フレッツグループアクセスでVPN構築
2006年07月17日
フレッツグループアクセスでVPN構築
フレッツグループアクセス・ライトでVPNを構築しました
3拠点を相互通信可能なプライベートネットワーク
えーと、今回はNTTが提供するフレッツグループアクセス・ライトっていうIP-VPNサービスを利用して仮想専用線な環境を構築しました。
まー、要するに物理的に離れた支店間でお互いのコンピュータ・リソースにアクセスできるってな話。
#構成・設定手順・詳細は続きから。
フレッツグループアクセスを使うメリット
- 通信速度が速い
- NTTのフレッツ網を直接利用するのでインターネットVPNよりもオーバーヘッドが少ない。
- コストが安い
- 初期費用:1拠点あたり2,000円
- 月額利用料:1拠点あたり700円
- セキュリティも高め
- 同一グループでないパケットは総て除去される。
早い・安い・安全てなサービス。ただ残念なのはNTT東日本と西日本のフレッツ網の相互乗り入れがまだできないこと。あと通信障害もたまに発生しているよう。
ネットワーク構成
プライベートネットワーク
- 拠点1
- 192.168.0.0/24
- 10.128.1.10/32(グループアクセスで払い出されたIPを仮定)
- 拠点2
- 192.168.1.0/24
- 10.128.1.11/32
- 拠点3
- 192.168.2.0/24
- 10.128.1.12/32
ルーター
PPPoEマルチセッションが利用でき、かつVPNトンネルの設定が可能なルータ。いずれも必須条件。
設定手順
フレッツグループアクセス・ライトの申し込み
- フレッツの回線(Bフレッツ・フレッツADSL・フレッツISDN)からフレッツ・スクエア接続用のID(ID:guest@flets/PASS:guest)で接続。
- ブラウザでフレッツ・スクエア(http://www.flets)を開く。
- サービス申し込み受付のページから必要事項(フレッツ回線申込書のID・PASS必須)を記入・申し込み。
- 最初だけグループを新規開設し、その後はグループに参加登録
- 翌日の午前11時よりサービス開始。
- カスタマーコントロール画面からパスワードを設定。
なにげに契約した回線からしか申し込めず、翌日開通ってのは結構辛い仕様…
ルーターの設定
拠点1のルータの設定。
#通信先のグループアクセスIPをルーティング ip route 10.128.1.11 gateway pp 2 ip route 10.128.1.12 gateway pp 2 #通信先のネットワークをトンネル ip route 192.168.1.0/24 gateway tunnel 1 ip route 192.168.2.0/24 gateway tunnel 2 #ルータのプライベートIP ip lan1 address 192.168.0.1/24 #グループアクセス用のPPPoEアカウント設定 pp select 2 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname (userXX)@(aa000000).galight.flets (パスワード) ppp lcp mru on 1454 ip pp address 10.128.1.10/32 ip pp mtu 1454 pp enable 2 #拠点2用のトンネル(IP over IPトンネル) tunnel select 1 tunnel encapsulation ipip tunnel endpoint address 10.128.1.10 10.128.1.11 tunnel enable 1 #拠点3用のトンネル tunnel select 2 tunnel encapsulation ipip tunnel endpoint address 10.128.1.10 10.128.1.12 tunnel enable 2 #DHCPサーバーの設定(winsサーバーの設定も忘れずに) dhcp scope 1 192.168.0.3-192.168.0.254/24 wins server 192.168.0.2
