Ciscoルータを使ってVPNワイド疑似環境の作成

さて2週間くらい前の記事で、Ciscoルータを使って

PPPoEサーバを構築したことを書いた。

そこで、今回は、Ciscoルータを使って

フレッツVPNワイドの疑似環境を作ることを記事にしたいと思う。

というのも、VPNワイドは、PPPoEの接続をして拠点間通信を実現する

ものなので、CiscoルータにNTTの網側のPPPoE認証部分の役割をしてもらい

Ciscoルータ下部に、各拠点に設置する想定のルータを接続する。

以前のブログにも書いたが、VPNワイドは初期値で

以下のユーザIDと払い出しIPアドレスが設定されている。

この辺に関しては、右側のカテゴリからVPNワイドを選んで

他の記事を確認してほしい。

user01 192.168.100.1/32

user02 192.168.100.2/32

user03 192.168.100.3/32

(以下省略)

そして、契約時に企業識別子という情報が発行される。

企業識別子が仮に、cvn1234567890

だとすると、ルータに設定するPPPoEの

ユーザIDとパスワードは、user01の場合

接続ID user01@cvn1234567890

接続パスワード user01

となる。

そのことを踏まえて、Ciscoルータでの設定は、以下のようになる。

username user01@cvn1234567890 password 0 user01
username user02@cvn1234567890 password 0 user02

bba-group pppoe pppoe01
virtual-template 1

bba-group pppoe pppoe02
virtual-template 2

interface FastEthernet0
switchport access vlan 1
no ip address

interface FastEthernet1
switchport access vlan 2
no ip address

interface Virtual-Template1
mtu 1454
ip address 10.128.1.2 255.255.255.0
peer default ip address pool pool01
ppp authentication chap

interface Virtual-Template2
mtu 1454
ip address 10.128.1.2 255.255.255.0
peer default ip address pool pool02
ppp authentication chap

interface Vlan1
no ip address
pppoe enable group pppoe01

interface Vlan2
no ip address
pppoe enable group pppoe02

ip local pool pool01 192.168.100.1
ip local pool pool02 192.168.100.2

ネットワーク構成図の右側のヤマハルータの設定例は、

以下のようになる。

ip route default gateway pp 1
ip route 192.168.10.0/24 gateway tunnel 1
ip lan1 address 192.168.20.1/24
pp select 1
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept chap
pp auth myname user02@cvn1234567890 user02
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
pp enable 1
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike pre-shared-key 1 text yamaha
ipsec ike remote address 1 192.168.100.1
ip tunnel tcp mss limit auto
tunnel enable 1
ipsec use on
ipsec auto refresh on
syslog notice on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.20.2-192.168.20.191/24

このCiscoルータでの疑似環境で動作確認して、

想定通り動作するルータを、実際のVPNワイドを契約した

回線に接続すれば、理論上同じように動作するはずだ。

なので、Ciscoルータが手元にあるようなら、

本番環境でぶっつけ本番しなくとも事前に、

対抗拠点へのリモートデスクトップの動作確認などを

疑似環境で行える。

今回は、払い出しIPアドレスが、初期値の端末型払い出しの

設定例を紹介したが、LAN型払い出しの場合の

Ciscoルータの設定例もいつか紹介したいと思う。


東西間接続をするならVPNワイドよりVPNプライオが安くなる?!

NTT東日本とNTT西日本は、別会社のため

NTT東日本のフレッツVPNとNTT西日本のフレッツVPNを

接続したい場合、オプションの東西接続サービスを契約する必要がある。

東がVPNワイド、西もVPNワイドの場合、そのオプションの金額は

30,000円/月だ。東日本、西日本でそれぞれにこの金額がかかる。

※この金額はプランによって異なる。詳しくは下記を参照
https://business.ntt-east.co.jp/service/vpnwide/s_fee_ew.html

