どちらかいったん切断しないとPPPoE接続は行えない。

IPv4のサービス情報サイトへのアクセスには、
まずPPPoE接続が必要なので、運用中の環境によっては
タイミングが難しいケースがあるだろう。
また、ヤマハルータは下部のパソコンからはPPPoE接続できないので
これも注意が必要だ。

IPv6でのアクセスの場合、パソコンを接続している
ルータがIPv6の情報を配布してくれていないと接続できない。
ひかり電話ルータでは、デフォルトでIPv6を配布しているので、
パソコン側のIPv6が有効になっていれば、あまり意識することなく
サービス情報サイト(NGN IPv6) http://flets-east.jp
にアクセスできる。

ヤマハルータなら、IPv6のための適切な設定が必要となる。
以前に書いた記事を参考にしてほしい。

サービス情報サイトのトップ画面を表示できたら、
[サービス申込受付] の [詳しくはこちら]をクリックします。

ログイン画面が表示されますので、
お客様IDとアクセスキーを入力します。
これは、光回線の開通のご案内書類に記載があるものを使います。

ログイン後、サービスの一覧から、フレッツVPNワイドを見つけて、
[詳細]ボタンを押します。

上記の画面は、自宅の回線からログインしたものなので、VPNワイドは
未提供となっています。

詳細ボタンを押した後に表示される画面にて、管理者メニューなるボタンが
あると思うので、そこからクリックしてください。
それがカスタマコントロールです。

 

 

ヤマハルータでの時刻合わせ

今回は、ヤマハルータの時刻を正確に合わせるためのコマンドを

紹介しようと思う。ntpdateというコマンドだ。続けて、NTPサーバの

アドレスを入力して使用する。

以下実行例。

# ntpdate ntp.nict.jp
2018/07/30 23:55:30 -84second

実行結果から、標準時間から84秒ずれていたことがわかる。

ちなみに、ntp.nict.jp は
日本標準時グループが提供しているNTPサーバのアドレスだ。

NTPサーバとは時刻同期の元となる時刻を提供してくれる

サーバのことをさす。

装置の時間を標準の時間に合わせておくことは重要だ。

なにかしらのトラブルが起こった時に、複数の装置等の

ログを調べるときに、各装置で時間がずれていると、

突き合わせて調べるのが相当面倒になる。

コマンドで入力する例をご紹介したが、

いちいち打ち込まなくても、定期的に時刻合わせ出来た方が、

便利だ。

その手順は、Web管理画面よりできる。

トップ画面より[詳細設定と情報]を選択し、[本体の設定(日付・時刻、ブザー )]
を選択。

問い合わせ先NTPサーバに、NTPサーバのアドレスを入力する。
NTPサーバによる自動調整の項目で、調整するタイミングを入力。
この例では、毎週日曜日の23時55分とした。
[設定の確定]ボタンを押し、設定内容を保存します。

設定内容を show config にて確認すると、

schedule at 1 */Sun 23:55 * ntpdate ntp.nict.jp

が追加されていることが確認できる。

scheduleコマンドを使うと、コマンドを計画的に実行できるということだ。

ヤマハルータ Web管理画面からのコマンド入力

ヤマハルータでコマンドを入力するには、

基本的には、コンソールでつなげてターミナルから入力するか、

telnetで接続しての入力になるが、

Web管理画面からコマンド実行も可能です。

すべてのコマンドが使用できるわけでなく、

対話式で入力が必要なコマンドや、pingなどは使えないが、

telnetが使えないパソコンやコンソールでつなぐのが難しい場合は

役に立つケースもあるだろう。

手順は、こちら

ヤマハルータのWeb管理画面にログイン

[詳細設定と情報]をクリック

[レポートの作成・コマンド実行・初期化]の項目より[コマンドの実行]を選択

コマンドを打ち込むための空欄のある画面が表示されます。

そこに、実行したいコマンドを入力し、[設定の確定]をクリック。

画面の例は、show status pp 1

すると、コマンドに対する実行結果が表示されます。

 

ヤマハルータからtelnetするには

ヤマハルータにコンソールケーブルをつなげて、パソコンから

操作をする場合、そのヤマハルータから、別のヤマハルータにtelnetをする

手順をご紹介します。

パソコン自体がネットワークにつなげることができて、

パソコンのtelnet機能を有効にしていれば、パソコンからtelnet

すればいいのですが、パソコンはネットワークに接続していない場合

ヤマハルータ自体からtelnetできると便利な時があります。

ヤマハルータにて、デフォルトの設定で、

コマンド telnet を実行しようとすると

# telnet 192.168.1.50
エラー: コマンドが許可されていません

と実行を拒否されてしまします。

telnetできるようにするには、security class コマンドを使います。

とりあえず、securiy class ? を入力すると

# security class ?
入力形式: security class レベル FORGET [TELNET [SSH]]
レベル = 1-3, FORGET = ‘on’ or ‘off’, TELNET = ‘on’ or ‘off’,
SSH = ‘on’ or ‘off’
説明: セキュリティクラスを設定します
デフォルト値: 1 on off off