注意点は、
- フレッツグループアクセス用のPPPoE接続設定には払い出されたIPを設定すること。
- NetBIOS(Windowsファイル共有)を利用する場合は
- WINSサーバーが必須
- RT57iではデフォルト設定でLAN側の137-139、445ポートが遮断されているのでフィルタを削除する。
こんなところ。
VPN開通後のパフォーマンス
- SoftEther1.0での通信
- 10〜15Mbps
- フレッツグループアクセスでの通信
- 20〜30Mbps
格段にスピードが向上しました。
しかし肝心のWindowsフォルダ共有(NetBIOS)は物理的な回線速度(10ms以下)に思い切り左右されるプロトコルであるため、改善が期待できるのはHTTPやFTPなどを用いたネットワーク・アプリケーションに限られるっぽいです。
関連サイトおよび参考サイト
広告
スポンサードリンク
コメントとトラックバックを読む
コメントまたはトラックバックを投稿する
コメントを投稿する
トラックバックを送信する
この記事へのトラックバックURL:
http://app.blog.livedoor.jp/disctop/tb.cgi/50559974
メニューとコンテンツ
記事を読む
ブログ内検索
昨日の訪問者数
人
最新の記事
カテゴリ別の記事
過去の記事
この記事へのコメント
楽しく拝見させていただきました。
ありがとうございます。
今、私も検討中なんですが、NTTはルーターの設定や通信内容は
知らん顔なもので、情報収集に必死でした。
やっぱり、ライトの端末払出型で拠点間LAN接続が出来るのですね。
NTTの営業は知りませんって言うし、非常に困ってました。
ちなみに、上記の通信で、拠点1-3、2-3、1-2がそれぞれが同時に
通信できるものでしょうか?
あと、拠点1から拠点2のPCに
リモートデスクプトップ接続出来るんでしょうか?
なんか、結局質問ばかりになってすいません。
>>tgw さま
はじめまして。コメントありがとうございます。
> ちなみに、上記の通信で、拠点1-3、2-3、1-2がそれぞれが同時に
通信できるものでしょうか?
可能です。
ただしこの接続方式だと拠点数のトンネリングが必要になるのでトンネリングの数=拠点数の制約があります。
> あと、拠点1から拠点2のPCにリモートデスクプトップ接続出来るんでしょうか?
出来ます。
イントラネットとしての制約はほぼないです。
ただしネットワークが切り離されるのでブロードキャストを利用するネットワークソフト、特にWindowsファイル共有する際にはWINSサーバーが必要になります。
確認が遅れていて、お礼を申し上げるのに随分たってしまいました。
すいません。
トンネリングの数=拠点数
ルーターの仕様を確認しながら検討します。
(恐らく平気。規模がそれだけでかくなると良いんですが・・)
現状、システムを安く抑えるために、拠点1にダミーPCを常時
電源ONにし、ダミーPCにリモートデスクトップでログオンしようと
考えています。
そうすると、拠点間の通信が(フレッツ網)事故などで切断されても
ダミーPCが行っている処理(拠点1のLAN内)は中断されず、
再接続すれば維持が出来るので、それを採用しようとしています。
申し込みを完了したので、工事は06/10/中旬です。
今は、楽しみと不安でいっぱいです。
これからも、がんばってください。
それでは失礼します。
参考になる内容で助かります。
近く、3拠点をグループアクセスライトを使ってネットワーク構築を予定しています。
現在、どこの拠点にもBフレッツ、フレッツADSLサービスも契約していません。
これから契約を行なうのですが、何から順番に作業を始めるのでしょうか?
始めに、各拠点でBフレッツ、フレッツADSLを契約してインターネット接続を行なった後、グループアクセスを契約して掲載されているようなグループアクセスの接続作業を行っていくのでしょうか?