東がVPNプライオ、西がVPNワイドの場合、

東日本では、月に3,000円/1VPN拠点がかかる。

VPNワイドの場合の3万円に比べて、拠点数が多くなければ、

トータルコストが安くなる場合もある。

例えば、東日本のVPN拠点が3拠点の場合

VPNワイドの場合
1,800円×3拠点+30,000円=35,400円

VPNプライオの場合
7,000円×3拠点+3,000×3拠点=30,000円

となり、VPNプライオの方がコストが安い。

しかも、VPNプライオは、ルータのレンタル料金もこみの金額なので、

VPNワイドの場合、上記の金額にプラスルータのコストを

足さなければならない。

通信速度も、PPPoEを利用しないVPNプライオの方が

だいぶ速いので、その点も優位性がある。

そんなわけで、全国的に拠点があって、フレッツVPNの利用する場合、

ぜひ、VPNプライオにすることを検討してみてほしい。

ちなみに、西日本では、VPNプライオというサービスはなく、

東日本のVPNプライオと西日本のVPNワイドを接続することになる。


サービス情報サイト(NGN IPv6)へのアクセスについて

VPNワイドのカスタマコントロールにアクセスするために、

サービス情報サイトへアクセスする必要があることは

以前の記事に書いたが、

サービス情報サイトのIPv6のサイトである

https://flets-east.jp

へのアクセスに苦戦することがたまにある。

IPv6のサイトなので、回線からIPv6のアドレス情報を取得

できていることが前提となる。

Windowsであれば、コマンドプロンプトより、

ipconfigと入力し、IPv6のアドレスが取得できているかを

確認することができる。

ちなみに、fe80::からはじまるIPv6アドレスは、

リンクローカルアドレスと言って、OSが自動的に

割り当てたローカルでしか使えないアドレスなので、

これは、回線からIPv6のアドレスが割り振られていること

にはならない。

IPv6のアドレスが割当たっているのに、

flets-east.jpにアクセスできないとなると、

名前解決の問題と思われる。

名前解決ができれば良いので、操作している端末が

インターネットにアクセスできる

環境であれば、とりあえず名前解決に関しては問題ない。

インターネットにアクセスできる環境でない場合で、

名前解決がうまくいかないようなら、

DNSサーバへの通信がうまくいっていないのだろう。

その場合は、手動で

NGN網内のDNS サーバー のアドレスである

2404:1A8:7F01:A::3  もしくは  2404:1A8:7F01:B::3

をWindowsのTCP/IPv6の設定に追加してあげれば

良い。

これで、flets-east.jpの名前解決ができるようになるはずだ。

上記のDNSサーバのアドレスで、名前解決ができることは

以下のコマンドでも確認できる。

nslookup flets-east.jp 2404:1A8:7F01:A::3

nslookup  ホスト名 DNSサーバアドレス

で、DNSサーバを指定して名前解決ができるかを

確認できる。

フレッツVPNワイドの後継サービス フレッツVPNプライオとは?