このような表示が出てきます。

最後にデフォルト値が表示されていますが、

上記の形式と見比べると、

レベルが1

FORGETがon

TELNETがoff

SSHがoff

というデフォルト値になっているということになります。

このtelnet部分をonにすれば、telnetが使えるようになります。

実行例
# security class 1 on on off
# telnet 192.168.1.50

192.168.1.50(192.168.1.50)[IP Direct], Port:23 に接続します。
アボートキーは ‘^]’,0x1d(29) です。

Password:

となり、telnetできるようになりました。

ちなみに、初期値で FORGETが onになっているが、

この値がonになっていることにより、以前の記事で紹介した

パスワードを忘れた場合のコンソールからのログインができる。

それを禁止にしたい場合はoffと設定する必要がある。

 

 

ヤマハルータ ログ出力でトラブルシューティング

ヤマハルータで、ネットワークを構成していて、

なにかしら思うような結果が得られない時、ヤマハルータのログを確認するのは

良い方法です。

ただ、デフォルトでは、あまり詳しいログが出力されないので、

詳しいログ出力をさせたければ、以下のコマンドの入力が必要です。

syslog notice on

syslog debug on

後者の方がより詳細なログが出力されます。

例えば通信がうまくいかない場合で、ログを確認すると

ヤマハルータのフィルタ設定で、ブロックされている場合などがあります。

ログの見方は、以下のコマンドを入力します。

show log

ただこのコマンドだと、古い順にログが表示されるので、

現象が起こった直後に確認する場合、

show log reverse

と入力すれば、新しい順にログが表示されるので、

都合が良いと思います。

また、あまりログが多いとわけがわからないので、

clear log

と入力し、いったんログをすべて削除するというのも

良いと思います。

そして、特定のキーワードが行に含まれているログを

検出するには、以下のコマンドを使います。

例)

show log |grep Reject

とすると、Rejectが含まれた行のログが表示されます。

通信がブロックされている場合、

LAN2 Rejected at IN(default) filter:~

などというログが出力されているので、見つけやすくなると思います。

 

ヤマハルーターのコマンドを使いこなそう

今どきのルーターは、大抵ブラウザでアクセスして設定できる。

ヤマハルーターも、ブラウザでログインして設定できるが、

telnetで接続、もしくはコンソールケーブルでつないで

ターミナル(Teratermなど)でコマンドラインでも設定が可能だ。

Web画面での設定は、例えば、プロバイダの接続IDと接続パスワードなど

設定値をウィザードなどに沿って入力すると設定でき、

あまりコンピュータ関連に詳しくない人でも比較的簡単に設定が可能だ。

Web画面での設定は、裏でユーザの代わりに自動で

コマンドを入力してくれているだけで、結局のところ

コマンドで入力された設定がヤマハルータで

利用されている。

Webでの設定では、ユーザがポイントとなる設定値を少し入力するだけで、

いろいろ気を利かせて自動で必要と思われる設定コマンドを

裏で実行してくれる。

例えばプロバイダの接続設定をウィザードにしたがって進めると、

途中でIPSecを利用するかなどのチェック項目があり、

そこにチェックを入れると、IPSec VPN利用に必要なフィルタ設定やらNAT設定

を自動でやってくれる。

また、なにか設定を削除すると、それと関連すると思われる設定行を

自動で削除してしまう。

自動で削除してしまうものには、意図しないものもあったりするので、

要注意だ。

やはりコマンドでの設定をある程度できるようになったり、

また、show configで表示される設定情報をある程度理解できるようになると

かなり上級者ぽくなれる。

多くの人達にとって、ルータの設定をコマンドでしている様子は、

プロフェッショナルぽくみえるのだ。

Web画面での設定は、少しパソコンができる人なら、自分でもできそうだなと

思うだろうが、コマンドでの設定は、ほとんどの人は、

自分には難しいと感じる。

対お客さんと接するとき、自分がとても出来そうもないことができる人

と思われるのと、自分でもできるんじゃないかと思われるのでは

雲泥の差がある。

慣れてしまえば、コマンドラインでの設定は

そこまで難しくない。ヤマハサイトには、設定例がたくさん掲載されて

いるので、マネすれば良い。

ぜひ、ヤマハルータのコマンドでの設定にチャレンジしてみてほしい。

それでは、また!