VPN接続先 + インターネット接続

YMS-VPN7を使ったVPNトンネリング&インターネット接続

図 VPN接続先 + インターネット接続:VPNを経由してインターネット接続する場合
図 VPN接続先 + インターネット接続:VPNを経由しないでインターネット接続する場合

外出先からインターネットを利用しながら、本社との間を安全につなぐ構成です。
VPNを経由させてインターネットに接続する場合は「インターネット接続」の項目の「VPN経由」にチェックを入れてください。
VPNを経由しないで直接インターネットに接続する場合は「接続先を経由しない通信」の項目の「許可する」にチェックを入れてください。
また、外出先から本社の間の通信は暗号化されるので、秘密が漏れる心配がありません。

YMS-VPN7の設定

接続設定を開いて、以下の設定を行ってください。

[VPN経由でインターネット接続を行う場合の設定]

VPN経由でインターネット接続を行う場合の設定画面

設定名

任意の名前を設定します。
事前共有鍵

RTX1200の設定ipsec ike pre-shared-keyコマンドの(パスワード)と合わせます。
このクライアントの
名前

RTX1200の設定ipsec ike remote nameコマンドの(接続先相手の名前)と合わせます。
接続先ゲートウェイ

IPアドレスで指定を選択し、RTX1200の固定グローバルIPアドレスを入力します。
認証アルゴリズム
暗号アルゴリズム

RTX1200のipsec sa policyコマンドの設定と合わせます。
接続先ネットワーク

RTX1200のLAN側ネットワークアドレスを入力します。
このクライアントの
内部IPアドレス

手動で指定を選択し、RTX1200の設定トンネルの経路設定と合わせます。
インターネット接続

VPN経由にチェックします。

[VPN経由しないでインターネット接続を行う場合の設定]

VPN経由しないでインターネット接続を行う場合の設定画面

設定名

任意の名前を設定します。
事前共有鍵

RTX1200の設定ipsec ike pre-shared-keyコマンドの(パスワード)と合わせます。
このクライアントの
名前

RTX1200の設定ipsec ike remote nameコマンドの(接続先相手の名前)と合わせます。
接続先ゲートウェイ

IPアドレスで指定を選択し、RTX1200の固定グローバルIPアドレスを入力します。
認証アルゴリズム
暗号アルゴリズム

RTX1200のipsec sa policyコマンドの設定と合わせます。
接続先ネットワーク

RTX1200のLAN側ネットワークアドレスを入力します。
このクライアントの
内部IPアドレス

手動で指定を選択し、RTX1200の設定トンネルの経路設定と合わせます。
接続先を経由しない通信

許可するにチェックします。

本社 RTX1200

下記の設定(Config)を取り出すことができます。

ゲートウェイの設定

ip route default gateway pp 1
ip route 192.168.10.0/24 gateway tunnel 1
LANの
インターフェースの設定

ip lan1 address 192.168.0.1/24
WANの
インターフェースの設定

pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPへ接続するID) (ISPへ接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ip pp address (グローバルアドレス)
ip pp mtu 1454
ip pp secure filter in 1020 1030 1040 1041 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102
103 104 105 106 107
ip pp nat descriptor 1
pp enable 1
VPN(IPsec)の設定

tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike pre-shared-key 1 text (パスワード)
ipsec ike remote address 1 any
ipsec ike remote name 1 (接続相手の名前) key-id
tunnel enable 1
フィルタの設定

ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 1040 pass * 192.168.0.1 udp * 500
ip filter 1041 pass * 192.168.0.1 esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
NATの設定

nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
DNSの設定

dns server (ISPより指定されたDNSサーバーのIPアドレス)
dns private address spoof on
DHCPの設定

dhcp scope 1 192.168.0.2-192.168.0.100/24
dhcp service server

ページトップへ戻るReturn to Top