NTTが提供している閉域網のVPNサービス VPNワイドには、

後継のサービスであるVPNプライオというサービスがある。

VPNワイドは、PPPoEで接続しているが、

VPNプライオは、IPv6によるIPoEにより拠点間通信を可能にしている。

PPPoEを使っていなので、PPPoE接続装置の混雑による

遅延が発生しないので高速での通信が可能だ。

サービス提供当初は、光回線の種類が、

ギガライン、プライオ1、プライオ10というもので

なければならなかったが、現在は、光ネクスト ハイスピードタイプ

などでもVPNプライオの利用が可能だ。

上記に書いたように接続方式自体が違うので、

光回線の種類をギガに変えなくとも、ある程度の高速化は

期待できると思う。

回線をプライオ1、プライオ10にすると、

帯域優先という機能が利用可能となる。

この通信だけは遅延してもらっては困るというものを優先させて

通信させることが可能になる。

ちなみに、帯域優先させられる通信は、あくまで拠点間

通信だけなので、インターネットへの通信を優先する

ことは出来ない。

月額利用料金は、VPNワイドが1800円に対して、

7000円となるので、結構高くなる。

VPN装置であるCPEが、月額料金に含まれてレンタルされる。

NTT東日本 フレッツVPNワイド導入のポイント⑤ userからはじまるアカウントは作成出来ない。

VPNワイドの接続アカウントで使われるユーザIDを、新規作成する場合、

userから始まるユーザIDは新規作成できない。例えば、

userAとか、user100とかが新規作成できないということだ。

これは仕様なので、どうにもならない。

フレッツVPNワイドの前身のサービスで、グループアクセスという

サービスがあったのだが、グループアクセスからフレッツVPNワイドに

移行した契約者で、この仕様が発覚することが多い。

なぜなら、グループアクセスからの移行の際に、

実際に使われている(契約回線に割当たっている)ユーザID以外が

削除されてしまうからだ。

そのため、VPNワイドの接続拠点を増やす必要が起こった時に、

ユーザIDの新規作成が必要となる。その時、

例えば、現状3拠点で、user01,user02,user03というユーザIDを

使っていたら、4拠点目は、user04にしたいのが人情というもの。

ところが、カスタマコントロールで、user04を作ろうとすると

エラーになってしまう。

仕方がないので、例えば04userとかにするしかない。

まあ、ユーザIDは、VPNワイドに接続するルータに設定する

接続IDの情報に過ぎないのだから、別に気にすることないと

思う。

インターネット接続するために、プロバイダと契約すると、

接続情報が届くが、その接続IDと同じようなものだ。

メールアドレスなら、人に教えたり、名刺に書いたりするかも

しれないが、接続IDは、ルータを設定する設定値にすぎない。

NTT東日本 フレッツVPNワイド導入のポイント④ 端末型払い出しとLAN型払い出し

NTT東日本のサイトに

VPNワイド関連のマニュアルをダウンロードできるページがある。

以下のアドレスになるが、

https://business.ntt-east.co.jp/service/vpnwide/manual.html

正直、とんでもなくわかりづらい。

すでにわかっている人が読めば、そういうこと言ってんのね。

と思うだろうが、VPNワイドをはじめて使おうと思う人には、

ちんぷんかんぷんだろう。

マニュアルの中で、VPNワイド セットアップガイドなるものがあるが、

そのドキュメント内で、IPアドレスの払い出し方式で、

端末型とLAN型がある。という説明があり、

面倒くさい説明がされているが、要は、カスタマコントロールで、

サブネットマスクを32ビット(255.255.255.255)に設定すれば、

端末型払いだしとなり、それ以外であれば、LAN型となる。

というだけの話だ。例えば、サブネットマスクが、

24ビット(255.255.255.0)であれば、LAN型ということになり

4オクテッド目のアドレスを

1から254まで、割り当てられるからLANで使える。

32ビットマスクなら、1アドレスしか使えないので、1端末

ということで、端末型と呼んでいるらしい。

実際には、端末型払い出しであっても、その1アドレスを

ルータで使い、拠点間のルータ間で、VPNトンネルを

設定すればLAN間通信(LAN上のパソコン間での通信)が可能だ。

カスタマコントロールについては、前に記事に書いたので、

そちらをご覧ください。

 

 

NTT東日本 フレッツVPNワイド導入のポイント③ カスタマコントロール

NTT東日本 フレッツVPNワイド導入のポイント①
NTT東日本 フレッツVPNワイド導入のポイント②

で、カスタマコントロールという言葉が何回か登場したが、

VPNワイドの払い出しIPアドレスの編集や接続アカウントの
パスワードの変更ができる。

カスタマコントロールへのアクセス方法は、
まず、サービス情報サイトへアクセスし、
ログイン後、その中でフレッツVPNワイドの
コントロールを操作することになる。

ちなみに、サービス情報サイトでは、
フレッツナンバー通知の有効への変更も可能です。
フレッツナンバー通知の有効化は、フレッツVPNワイド
を利用する場合、必須で、NTTに工事を依頼すると
2000円ほどかかるが、自分でサービス情報サイトで
設定してしまえば無料で可能だ。

サービス情報サイトへのアクセス方法は、
NTT東日本のサイトに説明がある。

とりあえず、光ネクスト回線で考えると、
2パターンあり、IPv4でアクセスする方法とIPv6でアクセスする
方法がある。

IPv4のサービス情報サイトへアクセスする場合は、
まずPPPoE接続での接続が必要となる。

IPv6のサービス情報サイトへアクセスする場合は、
PPPoE接続は不要だがIPv6での通信が可能な環境での
アクセスが必要だ。

光ネクスト回線は、基本契約で2つのPPPoE接続が
できるが、それ以上のPPPoE接続が必要な場合、
セッションプラスという契約追加が必要になる。

つまりインターネットとVPNワイドの2つのPPPoE接続を
しているならば、セッションは使いきっていることになり、
どちらかいったん切断しないとPPPoE接続は行えない。

IPv4のサービス情報サイトへのアクセスには、
まずPPPoE接続が必要なので、運用中の環境によっては
タイミングが難しいケースがあるだろう。
また、ヤマハルータは下部のパソコンからはPPPoE接続できないので
これも注意が必要だ。

IPv6でのアクセスの場合、パソコンを接続している
ルータがIPv6の情報を配布してくれていないと接続できない。
ひかり電話ルータでは、デフォルトでIPv6を配布しているので、
パソコン側のIPv6が有効になっていれば、あまり意識することなく
サービス情報サイト(NGN IPv6) http://flets-east.jp
にアクセスできる。

ヤマハルータなら、IPv6のための適切な設定が必要となる。
以前に書いた記事を参考にしてほしい。

サービス情報サイトのトップ画面を表示できたら、
[サービス申込受付] の [詳しくはこちら]をクリックします。

ログイン画面が表示されますので、
お客様IDとアクセスキーを入力します。
これは、光回線の開通のご案内書類に記載があるものを使います。

ログイン後、サービスの一覧から、フレッツVPNワイドを見つけて、
[詳細]ボタンを押します。

上記の画面は、自宅の回線からログインしたものなので、VPNワイドは
未提供となっています。

詳細ボタンを押した後に表示される画面にて、管理者メニューなるボタンが
あると思うので、そこからクリックしてください。
それがカスタマコントロールです。

 