質問ですみませんが宜しくお願いいたいたします。
>>YJ17さま
ネットワークの構築手順は
・各拠点のフレッツ接続契約
・グループアクセスのアカウント取得と各拠点ごとの契約
となります。
注意点は、
・グループアクセスの契約はフレッツスクエアでしか受け付けていない(要アクセスID・アクセスキー→フレッツの契約書に記述)
・各拠点ごとの申し込みが必要で、明日の開通となる
といった感じです。
グループアクセスライトを申し込み、接続も
完了したのですが、どういう風にファイルを共有させたら
いいのでしょうか・・・
例(PC01 A市)と(PC02 B市)の中身を共有させたいです。
NTTに聞いても教えてくれませんでしたので
なんとか、ご教授願えませんでしょうか?お願い致します。
>>初心者さま
> どういう風にファイルを共有させたらいいのでしょうか・・・
えーと、グループアクセスでファイル共有をするためには名前解決のためにWINSサーバーが必要になります。
WINSサーバーの機能はWindows Serverにしかついていません。しかしUnix系のSambaを使うという選択肢もあります。
●参考URL
http://kikitai.teacup.com/kotaeru.php3?q=2464964
拠点間を Softether1.0 と 光プレミアム で繋いで
クライアントサーバソフト(SQLserver、Access-adp)を
そこそこ動かせるかどうかを考えているのですが
やはり10〜15Mbps程度しか出ないのでしょうか。
Softether1.0の転送スピードについて
そちらでの実験結果など、詳しく教えていただきたく
よろしくお願いします。
>>ポン太様
はじめましてコメントありがとうございます。
> やはり10〜15Mbps程度しか出ないのでしょうか。
たぶんプロバイダや回線環境によって変動はすると思いますが、こちらの環境OCN同士では10〜15Mbps程度の速度でした。
SoftEther2.0以降であれば(有料ですが)もう少し速度が出ると思います。
またSQLServerを動かすのであれば平均速度よりも応答時間のほうが重要ですので、インターネットVPNだとキツいかもしれません。
SoftEtherですとグループアクセスよりも平均して5msほど遅かったと記憶しています。
以上、ご参考まで。
10Mbps程度ということなので
10BASE-Tでサーバとクライアントを繋いで実験してみました。
フリーソフトの「ポート速度ベンチっち」(作者様、感謝)を使って
<ランダム 64〜4096バイトの乱数>項目
100BASE-TX が トータル:3.15MB/s, 受信:1.58MB/s, 送信:1.56MB/s
10BASE-T が トータル:1.01MB/s, 受信:0.49KB/s, 送信:0.51KB/s
<限界調査4 64KB 連続送受信>項目
100BASE-TX が トータル:9.15MB/s, 受信:4.57MB/s, 送信:4.57MB/s
10BASE-T が トータル:1.03MB/s, 受信:0.53KB/s, 送信:0.53KB/s
(続く)
この速度が実現できるのであれば及第点だと思いました。
ということで
SE1+光VPNで平均として10BASE-Tレベルが達成できると思われますか?
感触で結構です、コメントいただければありがたいです。
(Packetix2.0は高価でちょっと使えません...)
あ、SE1ではさらに遅くなるということですね。
うーん、10BASE-Tの半分くらい???
>>ポン太様
> SE1+光VPNで平均として10BASE-Tレベルが達成できると思われますか?
ちょっと10BASE-Tの経験がないのですが、やはり応答速度はイントラネットに比べてかなり落ちると思います。
応答速度が一番影響するのはNETBIOSですね。トップスピードこそ10Mbpsくらいでますがファイルの転送速度はとても遅いです。
逆にHTTPなどのプロトコルを利用すれば10BASE-Tと遜色のない体感が得られると思います。
この環境だと予定しているC/Sソフトは遅くて使い物にならないです。
光回線で実際に試すことができないので
近々11Mbps無線LANで感触を確かめてみようと思います。
ご教示ありがとうございました。
質問させて下さい。
この拠点それぞれでグループアクセスの拠点間接続を行いつつ、各拠点でインターネットへの接続も可能でしょうか?
もちろん各拠点でプロバイダの契約は行っていて、PPPoEで動的にアドレスが振られるという前提です。
>>ryo様
> この拠点それぞれでグループアクセスの拠点間接続を行いつつ、各拠点でインターネットへの接続も可能でしょうか?
可能です。ただしマルチセッション可能なルーターがあることが前提となります。(記事で紹介しているRT57iでは2セッション)
またレイヤー3ハブを1拠点に設置することで、プロバイダ契約は1つのみで全拠点をネット接続することが可能です。
基本的な質問で申し訳ありませんが、
ご存知の方、よろしくお願いします!!
