私が常駐でお世話になっているP社では、数年前からバッファローのBHR-4RVやWZR-RS-G54といったコンシューマー向けの製品でVPNを利用していた。
これら製品群で可能なトンネル数は拠点、クライアント合わせて10だが、P社は順調に拠点数が増えて行き、結構前から
『別の方法を考えておかないと、まずいですよ』と提案はしていたのだが、そろそろ本当にまずい事に。
それがこの度ネットワークの増強やら何やらで新しくする事になり、今回はYAMAHAのRTX-1200やRT-107eで構築する事になった。
業者には『クライアントから直接入って来る事も有るからね』と伝えてあったのだが、ほぼ施行が終わった時点で難しい事が判明。
バッファロー商品群はPPTPのVPNが構築出て、WindowsやMacはPPTPVPNにクライアントから接続する事が出来たので利用していたのだが、YAMAHAの商品群はIPSecがメイン。
WindowsやMacからはデフォルトでIPSecのVPNにクライアントから接続する事は出来ない。
YAMAHAからPCにインストールする形でIPsecVPNに入れるアプリケーションが発売されているが、1ライセンス約10,000円と高価だ。
PPTPに関してはRTX-1200が推奨4トンネル、RT-107eに至っては対応しておらず、デフォルトでは内側からPPTPで外部へ接続するのも不完全な感じ。
拠点間の接続には問題が無く、YAMAHAの製品自体にも信頼はあるので変更という選択肢は無い。
という事で、今回お払い箱になるBHR-4RVを利用出来ないかと考えた。
これが可能ならクライアントだけで10接続出来るわけだ。
で、メーカーへ問い合わせてみると、
- YAMAHA:
- 『出来なくは無いと思いますが、Baffaloさんの商品は分かりませんので』
- Baffalo:
- 『無理だと思います』
両者色々とやり取りはしたがザックリとはそういう見解。
ただ、
『仕様が特異ではなく理屈で出来そうなら出来るはず』
と思ってしまった。根拠は無い。
まずは、BHR-4RVの設定。
仮に、RTX-1200が『192.168.0.1』だったとして、BHR-4RVは『192.168.0.5』とした。
で、お互いのLANポートを結線。
RTX-1200でPPTP接続に必要なtcpの1723ポートとgreプロトコルをBHR-4RVにマッピング。
BHR-4RVの方はPPTPサーバーとしてだけの設定なので、面倒はないと思っていたら少しハマった。
PPTPのユーザー登録をすると、PCからログインは出来るのだがファイル等にはアクセス出来ない。
PPTPサーバー設定はWZR-RS-G54のデフォルトに倣ったのだがコレが少しまずかったようだ。
ユーザー登録をする際にIPアドレスはDHCPから払い出すように登録する。
今回の環境でDHCPはRTX-1200で、それからのアドレスを取得出来ると高を括っていた。
しかし、ユーザー登録で出てくるDHCPというのはあくまでもBHR-4RVのそれを指しているようだ。
当然BHR-4RVのDHCPサーバーは停止してある。
この時の挙動は拠点間接続と同じくPPTPサーバーのローカルIPアドレスおよびリモートIPアドレスの設定が反映されるようだ。
PC側にNATが有ればアドレス変換するのかもしれないが、今回は無いのでそのIPアドレスをもろに受け取っていた。
という事でPPTPサーバーの設定を変更してみる事に。
PPTPサーバーのローカルIPアドレスおよびリモートIPアドレスの設定を同じグループにしてやるだけだ。
今回はPPTPサーバーのローカルIPアドレスを『192.168.0.233』で、リモートIPアドレスの開始IPアドレスを『192.168.0.234』終了を『192.168.0.253』とした。
当然RTX-1200のDHCPサーバーの設定でこの範囲を除外しておく。
これで問題無く繋がるようになった。
モバイル環境からの接続も問題なく繋がったので、一安心である。
コメント