 

NTT東日本 フレッツVPNワイド導入のポイント②

さて、前回に引き続き、

NTT東日本 フレッツVPNワイド導入のポイントについて

書こうと思う。

前回の記事で少し触れたが、フレッツVPNワイドでは、

払い出しIPアドレスというのをカスタマコントロールにて

設定する。

デフォルトでは、

user01は、192.168.100.1/32

user02は、192.168.100.2/32

以下同じようなパターンで、

user10は、192.168.100.10/32

となっている。

VPNワイド契約回線に設置するルータでは、

PPPoE接続のために、接続アカウントとして、

ユーザ名@企業識別子

接続パスワードとして、初期値はユーザ名を使う。

例えば、ユーザ名がuser01で、企業識別子がcvn12345678なら、

接続アカウントは、user01@cvn12345678

接続パスワードは、user01となる。

企業識別子の情報は、VPNワイドの開通のご案内に記載されている。

そのVPNワイドの開通のご案内に、暗証番号なる項目があるが、

それは、接続パスワードのことではないので、注意が必要です。

NTTの社員でも、勉強不足の社員は、暗証番号を接続パスワードの

ことだと勘違いしている。

接続パスワードは、カスタマコントロールにて変更可能だが、

VPNワイドは、契約回線からしか接続できないので、

ばれたところで、他の回線からは接続ができないので、

そこまで神経質にならなくても良いと思われる。

さて、払い出しIPアドレスの話に戻るが、

VPNワイドでは、カスタマコントロールで設定している

払い出しIPアドレスしか、VPNワイド間を通信できない

という仕様になっている。

つまり、2拠点であれば、初期値では、

192.168.100.1と192.168.100.2の間でしか通信ができない。

それでも、ルータで、VPNトンネルを設定してしまえば、

ルータのLAN側の通信は可能になる。

VPNトンネルによって、LAN側のIPアドレスは、すべて

192.168.100.1と192.168.100.2の通信に置き換わるからだ。

VPNトンネルの設定をしない場合、

カスタマコントロールで、LAN側で使いたいアドレス帯に

編集する。例えば、拠点Aで、192.168.1.0/24

拠点Bで、192.168.2.0/24を使いたければ、

カスタマコントロールで、アドレスとサブネットマスクを

編集する必要がある。以下変更例

初期値 user01    192.168.100.1    255.255.255.255
変更後 user01    192.168.1.1    255.255.255.0

初期値 user02    192.168.100.2    255.255.255.255
変更後 user02    192.168.2.1    255.255.255.0

カスタマコントロールにて、上記のように変更後、
ルータに、A拠点では、user01で接続
B拠点では、user02で接続を行うということになる。

もし、1つの拠点のインターネット接続を利用して、

他拠点から、VPNワイド経由で、インターネットにアクセスしたい

場合は、ルータでのVPNトンネルの設定は必須となる。

インターネット上のアドレスすべてを、払い出しIPアドレスとして

設定ができないからだ。

さて、次回は、カスタマコントロールへのアクセス方法を

少し解説したいと思う。

 

NTT東日本 フレッツVPNワイド導入のポイント①

NTT東日本のフレッツVPNワイドの導入について

ポイントになりそうなことを何回かにわけてご紹介したいと思う。

まず、VPNワイドとインターネットVPNの違いは

何かということだが、

インターネットVPNとは、インターネットに接続した

ルータ同士が、ルータの機能を使ってVPNトンネルを

構築し、拠点間通信を可能にする。

それに対して、VPNワイドは、インターネットに接続

することなしに、NTTの設備内で、VPNワイド契約回線

にて各拠点のルータからPPPoE接続をし、

拠点間通信ができるようにするサービスだ。

インターネットを経由していない分、

インターネットVPNよりもセキュリティ上優れていると言える。

VPNワイドには、管理者と参加者という概念がある。

複数拠点でVPNワイドを構成するわけだが、

どこか1拠点を管理者とし、その他の拠点を参加者とする。

管理者として、決めた拠点(回線)からは

サービス情報サイトへアクセスし、VPNワイドの

カスタマコントロールにアクセスできる。

というのが、管理者と参加者の違いだ。

カスタマコントロールでは、接続パスワードの変更や

払い出しIPアドレスの編集などができる。

このことについては、別の投稿でもう少し詳しく

書こうと思う。

VPNワイドの管理者拠点と参加者拠点で、

ネットワーク構成上は何の差もない。

たまに、管理者回線のところを、親。

参加者回線のところを、子。みたいな表現を

聞く時があるが、誤解を生むような気がする。

ネットワーク構成上、特に差がないわけで、

親も子もないのだ。