私共も同じルータを使用しA拠点(Bフレッツ)&(ISDN),B拠点(ISDN),C拠点(ISDN)でフレッツグループアクセスライトに加入しております。
A=B間は双方ISDN回線にてグループアクセスを組み、A=C間はBフレッツ=ISDNで通信を行なっております。(これは従来はA=B,A=CともISDN回線で組んでいたのですが、A=B間が来月B拠点が光開通の為その際に変更する計画に伴い、統合を考慮しA=C間を先に変更した訳です)
これらの作業を完了したら、C⇒A⇒WEBの通信速度が極端に遅くなってしまったのです。業者に調査・調整をお願いしているのですが、
初めての現象という事でラチがあかないようです。
何かヒントでもご存知でしたら是非教えてください。
はじめまして。
んーちと見てみないとわかんないですが、MTU値の問題とかですかね。
今朝、業者からの回答でも昨夜検証した所、MTU値の変更
が有効らしいとの事でした。
(現在変更し検証してますが、メールデータは改善されている
様なのですが、WEB閲覧がまだ従来速度に戻りきらない
みたいですが。。)
方向性が同一のご回答で心強かったです。ありがとうございました。
こちらのサイトを参考にさせていただき随分と助かっています。
教えていただきたいのですが、
現在
拠点1と拠点2で(端末払出し)の申込み完了しています。
拠点1、拠点2ともLANを組んでおりルーター(RT57i)にそれぞれ契約プバイダーの設定をしています
この状態に、こちらのサイトの設定例を参考にしてルーター設定をしました(実際には拠点1のみで、来週、拠点2の設定後接続確認する予定です)
すみません、投稿の文字数制限で引っかかってしまったので、2度に分けさせてください。
本題なのですが.
ルーターの設定を変更するのみで、PCのネットワーク設定変更等はしなくても接続できるということでよろしいのでしょうか?
(例)
拠点1
ルータのIPアドレス 192.168.0.1
払出IPアドレス 10.98.XX.101
拠点2
ルータのIPアドレス 192.168.100.1
払出IPアドレス 10.98.XX.102
拠点2の現在PC設定例
IPアドレス 192.168.100.2
サブネットマスク 255.255.255.0
デフォルトゲートウェイ 192.168.100.1
DNSサーバー 192.168.100.1
これで拠点2から拠点1へPINGが通るはずと考えてよいのでしょうか。
よろしくお願いいたします。
>>ロク様
はじめまして。
この構成でしたらIPアドレスを変更せずに拠点間通信を実現可能です。
●拠点1の設定
192.168.100.0/24 → ルーティング
10.98.X.102 → トンネリング
返信ありがとうございます。
とりあえずうまくいきました。
ただ、拠点2側のルーターがRT58iだったので少し手惑いました。
RT57iとおなじでよいと思って、コマンドを記入して行ったのですがうまくいかなかったのですが、RT58Iはグループアクセスが簡易設定でもサポートされていたので、その通りに従ったら、すんなりつながりました。
ありがとうございました。
フレッツ・グループアクセス ライトに挑戦したいと思っておりますが
本部にRT57iが一台で他の拠点はPLANEXのBRC-14VGを使っています
全てRT57i又はRT58に買い換えないと設定は難しいでしょうか?
はじめまして。
BRC-14VGを扱ったことがないので断言は出来ませんが、機能概要を見ますとVPNに関しても問題は無いようです。
たぶんRT57iを導入しなくてもBRC-14VG同士だけでもネットワークを組めそうな感じですね。
応援してます。
早速、BRC-14VG同士を試行錯誤中です
インターネットへの接続を併用すると落ちまくりで・・・
奮闘中です
今後とも宜しくお願いします
ギブぎみです教えてください
各拠点でプロバイダの契約は行っています
RT57iで拠点間接続を行いつつ、各拠点でインターネットへの接続をしようとしています
下記のようにスクリプトを用意しましたが繋がりません
セッションを許可するコマンドとかが有るのでしょうか?
