タイトル | : Re^3: 西日本の光プレミアムについて |
投稿日 | : 2006/01/19(Thu) 22:12 |
投稿者 | : q |
はじめまして。
ネットワーク構成が書かれていないのであまり詳しく
アドバイスできませんが光プレミアムでIPSEC-VPNを
構築するならNAT-traversalに対応した機器を両サイ
トに導入することが比較的楽にネットワークを組める
と思います。
YAMAHAのRTXシリーズだとdraft-ietf-ipsec-udp-encaps-01.txt
: UDP Encapsulation of IPsec Packetsを実装しているようです。
書かれている内容を見ますと
ESPのカプセル化は、ESPパケットをUDPに乗せて送信する機能です。
ポート番号としてUDPの500番を使うので、見た目はIKEのパケットと
して見えます。この機能を使うと、NATやフィルタの影響でESPが通過
しない場合でも、 IPsecの通信を確立することができます。
RTシリーズでは、下記のInternet-Draftのうち、IKEのネゴシエーショ
ンや、 NAT-Keepaliveの機能を除いたものを実装しています。
参考 url http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/spec.html#func10
NAT-traversal機能は各社どこまでの機能を実装しているか異なりますので
メーカーは両サイト同一にしておいたほうがいいと思われます。
左側のサイト(固定IP側)は光プレミアム以外のサービスを
選択してください。
RTX--------internet--------CTU---RTX
(固定IP) (動的IP)
IKE、IPSECの細かいパラメータは両サイトで一致させておき
MAINモードを使わないでaggressive modeで設定します。
片側が動的の場合の設定例を参考にしてください。
http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/example5.html
マニュアル 141ページ 15.25にESPをUDPをカプセル化して送受信する
っていう設定がありますので両サイトのRTXをONにしてください。
http://www.rtpro.yamaha.co.jp/RT/manual/Rev.8.03.08/Cmdref.pdf
マニュアルを見る限りRTXシリーズでNAT-traversalができそうなのですが
googleで検索しても”できたよ”っていう情報を発見できなかったのが
少し不安です。
手元にRTXシリーズがあるなら自分で検証してみるんですけど。
メーカに問い合わせてみてもいいかもしれませんね。
ついでに設定例をもらうといいかも。
<PR>
月額2100円/3675円でグローバル固定IPを取得、サーバ構築・VPN・SOHOが可能。
「ZOOT for Bフレッツ」