宜しくお願い致します
#グループアクセス用のPPPoEアカウント設定
pp select 2
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (userXX)@(aa000000).galight.flets (パスワード)
ppp lcp mru on 1454
ip pp address 10.128.1.10/32
ip pp mtu 1454
pp enable 2
#インターネット用のPPPoEアカウント設定
pp select 3
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname hiro@xxx.co.xx (パスワード)
pp enable 3
>>hiroさま
どもです。
上記の設定で問題なさそうですが、繋がらないとなると一旦設定をデフォルトに戻し、ブラウザでRT57iにアクセスし、プロバイダ情報を先に設定→繋がるのを確認後、グループアクセスの設定を行うといいと思います。
現在RT57iにてグループアクセス・ライトを実験中です。
ライトは端末型ということなのですが
知り合いのNTTの人間が、「ライトでもLAN対LANでVPNができる」
という事を言っていたような気がするのです。
しかし試行錯誤してみたものの、ルーターまでは行けるのですが
中には入ることができません。
RT57iを使い、拠点間接続では無くLAN間接続は可能なのでしょうか?
どうぞご教授ください。
>上記の設定で問題なさそうですが、繋がらないとなると一旦設定をデ>フォルトに戻し、ブラウザでRT57iにアクセスし、プロバイダ情報を先>に設定→繋がるのを確認後、グループアクセスの設定を行うといいと>思います。
これでOKでした。有難う御座いました。
ただ、ネットワークカメラやリモートディスクトップにはアクセス可能ですが、マイネットワークで拠点先の192.168・・・を検索出来ないのはwins serverが無いからでしょうか?
>>hiroさま
> ただ、ネットワークカメラやリモートディスクトップにはアクセス可能ですが、マイネットワークで拠点先の192.168・・・を検索出来ないのはwins serverが無いからでしょうか?
そうですね。WINSサーバーがないと名前解決ができないです。
WindowsServerは高いですが、linuxのsambaを使うという手もありますね。
早速拠点1にcentOs5でsamba(192.168.1.2)を立ち上げました。
wins support = yes
domain master = yes
とし、拠点1のwindows PCのwinsを192.168.1.2に設定し
拠点2のwindows PCのwinsを192.168.1.2に設定しました
拠点2からコンピューターの検索で192.168.1.2を検索し
ても他のIPの検索でも出てきません。
pingは通っていますがsambaもwindowsもマイコンピュータに現れません
どうしてでしょ?
RT57iに関してのサイトなのでお門違いかもしれませんが、
後継機種のRT58iでもグループアクセス・ライトの接続は
可能なものでしょうか。
Yamahaへも質問中です(まだ回答なし)
>>Kazuさま
> 後継機種のRT58iでもグループアクセス・ライトの接続は可能なものでしょうか。
接続可能です。
設定も上記の説明そのままで対応できます。
Kazuです。 御礼が遅れてすみません。
RT57iは手に入りにくいので、58iでできると助かります。
ありがとうございました。
グループアクセスライトに加入してRT57iを使用して3拠点で接続を試みています。
すでに3拠点とも申し込みは完了していて、YAMAHAのコールセンターに電話をして教えていただきながら設定を行っているのですが、なかなかうまくいきません。
コマンドのこの部分(userXX)@(aa000000).galight.flets (パスワード)のパスワードとは、グループのパスワードを入力すればよいのでしょうか?それともユーザの初期パスワード(userXX)を入力すればよいのでしょうか?
毎回コマンドプロントで確認すると認証失敗となってしまうのでグループ網にアクセスできません。
また、ルーターの設定をする前にカスタマーコントロールにアクセスしなくては開通しないのでしょうか?
ご教授お願いいたします。
>>RUH様
> コマンドのこの部分(userXX)@(aa000000).galight.flets (パスワード)のパスワードとは、グループのパスワードを入力すればよいのでしょうか?
入力するパスワードはuserXXです。
認証失敗となるようですが、別のところに問題があるようですね。